ЗАКРЫТЬ
Правила форума Гаранты форума
Размещение рекламы AMX-X компилятор

Здравствуйте, гость Вход | Регистрация

Новости

30-дек
29-дек
26-дек
15-дек

> Важная информация

Перед тем как создать тему или задать вопрос, ознакомьтесь с данной темой, там собраны наиболее распространенные уязвимости и способы устранения.
Так же не поленитесь воспользоваться поиском, вполне возможно, что ваш вопрос уже поднимался на форуме.
При создании новой темы уделите внимание ее названию, оно должно кратко описывать суть вашего вопроса/проблемы. Все вновь созданные темы с названиями "Помогите", "Объясните", "Подскажите" и т.д. будут удалены, а их авторы наказаны.
8 страниц V   1 2 ... 6 7 »

Распространенные DDOS атаки и методы противодействия.

Статус пользователя Fire
сообщение 12.4.2015, 21:54
Сообщение #1


Иконка группы

Стаж: 7 лет 11 месяцев

Сообщений: 1936
Благодарностей: 1940
Полезность: 1238

multiplay.ru
Часть 1, виды атак и используемые данные.

Мини-FAQ по распространенным на сегодняшний день DDOS атакам.
Сейчас самыми популярными атаками являются амплификации, принцип "усиления". Простыми словами, злоумышленник подделывает IP который необходимо атаковать и посылает запросы на DNS, NTP и т.д сервера от этого IP, сервер соответственно отвечает на нужный IP, пакетами гораздо большего размера. Грубо говоря, при оправленном 1 байте, в ответ получаете 30-60 байт. Соответственно, чем больше обращений к разным сервисам и чем выше кол. этих обращений, тем мощнее получается атака. На сегодняшний день мощность амплификаций колеблется от 1 до 30гбит. Это самый дешевый метод атак, поэтому и такой массовый.
Но что хорошо, такие атаки "тупые" и легко поддаются блокировке, имея необходимые для этого мощности.
Основные виды амплификаций:
1) DNS - Пакеты прилетают с source port 53 (UDP)
Для блокировки атак обрезаются все UDP пакеты с sport 53, кроме IP DNS серверов используемых сервером. Например 8.8.8.8
2) NTP - Пакеты прилетают с source port 123 (UDP)
Блокировка аналогична DNS, возможно без разрешенных IP, если вы не используете синхронизацию времени по интернету.
3) SSDP - Пакеты прилетают с source port 1900 (UDP)
Блокировка UDP Source Port 1900
4) CHARGEN - Пакеты прилетают с source port 19 (UDP)
Блокировка UDP Source Port 19
5) SNMP - Пакеты прилетают с source port 161 (UDP)
Блокировка UDP Source Port 161
6) QOTD - Пакеты прилетают с source port 17 (UDP)
Блокировка UDP Source Port 17
7) TeamSpeak - Пакеты прилетают с source port 9987 (UDP)
Блокировка UDP Source Port 9987
8) NetBios - Пакеты прилетают с source port 137 (UDP)
Блокировка UDP Source Port 137
9) Quake 3 - Пакеты прилетают с source port 27690 (UDP)
Блокировка UDP Source Port 27690
10) Steam - Основная масса пакетов прилетает с source port 27015 (UDP)
Блокировка UDP Source Port 27015
11) Вид атаки которую нельзя отнести к амплификациям, в основном используется рядом ботнетов, но она все-же популярна для атак на hlds сервера, source port 0 (UDP)
Блокировка UDP Source Port 0

Есть еще различные виды P2P амплификации но они не пользуются особой популярностью. Хотя в них могут использоваться любые порты.

Атаки описанные выше блокируются исключительно на уровне ISP и ДЦ, блокировка их на самом сервере бессмысленна, если у вас нет канала в пару гбит минимум.

Таблица усиливающих коффициентов:
Прикрепленное изображение


Чуть позже поговорим о методах обнаружения атак.


Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   Цитировать сообщение
Статус пользователя mimixi
сообщение 12.4.2015, 22:05
Сообщение #2


Стаж: 2 года 2 месяца

Сообщений: 14
Благодарностей: 3
Полезность: 0

Спасибо!
Обратил внимание на выделение красным !

Атаки описанные выше блокируются исключительно на уровне ISP и ДЦ, блокировка их на самом сервере бессмысленна, если у вас нет канала в пару гбит минимум.


