Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2008-07-02 19:48:28

  graczu - Użytkownik

graczu
Użytkownik
Zarejestrowany: 2008-06-09

DDoS jak rozpoznać

Witam ostatniego czasu zaczęły pojawiać się u mnie problemy związane z odpowiednimi aplikacjami które hostuję. I po sprawdzeniu już czy wina leże po stronie operatora czy po stronie sprzętu, doszły mnie słuchy że ktoś się zabawia na moich portach atakami typu DDoS. Którymi rozłącza graczy, bądź nie pozwala dostać się na stronę.

Z tego co wygoglałem mogę to sprawdzić poleceniem tcpdump. Bardzo fajnie pokazuje połączenia etc, ale jak odróżnić które tyczą się DDoS a które nie?.

Z góry dzięki za odpowiedź. (Jak ktoś ma jeszcze rade co z takim delikwentem zrobić, bądź link do jakiegoś sposobu zabezpieczenia się, wdzięczność :))

Offline

 

#2  2008-07-02 20:39:39

  rogos - Moderator

rogos
Moderator
Zarejestrowany: 2005-02-12

Re: DDoS jak rozpoznać

http://hakin9.org/prt/view/artykuly.html

wyszukaj "ddos" na stronie i znajdziesz artykuł


http://img88.imageshack.us/img88/1856/imageslg0.png

Offline

 

#3  2008-07-02 21:19:11

  graczu - Użytkownik

graczu
Użytkownik
Zarejestrowany: 2008-06-09

Re: DDoS jak rozpoznać

Dziękować, kurcze byłem na tej stronie i ominąłem to ehh :)

I jeszcze jedno pytanie zadam.

Kod:

Router <==> PC1
           <==> PC2

Na routerze przekierowuje port na PC1 poleceniem: iptables -A PREROUTING -t nat -i eth0 -p tcp -d 82.143.190.161 --dport 55901 -j DNAT --to 192.168.1.2:55901

I ludzie z netu ładnie łączą się na serwer który stoi na tym porcie na PC1, ale np z PC1 oraz PC2 poprzez zewnętrzne IP:55901 nie mogę się połączyć na serwer stojący pod tym portem. Jaką regułkę musiałbym dodać bym mógł się łączyć i wewnątrz?.

Offline

 

#4  2008-07-03 00:24:24

  grzegorz.85 - Członek DUG

grzegorz.85
Członek DUG
Skąd: Ostrołęka
Zarejestrowany: 2007-07-12
Serwis

Re: DDoS jak rozpoznać

nie wiem, czy dobrze zrozumialem, ale chyba chodzi o to:

iptables -A PREROUTING -t nat -i eth0 -p tcp -d 82.143.190.161 --dport 55901 -j DNAT --to 192.168.1.2:55901

Musisz zmienić na odpowiedni interfejs, bo zapewne eth0 to polaczenie z internetem. Zapewne bedzie to eth1...

A nie możesz połączyć się na 192.168.1.2:55901 ?

Ostatnio edytowany przez grzegorz.85 (2008-07-03 00:24:50)

Offline

 

#5  2008-07-03 15:04:41

  graczu - Użytkownik

graczu
Użytkownik
Zarejestrowany: 2008-06-09

Re: DDoS jak rozpoznać

grzegorz.85 napisał(-a):

nie wiem, czy dobrze zrozumialem, ale chyba chodzi o to:

iptables -A PREROUTING -t nat -i eth0 -p tcp -d 82.143.190.161 --dport 55901 -j DNAT --to 192.168.1.2:55901

Musisz zmienić na odpowiedni interfejs, bo zapewne eth0 to polaczenie z internetem. Zapewne bedzie to eth1...

A nie możesz połączyć się na 192.168.1.2:55901 ?

Serwer/Router (Jak kto woli to nazywać :))
eth0 = Świat
eth1 = lan 1 (192.168.1.0/24) <==> PC Stacjonarne
eth2 = lan 2 (192.168.2.0/24) <==> AP <==> Lapki

Na 192.168.1.2:55901 tak oczywiście mogę się połączyć.
Ale nie mogę na 82.143.xx.xx:55901 będąc w sieci (192.168.1.4), ludzie z poza sieci oczywiście widzą serwer pod: 82.143.xx.xx:55901.

eth0 tak to jest wyjście na świat, i chcę by pod portem 55901 był widoczny serwer który stoi na 192.168.1.2, i chcę bym wewnątrz sieci go widział pod adresem zewnętrznym 82.143.xx.xx:55901 (Jak i zarówno 192.168.1.2:55901).

Piszę "chcę" mam nadzieje że nikt to nie zrozumie jak jakiegoś rozkazu hehe :)

Offline

 

#6  2008-07-03 15:30:07

  graczu - Użytkownik

graczu
Użytkownik
Zarejestrowany: 2008-06-09

Re: DDoS jak rozpoznać

Ooo :)

Jak dodałem:

iptables -A PREROUTING -t nat -i eth0 -p tcp -d 82.143.190.161 --dport 55901 -j DNAT --to 192.168.1.2:55901
iptables -A PREROUTING -t nat -i eth1 -p tcp -d 82.143.190.161 --dport 55901 -j DNAT --to 192.168.1.2:55901

To zadziałało :) że widzę po lanie i z zewnątrz :)

Szkoda tylko że muszę dodawać dwie regułki :(, ciekawy jestem czy będę widział z 192.168.2.x.

Edit:
Odrazu przepraszam za double post :)

No i z eth2 nie działa czyli 192.168.20/24 (Muszę dodawać an eth2 by zadziałało też)
Nie da się jakoś określić by na wszystkie interfejsy była dodawana ta regułka?

Ostatnio edytowany przez graczu (2008-07-03 15:32:54)

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Możesz wyłączyć AdBlock — tu nie ma reklam ;-)