Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#26  2016-03-01 23:32:31

  Nicram - Użytkownik

Nicram
Użytkownik
Zarejestrowany: 2006-03-28

Re: DDoS - analizowanie kto jest atakowany

zlyZwierz napisał(-a):

Ma ;)
Paw. Je.

Data rejestracji:
    Marzec 18, 2014, 10:32:07
Czas lokalny:
    Marzec 01, 2016, 23:34:31
Ostatnio aktywny:
    Kwiecień 29, 2015, 20:23:31

Wątek: Wykrywanie DDOSow na MT  (Przeczytany 1212 razy)

hmm, czyśbyśmy się znali gdzieś prywatnie?

Offline

 

#27  2016-03-01 23:35:22

  zlyZwierz - Moderator

zlyZwierz
Moderator
Zarejestrowany: 2005-02-18
Serwis

Re: DDoS - analizowanie kto jest atakowany

Yh, może nie piłem z Tobą wódki, ale potrafię połączyć kropki, tym bardziej, że pisujemy/czytujemy listę LMS, a jako moderator działu sieci wiem z jakiego IP piszesz ;)

Offline

 

#28  2016-03-01 23:37:44

  Nicram - Użytkownik

Nicram
Użytkownik
Zarejestrowany: 2006-03-28

Re: DDoS - analizowanie kto jest atakowany

zlyZwierz napisał(-a):

Yh, może nie piłem z Tobą wódki, ale potrafię połączyć kropki, tym bardziej, że pisujemy/czytujemy listę LMS, a jako moderator działu sieci wiem z jakiego IP piszesz ;)

:) nie no może na jakimś kike albo coś :) może by się przydało

Offline

 

#29  2016-03-01 23:41:34

  zlyZwierz - Moderator

zlyZwierz
Moderator
Zarejestrowany: 2005-02-18
Serwis

Re: DDoS - analizowanie kto jest atakowany

Nicram napisał(-a):

zlyZwierz napisał(-a):

Yh, może nie piłem z Tobą wódki, ale potrafię połączyć kropki, tym bardziej, że pisujemy/czytujemy listę LMS, a jako moderator działu sieci wiem z jakiego IP piszesz ;)

:) nie no może na jakimś kike albo coś :) może by się przydało

Hmm... najbliższa okazja, żeby się upodlić to https://www.facebook.com/events/1133835183315544/ ;)

Offline

 

#30  2016-03-01 23:45:32

  Nicram - Użytkownik

Nicram
Użytkownik
Zarejestrowany: 2006-03-28

Re: DDoS - analizowanie kto jest atakowany

zlyZwierz napisał(-a):

Hmm... najbliższa okazja, żeby się upodlić to https://www.facebook.com/events/1133835183315544/ ;)

Nie wiem czy na Inet pojedziemy :/ na 100% na Kike też jakoś kwiecień, nie wiem dokładnie bo przez atak na adweb kikeevents nie działa :/

też chyba Cię kojarzę z listy lms P.K. jak mi się kojarzy. ale dość prywaty, hehe

Offline

 

#31  2016-03-01 23:49:43

  zlyZwierz - Moderator

zlyZwierz
Moderator
Zarejestrowany: 2005-02-18
Serwis

Re: DDoS - analizowanie kto jest atakowany

;)

Wracając do tematu:
Takie wartości ruchu są spokojnie do ogarnięcia na linuxie:


http://imgur.com/a/BsAii

model name    : Intel(R) Xeon(R) CPU E5-1620 v2 @ 3.70GHz
02:00.0 Ethernet controller: Intel Corporation 82599EB 10-Gigabit SFI/SFP+ Network Connection (rev 01)


Kolejek brak, tylko NAT i FIREWALL+BGP+OSPF
Kolejki na rozproszonych koncentratorach.

Offline

 

#32  2016-03-01 23:58:18

  Nicram - Użytkownik

Nicram
Użytkownik
Zarejestrowany: 2006-03-28

Re: DDoS - analizowanie kto jest atakowany

zlyZwierz napisał(-a):

;)

Wracając do tematu:
Takie wartości ruchu są spokojnie do ogarnięcia na linuxie:


http://imgur.com/a/BsAii

model name    : Intel(R) Xeon(R) CPU E5-1620 v2 @ 3.70GHz
02:00.0 Ethernet controller: Intel Corporation 82599EB 10-Gigabit SFI/SFP+ Network Connection (rev 01)


Kolejek brak, tylko NAT i FIREWALL+BGP+OSPF
Kolejki na rozproszonych koncentratorach.

ja na 100% pewien nie jestem, że to linuch. fakt, jak podczas ataku odpaliłem ntopa to już nie dało się z niego za bardzo korzystać.
jest też prawdopodobne, że degradacja przychodziła właśnie od operatora, który to robi policy na swoich interfejsach a przy ataku tak nam się to objawiało. poza tym, sieciówki są 1Gb też ograniczone pps.
fakt faktem, że Cisco i tej klasy routery są skonstruowane do routingu i do niczego więcej. łatwiej na nim odpoalić NetFlow czy chociażby mirror portu a na linuxie już sobie to obrabiać itd. w tej chwili przesiadka jak dla mnie nie ma znaczenia bo uczyłem się na cisco, grzebałem w quagga i wracam do cisco jako brzegówka.
Tu też nie chodzi, że linux powinien sobie poradzić itd. generalnie po woli chcemy dążyć do takiego stopnia by "uruchomić i zapomnieć", może nie do końca zapomnieć ale w każdym bądź razie spać spokojnie i nie myśląc o tym czy się coś wykrzaczy czy nie.

Ostatnio edytowany przez Nicram (2016-03-01 23:59:46)

Offline

 

#33  2016-03-02 00:01:10

  zlyZwierz - Moderator

zlyZwierz
Moderator
Zarejestrowany: 2005-02-18
Serwis

Re: DDoS - analizowanie kto jest atakowany

Z podobną intencją leży mi na biurku Redback SE600 ;)
Tylko jakoś veny brak :)

Offline

 

#34  2016-03-02 00:03:43

  Nicram - Użytkownik

Nicram
Użytkownik
Zarejestrowany: 2006-03-28

Re: DDoS - analizowanie kto jest atakowany

zlyZwierz napisał(-a):

Z podobną intencją leży mi na biurku Redback SE600 ;)
Tylko jakoś veny brak :)

:)

generalnie też moglibyśmy zakupić sieciówki 10G jakieś lepsze 1G itd. aczkolwiek kwota którą by się wydało była by nie wiele mniejsza niż zakup Cisco na ebay. Fakt, trzeba dokupić wkładki itd. nie mniej jednak patrząc w przyszłość wydaje się to być lepszą inwestycją niż ciągłą wymiana hardware dla linuxa itd.

Ostatnio edytowany przez Nicram (2016-03-02 00:09:37)

Offline

 

#35  2016-03-02 09:40:43

  zlyZwierz - Moderator

zlyZwierz
Moderator
Zarejestrowany: 2005-02-18
Serwis

Re: DDoS - analizowanie kto jest atakowany

Nie wiem - U nas koszt SE600 przewyższa wartość pozostałego sprzętu w serwerowni, a póki co leży na półce, a linuxy robią brudną robotę.

Jak już go wdrożymy, to pewnie wypadnie kilka maszyn ale jedyny zysk widzę tutaj w braku potrzeby pilnowania go :)

Z ciekawości - co za ciskacza kupujecie ?

Offline

 

#36  2016-03-02 09:50:03

  Nicram - Użytkownik

Nicram
Użytkownik
Zarejestrowany: 2006-03-28

Re: DDoS - analizowanie kto jest atakowany

zlyZwierz napisał(-a):

Nie wiem - U nas koszt SE600 przewyższa wartość pozostałego sprzętu w serwerowni, a póki co leży na półce, a linuxy robią brudną robotę.

Jak już go wdrożymy, to pewnie wypadnie kilka maszyn ale jedyny zysk widzę tutaj w braku potrzeby pilnowania go :)

Z ciekawości - co za ciskacza kupujecie ?

zysk nie tylko taki, że śpisz spokojnie ale i jeszcze energia. Co prawda pożera to trochę prądu ale i tak sporo mniej niż 4-5 innych serwerów

Offline

 

#37  2016-03-02 18:50:52

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: DDoS - analizowanie kto jest atakowany

Jak już go wdrożymy, to pewnie wypadnie kilka maszyn ale jedyny zysk widzę tutaj w braku potrzeby pilnowania go :)

Zaryzykuję stwierdzenie, że dobrze skonfigurowany serwer znacznie lepiej spełnia ten warunek, choćby dlatego, ze jakby mu brakowało RAM, to można wsadzić kość, a jak mu zdechnie jedna sieciówka, to zawsze można wyjąć z szuflady zapasową.
Cisco jest fajne, ale serwisowanie takiego routera jest znacznie droższe, niż serwera, a jak np zabraknie mu pamięci, to ogarnąć to dużo trudniej, aniżeli w serwerze, gdzie możesz od ręki wsadzić 8 lub 16G.

Ku przestrodze:
http://lipowski.org/isp/bgp-cisco-512k/

Nawet mój Gentuś kiedyś został na tydzień włączony w domu, i po tygodniu dalej chodził, był cały czas dostępny w necie, jak każdy serwer, chociaż serwerem nie jest, a net ma po pppoe z dynamicznym IP.

Brak potrzeby pilnowania, to jest podstawowa cecha każdego fachowo skonfigurowanego sprzętu i systemu, i Cisco czy Juniper wcale tutaj się nie wyróżniają, czasami nawet wręcz przeciwnie, (czego dowodem może być mój ISP i ich nowa zabawka bazująca na JunosOS).


Serwer, którego "trzeba pilnować" nadaje się tylko "na żyletki",  a nie do normalnego użytku.

Pozdro

Ostatnio edytowany przez Jacekalex (2016-03-05 10:14:25)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#38  2016-03-02 21:22:49

  Nicram - Użytkownik

Nicram
Użytkownik
Zarejestrowany: 2006-03-28

Re: DDoS - analizowanie kto jest atakowany

Z tym cisco 512k to stara bajka, stare routery z małą ilością pamięci miały ten problem.

jedno i drugie rozwiązanie ma swoje zady i walety.

Offline

 

#39  2016-03-02 21:33:55

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: DDoS - analizowanie kto jest atakowany

Nicram napisał(-a):

Z tym cisco 512k to stara bajka, stare routery z małą ilością pamięci miały ten problem.

jedno i drugie rozwiązanie ma swoje zady i walety.

Każdy router kiedyś będzie stary, tak to już jest.

Dla mnie sprzęt z powszechnie dostępnych rzeczy ma tą przewagę, że jest jak plastelina, można go zawsze dostosować do wymagań stosunkowo niewielkim kosztem, nie wspominając o łatwości, z jaką można wymieniać w nim systemy operacyjne w przypadku jakichś kłopotów.

W którym routerze CISCO możesz mieć FreeBSD, OpenBSD i dwa różne Linuxy,
i bootować wybierając OS w grubie?

Po co wybór OS?

Żeby łatwo wybrnąć z takich "kfiatków":

https://www.nanog.org/mailinglist/mailarchives/old_ … msg00736.html
https://kb.juniper.net/InfoCenter/index?page=conten … amp;actp=LIST

Pozdro

Ostatnio edytowany przez Jacekalex (2016-03-02 21:39:57)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#40  2016-03-02 21:49:42

  Nicram - Użytkownik

Nicram
Użytkownik
Zarejestrowany: 2006-03-28

Re: DDoS - analizowanie kto jest atakowany

Jacekalex napisał(-a):

Dla mnie sprzęt z powszechnie dostępnych rzeczy ma tą przewagę, że jest jak plastelina, można go zawsze dostosować do wymagań stosunkowo niewielkim kosztem, nie wspominając o łatwości, z jaką można wymieniać w nim systemy operacyjne w przypadku jakichś kłopotów.

W którym routerze CISCO możesz mieć FreeBSD, OpenBSD i dwa różne Linuxy,
i bootować wybierając OS w grubie?

Akurat taka dyskusja jest dyskusją o wyższości  świąt bożego narodzenia nad świętami wielkanocy :)
Gdyby tak było kolorowo jak piszesz, to po co taki polkomtel czy inny duży operator wydawałby miliony na taki sprzęt zamiast zainwestować w hardware i kilka linuxów/unixów na tym?

Pierwszy przypadek sprzed 12 lat, drugi całkiem świeży. osobiście nie znam junipera więc nie wypowiem się na ten temat.

Offline

 

#41  2016-03-02 21:59:37

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: DDoS - analizowanie kto jest atakowany

Nicram napisał(-a):

Jacekalex napisał(-a):

Dla mnie sprzęt z powszechnie dostępnych rzeczy ma tą przewagę, że jest jak plastelina, można go zawsze dostosować do wymagań stosunkowo niewielkim kosztem, nie wspominając o łatwości, z jaką można wymieniać w nim systemy operacyjne w przypadku jakichś kłopotów.

W którym routerze CISCO możesz mieć FreeBSD, OpenBSD i dwa różne Linuxy,
i bootować wybierając OS w grubie?

Akurat taka dyskusja jest dyskusją o wyższości  świąt bożego narodzenia nad świętami wielkanocy :)
Gdyby tak było kolorowo jak piszesz, to po co taki polkomtel czy inny duży operator wydawałby miliony na taki sprzęt zamiast zainwestować w hardware i kilka linuxów/unixów na tym?

Pierwszy przypadek sprzed 12 lat, drugi całkiem świeży. osobiście nie znam junipera więc nie wypowiem się na ten temat.

To już zależy od skali.

Duży operator, który ma np 50Gbit transferu na jednym routerze, musi ładować się w specjalne dedykowane urządzenia (innego wyjścia po prostu nie ma),
ale ma też kasę na sprzęt i serwis

Jeśli natomiast masz maks 1-4Gbity/s to masz spory wybór, bo sam możesz poskładać sprzęt, który to uciągnie, nie ma z tym problemu.

Pozdro


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#42  2016-03-02 22:07:12

  Nicram - Użytkownik

Nicram
Użytkownik
Zarejestrowany: 2006-03-28

Re: DDoS - analizowanie kto jest atakowany

Jacekalex napisał(-a):

To już zależy od skali.

Duży operator, który ma np 50Gbit transferu na jednym routerze, musi ładować się w specjalne dedykowane urządzenia (innego wyjścia po prostu nie ma),
ale ma też kasę na sprzęt i serwis

Jeśli natomiast masz maks 1-4Gbity/s to masz spory wybór, bo sam możesz poskładać sprzęt, który to uciągnie, nie ma z tym problemu.

Pozdro

Co prawda to prawda, więc sam przyznajesz, że Cisco jest do tego dedykowanym sprzętem :)

Mój obecny sprzęt niestety zdycha. niby ten serwerek nie jest taki najgorszy. dziś boss u obu operatorów zwiększył porty bez cięcia czyli 2x po 1G z myślą, że jak przyjdzie DDoS to się to rozłołży. no i obróciło się to przeciw nam. o 19 mieliśmy DDoSa i jak serwerek dostał tyle ruchu to już nawet na niego zalogować się nie mogłem, musiałem udać się do serwerowni by puknąć go wyłącznikiem. wstał ładnie szybko i jak się sesja bgp zestawiała ruch nadal i serwer wisi :/
jaki wolumen był nie wiem, bo cacti już nie czytało :/ akurat te sieciówki z operatorami powinny to wytrzymać, są 1G ze zwiększoną ilością pakietów, niestety obróciło się to przeciw nam.
normalnego ruchu to by i z 10x po 1G przerzucił ale na DDoSie się wyłożył.

Offline

 

#43  2016-03-02 22:54:14

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: DDoS - analizowanie kto jest atakowany

Efekt skali.

Do takiego serwera od razu bym kupił karty 10G, a sprzet dedykowany jest tam, gdzie karty 10G nie dadzą rady
Tylko tyle, i aż tyle.

Tu jest ograniczenie.

Czyli do granicy wyznaczonej wydajnością karty 10G lepszy jest serwer, gdzie masz wybór OS, powyżej jedyną opcją jest sprzęt dedykowany, jak Cisco czy Juniper.

Zdaje mi się, że tutaj się zgadzamy? Prawda?

Ostatnio edytowany przez Jacekalex (2016-03-03 17:36:46)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#44  2016-03-03 08:58:29

  Nicram - Użytkownik

Nicram
Użytkownik
Zarejestrowany: 2006-03-28

Re: DDoS - analizowanie kto jest atakowany

Jacekalex napisał(-a):

Efekt skali.

Do takiego serwera od razu bym kupił karty 10G, a sprzet dedykowany jest tam, gdzie karty 10G nie dadzą rady
Tylko tyle, i aż tyle.

Tu jest ograniczenie.

Czyli do granicy wyznaczonej wydajnścią karty 10G lepszy jest serwer, gdzie masz wybór OS, powyżej jedyną opcją jest sprzęt dedykowany, jak Cisco czy Juniper.

Zdaje mi się, że tutaj się zgadzamy? Prawda?

Tu muszę się z Tobą zgodzić, dobry hardware, dobre sieciówki i tak, masz rację wyda. Z tym, że zauważ że dobre sieciówki 10G nie kosztują mało :/

Offline

 

#45  2016-03-03 09:10:30

  zlyZwierz - Moderator

zlyZwierz
Moderator
Zarejestrowany: 2005-02-18
Serwis

Re: DDoS - analizowanie kto jest atakowany

Nie efekt skali, tylko efekt tego, że procek w tym jego riuterze ma blisko 10 lat :)

http://ark.intel.com/compare/88176,28032
Normalny współczesny komp z normalną kartą 10G  nawet by się nie spocił.

