ANTICHAT

ANTICHAT (https://forum.antichat.io/index.php)
-   Linux, Freebsd, *nix (https://forum.antichat.io/forumdisplay.php?f=124)
-   -   Несколько вопросов по DDoS (https://forum.antichat.io/showthread.php?t=1812967)

nops 15.12.2009 20:18

Друзья! Всем привет!

Имеем CentOS 5.2 На нём биллинг и хостинг

Вопрос в следующем.
Есть сервер, на нём хостится 8 сайтов, 3 домена 2-го уровня, а остальные субдомены каждого из верхнего уровня.
Есть подозрение, что мой сервак атакуют, а именно DDoS.
У меня сначала возрастают пинги с 50мс до 400-600мс и даже до 2000 мс. Так он держится минут 10-15 и потом не отвечает. У меня написан скрипт, если не пингуется IP-адрес в сети интернет, то сервак сам идёт в перезагрузку.
Спустя время, от 5 минут до нескольких часов сервер наконец-то начинает отвечать, и с нормальными пингами от 30 до 60 мс.

Вопрос в следующем, как определить что именно произошло с сервером, почему он перестал отвечать, и если подтвердится что это DDoS, то как определить какой именно домен атакуют...

Заранее благодарен.

usasoft 15.12.2009 23:37

собственно, вот это должно помочь думаю, если разберетесь, и все заработает, отпишите)

Для просмотра скрытого содержимого необходимо иметь 10 сообщений, у вас 0 сообщений.

sultan347 15.12.2009 23:44

Для просмотра скрытого содержимого необходимо иметь 12 сообщений, у вас 0 сообщений.

nops 16.12.2009 06:16

Цитата:


sultan347 написал(а):

*** скрытое содержание ***

А это что? Работа с базой данных MySQL? Что это такое и что с этим делать?

Добавлено через 14 минут
Цитата:


usasoft написал(а):

собственно, вот это должно помочь думаю, если разберетесь, и все заработает, отпишите)
*** скрытое содержание ***

если честно, то не разобрался, что нужно сделать с этим скриптом?

sultan347 16.12.2009 08:49

Цитата:


nops написал(а):

А это что? Работа с базой данных MySQL? Что это такое и что с этим делать?


Суть в том, фиксируется обращения тебе за последние 2 минуты

penguen 16.12.2009 12:54

Логи для чего придумали? Просмотрите их, может на что-то попадете.
Я в apache22 добавил модуль mod_evasive
http://www.lissyara.su/articles/freebsd/www/mod_evasive/
Также в ipw добавил пару правил. Ось Фря 7.2

Citadel 20.12.2009 13:26

На сервере крутится БД? Если да, то посмотри что с ней творится - может есть какие-то проблемы в оптимизации или же медленные запросы висят толпами и грузят процессор. То же касается и скриптов на твоём хостинге.

И хорошо бы написать какая конфигурация железа, статический или динамический IP, может проблему не там ищешь...

P.S. DDOS лучше всего определять и ликвидировать с помощью iptables+limit+log, в нете масса инфы на эту тему.

nops 20.12.2009 20:25

раньше всё было нормально, изменений никаких не делал.
Началась такая фигня. При чём бывает что серв по нескольку раз за вечер уходит в даун, а бывает 3 недели без проблем работает.

pikasun 21.12.2009 17:09

Цитата:


nops написал(а):

раньше всё было нормально, изменений никаких не делал.
Началась такая фигня. При чём бывает что серв по нескольку раз за вечер уходит в даун, а бывает 3 недели без проблем работает.


Посмотрите снифером на кол-во соединений по 80 порту

http://tty.org.ru/node/30
http://dd0s.blogspot.com/
http://it-man.su/2009/04/27/netstat-smotrim-kolichestvo-podklyuchenijj/

nops 24.12.2009 06:48

Друзья. Так-то разобраться не могу. Смотрю по биллинговой системе. Какие запросы и пакеты куда проходили. В результате смотрю, и оказалось, что на 80-й порт запросов оч мало.
Вот скрин из биллинга:

http://www.novour.com/3.jpg



Может я что-то не понимаю?
Из скрина видно, что серв был в дауне с 0:19:40 до 2:47:41(это время)
Затёртые это мой IP.

pikasun 24.12.2009 11:03

Картину траффика нуно. Траф однородными пакетами шел?
На какие порты? IP адреса которые гнали траф сколько их было?
Объем прокаченного трафика.

nops 24.12.2009 11:11

Цитата:


pikasun написал(а):

Картину траффика нуно. Траф однородными пакетами шел?
На какие порты? IP адреса которые гнали траф сколько их было?
Объем прокаченного трафика.


Дык на скрине и погляди. Там указан и источник и получатель, и порты источника и получателя, количество пакетов и объём.....

arez 24.12.2009 11:54

Цитата:


nops написал(а):

Дык на скрине и погляди. Там указан и источник и получатель, и порты источника и получателя, количество пакетов и объём.....


скрин мелок, мне не разобрать.

На мой взгляд - все нормально, DDos отсутствует. Гляди логи.

pikasun 24.12.2009 12:43

Цитата:


nops написал(а):

Дык на скрине и погляди. Там указан и источник и получатель, и порты источника и получателя, количество пакетов и объём.....