Как я понимаю, то есть антиддос ставить бессмысленно на сервере ?
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя xakep7
сообщение 12.4.2015, 22:08
Сообщение #3


Стаж: 5 лет 3 месяца

Сообщений: 503
Благодарностей: 468
Полезность: 938

Цитата(mimixi @ 13.4.2015, 3:05) *
Как я понимаю, то есть антиддос ставить бессмысленно на сервере ?

Да, если конечно на сервер не входит канал от 2-х Гбит/с и выше.
Но это будет очень наивно. Поэтому лучше фильтровать на уровне аплинков/ДЦ.

Отредактировал: xakep7, - 12.4.2015, 22:13
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя magis1337
сообщение 12.4.2015, 22:14
Сообщение #4


Иконка группы

Стаж: 2 года 7 месяцев
Город: Odessa

Сообщений: 2729
Благодарностей: 1523
Полезность: 669

host5.ru
Меценат Меценат

не ужели)

Fire, а где ovh^?
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя kuznets92
сообщение 12.4.2015, 22:35
Сообщение #5


Стаж: 5 лет 3 месяца

Сообщений: 553
Благодарностей: 237
Полезность: 667

Вот про обнаружение было бы интересно почитать.

Лично я пользуюсь netstat -i eth0 -w, смотрю изменения rx, когда они выше определённого значения, то запускается скрипт и обрабатывает данные tcpdump, их я потом смотрю. Если кому интересно -- https://github.com/ET-NiK/TrafAn
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
Поблагодарили 1 раз
   + Цитировать сообщение
Статус пользователя SISA
сообщение 12.4.2015, 23:15
Сообщение #6
Стаж: 6 лет 7 месяцев

Сообщений: 2225
Благодарностей: 2248
Полезность: 964

Сдается мне, что в ближайшие дни мы увидим темы с заголовками: "Мой сервер дудосят"... Ну давайте ещё выложим ссылки на стрессеры, чтобы уж до кучи. Кто шарит в сетевых протоколах, может посмотреть сорс порт и определить вид атаки на раз-два. А кто не шарит, ну им это совершенно и не нужно, знать про эти порты и коэффициенты усиления. На VDS подобную фильтрацию проводить никто не будет на московских площадках. На дэдиках в лучшем случае и только за круглую сумму. Ну кто себе может позволить такую роскошь ? Единицы... и я более чем уверен, что они прекрасно знакомы с амплификацией, её портами и принципами работы.

Отредактировал: SISA, - 12.4.2015, 23:16
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
Поблагодарили 2 раз
   + Цитировать сообщение
Kasper55
сообщение 12.4.2015, 23:19
Сообщение #7
Стаж: 6 лет 9 месяцев

Сообщений: 1145
Благодарности: выкл.

и смыл тогда в этом FAQ если

Атаки описанные выше блокируются исключительно на уровне ISP и ДЦ, блокировка их на самом сервере бессмысленна, если у вас нет канала в пару гбит минимум.

в пару гигов ? вы угараете ?
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя Fire
сообщение 12.4.2015, 23:22
Сообщение #8


Иконка группы

Стаж: 7 лет 11 месяцев

Сообщений: 1936
Благодарностей: 1940
Полезность: 1238

multiplay.ru
У многих ДЦ на данный момент есть услуга фаервола, и стоит она не так уж и дорого.


Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя kuznets92
сообщение 12.4.2015, 23:29
Сообщение #9


Стаж: 5 лет 3 месяца

Сообщений: 553
Благодарностей: 237
Полезность: 667

Цитата(Kasper55 @ 13.4.2015, 0:19) *
и смыл тогда в этом FAQ если

Атаки описанные выше блокируются исключительно на уровне ISP и ДЦ, блокировка их на самом сервере бессмысленна, если у вас нет канала в пару гбит минимум.

в пару гигов ? вы угараете ?


Смысл наверное в том, чтобы совершенно не знакомые с этим люди (а их здесь не менее половины), называющие любую ошибку, пук на сервере DDoS'ом, хотя-бы немного узнали о нём.
Чтобы не было куч бессмысленных сообщений и споров, где "профи" рассказывают про чудо команды iptables, которые на 10000% защищают любой сервер от DDoS.

Отредактировал: kuznets92, - 12.4.2015, 23:30
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Kasper55
сообщение 12.4.2015, 23:35
Сообщение #10
Стаж: 6 лет 9 месяцев

Сообщений: 1145
Благодарности: выкл.

kuznets92, ну норм че , поговорите еще о ддосе и принципе его работы , показывать каждому как он работает , а мне кто то за слово только ДДОС выдал предупреждение а тут целая аж тема , несправедливость .