Po drugie, wszystko upakowane na jednej maszynce - BGP NATy kolejki, jak maszyna dostaje w dupe to "nie ma niczego".


No i karty 10G też nie kosztują Bóg wie ile.

http://cdr.pl/p3113,lr-link-lrec9802bf-2sfp-intel-8 … -adapter.html
http://allegro.pl/intel-dell-x520-da2-10gbps-dual-p … 82997272.html
http://allegro.pl/intel-x520-da2-dual-sfp-u810n-vfv … 68523045.html

Offline

 

#46  2016-03-03 17:48:56

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: DDoS - analizowanie kto jest atakowany

Nicram napisał(-a):

Z tym, że zauważ że dobre sieciówki 10G nie kosztują mało :/

A router Cisco to za czapkę śliwek sprzedają?

Ja w robocie kiedyś dawno widziałem takie cudo na chyba (podobno, faktury nie widziałem) wile tysi, które po burzy nadawało się na złom, bo kochany ISP
o piorunochronach chyba nie słyszał, a to jeszcze szło po kablu.

Na nowego grata nie było, i stanęło na normalnym kompie z profesjonalnym systemem ...... Ubuntu, i kartami Intel 1Gbit.
I nawet następne dwa latka starczało, aż do wymiany na światłowodę.

Także do dedykowanego sprzętu w miejscach, gdzie takowy nie jest niezbędnie konieczny i niezastępowalny, mam nadzwyczajnie duży dystans. XD

@zlyZwierz

Określenia "efekt skali" użyłem do porównania "wielkiej firmy z  wielką rurą 1Gbit" z takim malutkim mikro-operatorem jak np Polkomtel. XD

Podejrzewam, że gdybym sprawdził np w Netii, to tam też sieciówki 10G by były za małe. :D

Pozdro
;-)

Ostatnio edytowany przez Jacekalex (2016-03-03 17:51:21)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#47  2016-03-05 10:05:06

  zlyZwierz - Moderator

zlyZwierz
Moderator
Zarejestrowany: 2005-02-18
Serwis

Re: DDoS - analizowanie kto jest atakowany

A'propos DDoS - http://imgur.com/a/xNsBp
Wczorajszy ddos, fucks given - zero.
;)

Offline

 

#48  2016-03-05 11:47:21

  Nicram - Użytkownik

Nicram
Użytkownik
Zarejestrowany: 2006-03-28

Re: DDoS - analizowanie kto jest atakowany

zlyZwierz napisał(-a):

A'propos DDoS - http://imgur.com/a/xNsBp
Wczorajszy ddos, fucks given - zero.
;)

to tobie zebrało 3G, jak ja dowiedziałem się od operatorów to to szło do nas po 20G, czyli do serwka dochodziło 40G przy ok 2Mpps i to zabiło serwerek

Offline

 

#49  2016-03-05 16:39:57

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: DDoS - analizowanie kto jest atakowany

to tobie zebrało 3G, jak ja dowiedziałem się od operatorów to to szło do nas po 20G, czyli do serwka dochodziło 40G przy ok 2Mpps i to zabiło serwerek

A ci operatorzy nie mają jakichś procedur bezpieczeństwa?

Nawet taka serwerownia jak OVH mogła się zabrać poważnie za ryzyko DDOS,
to wielcy operatorzy też łaski nie robią.


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#50  2016-03-05 16:47:59

  Nicram - Użytkownik

Nicram
Użytkownik
Zarejestrowany: 2006-03-28

Re: DDoS - analizowanie kto jest atakowany

Jacekalex napisał(-a):

to tobie zebrało 3G, jak ja dowiedziałem się od operatorów to to szło do nas po 20G, czyli do serwka dochodziło 40G przy ok 2Mpps i to zabiło serwerek

A ci operatorzy nie mają jakichś procedur bezpieczeństwa?

Nawet taka serwerownia jak OVH mogła się zabrać poważnie za ryzyko DDOS,
to wielcy operatorzy też łaski nie robią.

Jeden z nich wspiera blackhole ale jak się tłumaczy "nie ingerują w ruch klienta", drugi ma DDoS ale każe sobie za niego słono płacić, nawet za "podstawową ochronę". Przez dwa lata "takiej ochrony" możesz kupić takiego używanego gsra i samemu sobie zrobić mechanizm blackhole.

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Możesz wyłączyć AdBlock — tu nie ma reklam ;-)