Если это вся информация на скрине - тогда чисто, согласен.
Сетевое подключение на коммутаторе 100 мб? Что на порту коммутатора твориться потери есть нет?

nops 24.12.2009 12:57

скрин: http://www.novour.com/3.jpg
Я вот тоже на нашёл, это скрин из биллинговой системы. Подробный трафик по всем направлениям.
Стоит PC Router, потери есть, но не большие, из 1000 пакетов теряются только не более 10-ти. Канал в инет 1Мбит. от провайдера в здание по радио-модему и от модема ко мне по витой паре.
Раньше всё было так же, а проблемы начались сейчас только. точнее месяца 2-3 назад.

pikasun 24.12.2009 13:40

Цитата:


nops написал(а):

скрин: http://www.novour.com/3.jpg
Я вот тоже на нашёл, это скрин из биллинговой системы. Подробный трафик по всем направлениям.
Стоит PC Router, потери есть, но не большие, из 1000 пакетов теряются только не более 10-ти. Канал в инет 1Мбит. от провайдера в здание по радио-модему и от модема ко мне по витой паре.
Раньше всё было так же, а проблемы начались сейчас только. точнее месяца 2-3 назад.


Мы тоже раздаем по радио... Есть наводки от другого оборудования
кто-то включил например куевину какую нить.
Есть погода будь она не ладна. Картины меняются так или иначе.
Недавно засекли новую точку она забивала канал телевидения.
Оппа новый провайдер - здрасте! И все по закону не подкопаешься )))
Пусть провы пинг до оборудования дадут.
Подсунь тестовую тачку с web сервером и попинай ее из вне.

nops 24.12.2009 13:47

пока я закрыл пинг на сервере, icmp -j DROP(правило в iptables)Пока, тфу тфу тфу, работает пока 11 часов без обрывов...........

Akme 24.12.2009 18:11

Цитата:


pikasun написал(а):

....
Недавно засекли новую точку она забивала канал телевидения.
Оппа новый провайдер - здрасте! И все по закону не подкопаешься )))
......


На самом деле подкапаться в данном случае очень даже можно, если найдётся желающий. И "новый провайдер" может в том числе огрести значительных проблем в случае помех другим участникам радио-эфира, особенно приоритетным, таким, как телевиденье. В радионадзор надо жаловаться - приедут, вычислят, предупредят нарушителя о внесении им помех в эфир, предъявят требование устранить, а при обнаружении других нарушений могут и серьёзно наказать... А у нас в CIS что-то делать, и не нарушить при этом десятки чиновьичих норм, правил, распоряжений просто не возможно, поэтому, умные люди в таких случаях быстро всё устраняют, чтобы меньше иметь трения и общения с чиновниками

pikasun 25.12.2009 10:38

Цитата:


Akme написал(а):

На самом деле подкапаться в данном случае очень даже можно, если найдётся желающий. И "новый провайдер" может в том числе огрести значительных проблем в случае помех другим участникам радио-эфира, особенно приоритетным, таким, как телевиденье. В радионадзор надо жаловаться - приедут, вычислят, предупредят нарушителя о внесении им помех в эфир, предъявят требование устранить, а при обнаружении других нарушений могут и серьёзно наказать... А у нас в CIS что-то делать, и не нарушить при этом десятки чиновьичих норм, правил, распоряжений просто не возможно, поэтому, умные люди в таких случаях быстро всё устраняют, чтобы меньше иметь трения и общения с чиновниками

С радионадзором и засекли Особых проблем не было, если не вдаваться в подробности!

Akme 25.12.2009 11:29

Цитата:


pikasun написал(а):

С радионадзором и засекли Особых проблем не было, если не вдаваться в подробности!


Тут конечно есть свои моменты:
- в каком государстве ситуация (надо смотреть соответствующие местные законы;
- независимо от текущего государства - это наверняка бСССР, а значит запредельная коррупция, что значит - законы не работают, а работают взятки, договорняки, крыши, братки, оборотни в погонах...

Так что, в этом деле задействованы противоположные течения, но разрулить всё таки можно при определённых усилиях и желании... За счёт разницы интересов в "элитах" можно всё же и юридическими путями решить дело.

nops 25.12.2009 11:34

Друзья! Что-то вы разогнались не по теме. Чем по теме поможете?

pikasun 25.12.2009 15:40

Цитата:


nops написал(а):

Друзья! Что-то вы разогнались не по теме. Чем по теме поможете?


Так сколько уж написано. Чего еще надо то?
Сервак работает? Ставь IDS крути ядро iptables netstat ставь резерв сервака. Защищай Apache chroot. Делай кластер. Чего еще подсказать?

denisvd 23.06.2010 17:27

Цитата:


nops написал(а):

Друзья! Всем привет!
Имеем CentOS 5.2 На нём биллинг и хостинг
Вопрос в следующем.
Есть сервер, на нём хостится 8 сайтов, 3 домена 2-го уровня, а остальные субдомены каждого из верхнего уровня.
Есть подозрение, что мой сервак атакуют, а именно DDoS.
У меня сначала возрастают пинги с 50мс до 400-600мс и даже до 2000 мс. Так он держится минут 10-15 и потом не отвечает. У меня написан скрипт, если не пингуется IP-адрес в сети интернет, то сервак сам идёт в перезагрузку.
Спустя время, от 5 минут до нескольких часов сервер наконец-то начинает отвечать, и с нормальными пингами от 30 до 60 мс.
Вопрос в следующем, как определить что именно произошло с сервером, почему он перестал отвечать, и если подтвердится что это DDoS, то как определить какой именно домен атакуют...
Заранее благодарен.


Журналы веб-сервера смотреть, количество входящих соединений.

nops 24.06.2010 05:28

Цитата:


denisvd написал(а):

Журналы веб-сервера смотреть, количество входящих соединений.


Спасибо, уже давно разобрался.
Пол года, как юзаю FreeBSD.
поведение сервера было, как при DDoS, а оказалось железо.
Сменил весь сервак и поставил FreeBSD, сейчас доволен и счастлив


Время: 00:56