Forum Debian Users Gang

graczu · 2008-07-02 19:48:28

Witam ostatniego czasu zaczęły pojawiać się u mnie problemy związane z odpowiednimi aplikacjami które hostuję. I po sprawdzeniu już czy wina leże po stronie operatora czy po stronie sprzętu, doszły mnie słuchy że ktoś się zabawia na moich portach atakami typu DDoS. Którymi rozłącza graczy, bądź nie pozwala dostać się na stronę.

Z tego co wygoglałem mogę to sprawdzić poleceniem tcpdump. Bardzo fajnie pokazuje połączenia etc, ale jak odróżnić które tyczą się DDoS a które nie?.

Z góry dzięki za odpowiedź. (Jak ktoś ma jeszcze rade co z takim delikwentem zrobić, bądź link do jakiegoś sposobu zabezpieczenia się, wdzięczność :))

rogos · 2008-07-02 20:39:39

http://hakin9.org/prt/view/artykuly.html

wyszukaj "ddos" na stronie i znajdziesz artykuł

graczu · 2008-07-02 21:19:11

Dziękować, kurcze byłem na tej stronie i ominąłem to ehh :)

I jeszcze jedno pytanie zadam.

Kod:

Router <==> PC1
           <==> PC2

Na routerze przekierowuje port na PC1 poleceniem: iptables -A PREROUTING -t nat -i eth0 -p tcp -d 82.143.190.161 --dport 55901 -j DNAT --to 192.168.1.2:55901

I ludzie z netu ładnie łączą się na serwer który stoi na tym porcie na PC1, ale np z PC1 oraz PC2 poprzez zewnętrzne IP:55901 nie mogę się połączyć na serwer stojący pod tym portem. Jaką regułkę musiałbym dodać bym mógł się łączyć i wewnątrz?.

grzegorz.85 · 2008-07-03 00:24:24

nie wiem, czy dobrze zrozumialem, ale chyba chodzi o to:

iptables -A PREROUTING -t nat -i eth0 -p tcp -d 82.143.190.161 --dport 55901 -j DNAT --to 192.168.1.2:55901

Musisz zmienić na odpowiedni interfejs, bo zapewne eth0 to polaczenie z internetem. Zapewne bedzie to eth1...

A nie możesz połączyć się na 192.168.1.2:55901 ?

Ostatnio edytowany przez grzegorz.85 (2008-07-03 00:24:50)

graczu · 2008-07-03 15:04:41

grzegorz.85 napisał(-a):
nie wiem, czy dobrze zrozumialem, ale chyba chodzi o to:

iptables -A PREROUTING -t nat -i eth0 -p tcp -d 82.143.190.161 --dport 55901 -j DNAT --to 192.168.1.2:55901
Musisz zmienić na odpowiedni interfejs, bo zapewne eth0 to polaczenie z internetem. Zapewne bedzie to eth1...

A nie możesz połączyć się na 192.168.1.2:55901 ?

Serwer/Router (Jak kto woli to nazywać :))
eth0 = Świat
eth1 = lan 1 (192.168.1.0/24) <==> PC Stacjonarne
eth2 = lan 2 (192.168.2.0/24) <==> AP <==> Lapki

Na 192.168.1.2:55901 tak oczywiście mogę się połączyć.
Ale nie mogę na 82.143.xx.xx:55901 będąc w sieci (192.168.1.4), ludzie z poza sieci oczywiście widzą serwer pod: 82.143.xx.xx:55901.

eth0 tak to jest wyjście na świat, i chcę by pod portem 55901 był widoczny serwer który stoi na 192.168.1.2, i chcę bym wewnątrz sieci go widział pod adresem zewnętrznym 82.143.xx.xx:55901 (Jak i zarówno 192.168.1.2:55901).

Piszę "chcę" mam nadzieje że nikt to nie zrozumie jak jakiegoś rozkazu hehe :)

graczu · 2008-07-03 15:30:07

Ooo :)

Jak dodałem:

iptables -A PREROUTING -t nat -i eth0 -p tcp -d 82.143.190.161 --dport 55901 -j DNAT --to 192.168.1.2:55901
iptables -A PREROUTING -t nat -i eth1 -p tcp -d 82.143.190.161 --dport 55901 -j DNAT --to 192.168.1.2:55901

To zadziałało :) że widzę po lanie i z zewnątrz :)

Szkoda tylko że muszę dodawać dwie regułki :(, ciekawy jestem czy będę widział z 192.168.2.x.

Edit:
Odrazu przepraszam za double post :)

No i z eth2 nie działa czyli 192.168.20/24 (Muszę dodawać an eth2 by zadziałało też)
Nie da się jakoś określić by na wszystkie interfejsy była dodawana ta regułka?

Ostatnio edytowany przez graczu (2008-07-03 15:32:54)

Forum Debian Users Gang

Ogłoszenie

#1 2008-07-02 19:48:28

graczu - Użytkownik

DDoS jak rozpoznać

#2 2008-07-02 20:39:39

rogos - Moderator

Re: DDoS jak rozpoznać

#3 2008-07-02 21:19:11

graczu - Użytkownik

Re: DDoS jak rozpoznać

Kod:

#4 2008-07-03 00:24:24

grzegorz.85 - Członek DUG

Re: DDoS jak rozpoznać

#5 2008-07-03 15:04:41

graczu - Użytkownik

Re: DDoS jak rozpoznać

grzegorz.85 napisał(-a):

#6 2008-07-03 15:30:07

graczu - Użytkownik

Re: DDoS jak rozpoznać

Stopka forum