Отредактировал: Kasper55, - 12.4.2015, 23:35
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя GOOD FELLOW
сообщение 12.4.2015, 23:39
Сообщение #11


Иконка группы

Стаж: 4 года 7 месяцев

Сообщений: 2292
Благодарностей: 1178
Полезность: 889

1) у тебя УП (посмотрел в журнале)
2) тут обсуждение защиты от него, а не "как им пользоваться"
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Kasper55
сообщение 12.4.2015, 23:46
Сообщение #12
Стаж: 6 лет 9 месяцев

Сообщений: 1145
Благодарности: выкл.

GOOD FELLOW, да мне условное или нет , мне плевать , факт в том что было выдано за слово только ддос , то есть мне не нужно понимать как он действует ддос а только знать как от него защититься , сударь вы бред пишите .

Отредактировал: Kasper55, - 12.4.2015, 23:48
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя GOOD FELLOW
сообщение 12.4.2015, 23:59
Сообщение #13


Иконка группы

Стаж: 4 года 7 месяцев

Сообщений: 2292
Благодарностей: 1178
Полезность: 889

Kasper55, я подробностей твоего УП не знаю ибо не видел сообщения.
И указал на суть темы.
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя Ismagilov
сообщение 13.4.2015, 0:40
Сообщение #14
Стаж: 5 лет 3 месяца

Сообщений: 156
Благодарностей: 11
Полезность: < 0

хорошая статеика good.gif
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя grant1
сообщение 13.4.2015, 2:16
Сообщение #15


Стаж: 7 лет 10 месяцев

Сообщений: 82
Благодарностей: 11
Полезность: 106

Спасибо, пойду защищать свой ДЦ. happy.gif
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя coolman
сообщение 13.4.2015, 7:30
Сообщение #16


Стаж: 9 лет
Город: Екатеринбург

Сообщений: 1215
Благодарностей: 217
Полезность: 149

"блокировка их на самом сервере бессмысленна"
я тоже считаю первый пост бессмысленной информацией
У кого дата центр в несколько гигов, он сам в курсе всего, у кого просто сервер, ему лучше iptables правила предложите, защиту от школьников и все!

Отредактировал: coolman, - 13.4.2015, 7:39
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
Поблагодарили 1 раз
   + Цитировать сообщение
Статус пользователя Archangel236
сообщение 13.4.2015, 7:42
Сообщение #17


Стаж: 7 лет 8 месяцев
Город: Белая Церковь

Сообщений: 425
Благодарностей: 173
Полезность: 546

NTP и source port 0 ой как знакомо )
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя csnet
сообщение 13.4.2015, 10:32
Сообщение #18
Стаж: 3 года 2 месяца

Сообщений: 4010
Благодарностей: 3494
Полезность: 715

а мне и ssdp летело и фрагментированныые пакеты и ntp и syn и много чего еще.


СВЕРШИЛОСЬ !!! > https://youtu.be/iGy4Tai7JtA
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя Fire
сообщение 13.4.2015, 13:38
Сообщение #19


Иконка группы

Стаж: 7 лет 11 месяцев

Сообщений: 1936
Благодарностей: 1940
Полезность: 1238

multiplay.ru
Цитата(coolman @ 13.4.2015, 8:30) *
"блокировка их на самом сервере бессмысленна"
я тоже считаю первый пост бессмысленной информацией
У кого дата центр в несколько гигов, он сам в курсе всего, у кого просто сервер, ему лучше iptables правила предложите, защиту от школьников и все!

Есть как минимум 5 ДЦ в Москве, которые предоставляют услугу фаервола. В среднем, цена добавления правил в районе 400р.
Ко мне достаточно часто обращались люди которым ложили их выделенные сервера стрессерами, после того как я смотрел какие были атаки, просили заблокировать их в ДЦ, и они успешно блокировались.
Оверсан, Многобайт, Фиорд, Есервер, и некоторые другие ДЦ предоставляют такие услуги.
Так что не считаю это бессмысленной информацией.


Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя FleXer
сообщение 13.4.2015, 13:44
Сообщение #20


Стаж: 4 года 7 месяцев
Город: Киев

Сообщений: 289
Благодарностей: 222
Полезность: 601

Меценат Меценат

Что вы скажите по поводу 0x2a.com.ua ??


Приватная информация у меня в профиле ! $
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
8 страниц V   1 2 ... 6 7 »
 
Ответить в данную темуНачать новую тему
 
0 пользователей и 2 гостей читают эту тему: