Список форумов * PWR FACTORY *  -  Новости и предложения по серверам  -  Ддос Атака сервера =\

Автор Сообщение
Max
Добавлено: Вт Фев 09, 2016 1:36
Оффлайн
* Админ Assault *
* Админ Assault *
Награды: 2
PWR Boost Event (Количество: 1) Video Shot Event (Количество: 1)
Информация
На форуме с: 08.05.2013 Возраст: 26 Сообщения: 1796 Откуда: Крымск и Ухта.
А разве один человек может отправить 130000~ запросов?
На сколько я знаю, чтоб провести успешную ддос атаку надо много народу)))






Вернуться к началу
Steam Profile
o5
Добавлено: Вт Фев 09, 2016 1:46
Оффлайн
* Консультант *
* Консультант *
Награды: 2
Video Shot Event (Количество: 1) Почётный ветеран (Количество: 1)
Информация
На форуме с: 13.08.2011 Возраст: 31 Сообщения: 5280
Наркоман, что ли. Ты как себе, вообще, представляешь запрос? Человек сидит и нажимает на кнопку? То есть для тебя 130000 запросов — это человек, который нажал на кнопку 130000 раз?

Цитата:
На сколько я знаю, чтоб провести успешную ддос атаку надо много народу

То-то ты у нас такой неудачный хакер.

Сыр и дырки в сыре: Больше сыра — больше дырок. Больше дырок — меньше сыра. Больше сыра = меньше сыра!
Вернуться к началу
Steam Profile
bibika
Добавлено: Вт Фев 09, 2016 8:02
Оффлайн
* Главный главнюк *
* Главный главнюк *
Информация
На форуме с: 25.10.2009 Возраст: 31 Сообщения: 7545 Откуда: Питер
Я не думаю что это серьёзная атака, но и сервер у нас не профессиональный. Макс, есть сервисы для таких атак, которые стоят копейки. Этот скорее всего какую-нибудь софтину использовал, либо скрипт.



Вернуться к началу
Steam Profile
Max
Добавлено: Вт Фев 09, 2016 8:54
Оффлайн
* Админ Assault *
* Админ Assault *
Награды: 2
PWR Boost Event (Количество: 1) Video Shot Event (Количество: 1)
Информация
На форуме с: 08.05.2013 Возраст: 26 Сообщения: 1796 Откуда: Крымск и Ухта.
ааа, просто раньше слышал от одних ребят что они в ручную ддосили, постоянно нажимая на кнопку)))

и я хакерством не занимаюсь, я лишь пользуюсь халявой)))






Вернуться к началу
Steam Profile
XBOCT
Добавлено: Вт Фев 09, 2016 15:20
Оффлайн
* Админ GunGame *
* Админ GunGame *
Награды: 3
Linux Helper (Количество: 1) PWR Boost Event (Количество: 1) Акционер проекта (Количество: 1)
Информация
На форуме с: 10.10.2015 Возраст: 32 Сообщения: 361 Откуда: Ессентуки
По существу дела, netstat -ant покажет не кол-во пакетов (их, кстати сказать за секунду от каждого клиента прилетает около 100000) эта команда покажет количество открытых сокетов. то есть кол-во попыток соединения на сервер. Что опять же даже для рядовой машинки 100000 может быть напряжно (радовой торрент клиент постоянно держит по нескольку десятков тысяч сессий одновременно и ничего), но не смертельно, не говоря уже для сервера.
Судя по выводу htop вижу load average зашкаливает за !100! (нервничать следует начинать при значениях 0.7 и выше), что могу сказать на этот счёт, процессы стоят долго в очереди, ДОЛГО СТОЯТ в ОЧЕРЕДИ, в какой очереди, куда и зачем не ясно. Что бы понять это в следующий раз делай вывод top, а не htop, он менее красивый, зато более информативный.
Посмотрев на top я бы уже знал куда копать и что тормозит систему, и почему в очереди скапливается столько процессов. Но вероятнее всего затык по сети, точнее по стеку tcp/ip.
Повторюсь,такое кол-во сокетов на сервер хоть и не нормально, но не должно быть смертельно.
Теперь по существу. Для начала пишем на тело абузу провайдеру. Это полюбому. Прямо на тот емайл что указан в whois, проверено, отвечают. Дальше, на сервере, как я понимаю iptables, по идеи такой хлам он должен фильтровать сам, если конечно не сильно кастомизировали таблицу ручками и не удаляли его правила по умолчанию.
Откровенно говоря уже давно работаю с Firewalld, но счас освежу в памяти и набросаю правило для подрезания таким орлам крылышек прямо на входе. Но опять же, стоит понимать, что чтобы фильтрануть даже цепочкой input в пакет надо заглянуть, а это значит он пробежит по стеку сетевой карты и сгенерирует прерывание на процессоре. А значит если очередь растет из-за большого кол-ва прерываний, то фильтрация тут не поможет.
Хотя в данном конкретном случае, вангую, что тело ргузил сайт какими ни будь ресурсоемкими запросами, типа полнотекстового поиска или ещё чего-то подобного. Надо смотреть apache.log И в этом случае, опять же, фильтровать нет смысла, потому как если запросы поиска не оптимизированы и ограничений на время исполнение запроса в базе нет, то положить сайт можно с мобильника десятком правильных запросов. (на этом моменте стоит задуматься о кеширующем фроненде для апача)
Более того, железо, как понимаю не серверное, а обычный десктоп, хоть и мощный, а значит распаралеливать потоки с сетевой карты не умее и обробатывает прерывания с сетевой карты на первом (в терминологии intel нулевое) ядре. То есть фильтрация через iptables конечно даст результат, но оправдает ли он ожидания - большой вопрос.
В случае дальнейших проблем вывод top и cat /proc/interrupts обязательно, плюс tcpdump поGREPаный по целевому ethernet-интерфейсу и ip-подозреваемого.
А фильтрация только на пограничном шлюзе, полюбому, нефиг нагружать проц сервера лишней суетой по фильтрации, ему и так не просто, и игровой сервер и web и SQL сервера крутятся.
    - добавлено спустя 16 минут:
В простейшем случае, когда ддосит один ip-адресс а не целый ботнет, иддосят именно апачу, что имло место в данном случае помогут вот такие правила
iptables -A INPUT -p udp --dport 80 -m connlimit --connlimit-above 20 -j DROP
iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 20 -j DROP

Кол-во соединений --connlimit-above XX можно поставить по своему вкусу.
    - добавлено спустя 7 минут:
iptables -A INPUT -p udp -m connlimit --connlimit-above 20 -j DROP
iptables -A INPUT -p tcp -m connlimit --connlimit-above 20 -j DROP

Можно вообще удрать из правила парметр --dport 80, тогда оно будет применятся ко всем типам траффика, но как себя в этом случае поведут SQL и CS одному лепрекону известно.

Тру вей, это:
1) переселить SQL с Вебсервером на отдельную машинку (это прям категорически неправильно держать их на одной машине с кс-сервером), с нашей посещаемостью сайта им СОООВСЕМ немного нужно будет, (прям совсем немного, 1-1,5Ггц проц 1-2Гб опры, из мусора собрать можно)
2) кеширующий nginx в качестве фронтенда для апача
3) немного фильтрующих правил на !роутере!, но не самих серверах, у них хватает задач помимо того, что бы разбирать весь хлам, который прилетает из сети.
    - добавлено спустя 3 минуты:
По поводу сайта, вообще можно выехать на какую ни будь дешевенькую хостинг площадку, типа 1Gb или подобную. Раньше у них даже халявный хостинг был ограниченный.

В любом случае 1500-2000 рублями в !ГОД!, это копейки, зато получаете нормальных хостинг, не копаетесь с настройками сервера да ещё и какая-никакая защита от ДДОС у всех хостеров есть))) Одни пруфы короче.
    - добавлено спустя 14 минут:
Вернуться к началу
bibika
Добавлено: Вт Фев 09, 2016 19:43
Оффлайн
* Главный главнюк *
* Главный главнюк *
Информация
На форуме с: 25.10.2009 Возраст: 31 Сообщения: 7545 Откуда: Питер
Цитата:
По существу дела, netstat -ant покажет не кол-во пакетов (их, кстати сказать за секунду от каждого клиента прилетает около 100000) эта команда покажет количество открытых сокетов. то есть кол-во попыток соединения на сервер. Что опять же даже для рядовой машинки 100000 может быть напряжно (радовой торрент клиент постоянно держит по нескольку десятков тысяч сессий одновременно и ничего), но не смертельно, не говоря уже для сервера.
Судя по выводу htop вижу load average зашкаливает за !100! (нервничать следует начинать при значениях 0.7 и выше), что могу сказать на этот счёт, процессы стоят долго в очереди, ДОЛГО СТОЯТ в ОЧЕРЕДИ, в какой очереди, куда и зачем не ясно. Что бы понять это в следующий раз делай вывод top, а не htop, он менее красивый, зато более информативный.
Посмотрев на top я бы уже знал куда копать и что тормозит систему, и почему в очереди скапливается столько процессов. Но вероятнее всего затык по сети, точнее по стеку tcp/ip.
Повторюсь,такое кол-во сокетов на сервер хоть и не нормально, но не должно быть смертельно.
Теперь по существу. Для начала пишем на тело абузу провайдеру. Это полюбому. Прямо на тот емайл что указан в whois, проверено, отвечают. Дальше, на сервере, как я понимаю iptables, по идеи такой хлам он должен фильтровать сам, если конечно не сильно кастомизировали таблицу ручками и не удаляли его правила по умолчанию.


htopом я показал лишь нагрузку)))

Цитата:
Откровенно говоря уже давно работаю с Firewalld, но счас освежу в памяти и набросаю правило для подрезания таким орлам крылышек прямо на входе. Но опять же, стоит понимать, что чтобы фильтрануть даже цепочкой input в пакет надо заглянуть, а это значит он пробежит по стеку сетевой карты и сгенерирует прерывание на процессоре. А значит если очередь растет из-за большого кол-ва прерываний, то фильтрация тут не поможет.
Хотя в данном конкретном случае, вангую, что тело ргузил сайт какими ни будь ресурсоемкими запросами, типа полнотекстового поиска или ещё чего-то подобного. Надо смотреть apache.log И в этом случае, опять же, фильтровать нет смысла, потому как если запросы поиска не оптимизированы и ограничений на время исполнение запроса в базе нет, то положить сайт можно с мобильника десятком правильных запросов. (на этом моменте стоит задуматься о кеширующем фроненде для апача)
Да загрузил именно запросами поисковыми страниц, которых не существует.


Цитата:
Более того, железо, как понимаю не серверное, а обычный десктоп, хоть и мощный, а значит распаралеливать потоки с сетевой карты не умее и обробатывает прерывания с сетевой карты на первом (в терминологии intel нулевое) ядре. То есть фильтрация через iptables конечно даст результат, но оправдает ли он ожидания - большой вопрос.
В случае дальнейших проблем вывод top и cat /proc/interrupts обязательно, плюс tcpdump поGREPаный по целевому ethernet-интерфейсу и ip-подозреваемого.
Ну проц там стоит Xeon, мать стояла серверная сейчас, стоит топовая в своё время p5q deluxe, 8 гб оперативы.

Цитата:
А фильтрация только на пограничном шлюзе, полюбому, нефиг нагружать проц сервера лишней суетой по фильтрации, ему и так не просто, и игровой сервер и web и SQL сервера крутятся. В простейшем случае, когда ддосит один ip-адресс а не целый ботнет, иддосят именно апачу, что имло место в данном случае помогут вот такие правила
iptables -A INPUT -p udp --dport 80 -m connlimit --connlimit-above 20 -j DROP
iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 20 -j DROP

Кол-во соединений --connlimit-above XX можно поставить по своему вкусу.
iptables -A INPUT -p udp -m connlimit --connlimit-above 20 -j DROP
iptables -A INPUT -p tcp -m connlimit --connlimit-above 20 -j DROP

Можно вообще удрать из правила парметр --dport 80, тогда оно будет применятся ко всем типам траффика, но как себя в этом случае поведут SQL и CS одному лепрекону известно.


Спасибо буду иметь ввиду, пока я просто забанил ИП адрес черезз IPTABLES и установил 2 защитных модуля для Apache2

Тру вей, это:
Цитата:
1) переселить SQL с Вебсервером на отдельную машинку (это прям категорически неправильно держать их на одной машине с кс-сервером), с нашей посещаемостью сайта им СОООВСЕМ немного нужно будет, (прям совсем немного, 1-1,5Ггц проц 1-2Гб опры, из мусора собрать можно)

Это всё понятно что неправельно, но у нас не хостинг серверов, чтобы это всё делать. И не настолько глобальны чтобы нас все хотели "убить"
Цитата:
2) кеширующий nginx в качестве фронтенда для апача
Вот это можно сделать, какие минусы, если они есть?
Цитата:
3) немного фильтрующих правил на !роутере!, но не самих серверах, у них хватает задач помимо того, что бы разбирать весь хлам, который прилетает из сети.
Роутера нет, сервер напрямую подключён к оборудованию на чердаке.

Цитата:
По поводу сайта, вообще можно выехать на какую ни будь дешевенькую хостинг площадку, типа 1Gb или подобную. Раньше у них даже халявный хостинг был ограниченный.
В любом случае 1500-2000 рублями в !ГОД!, это копейки, зато получаете нормальных хостинг, не копаетесь с настройками сервера да ещё и какая-никакая защита от ДДОС у всех хостеров есть))) Одни пруфы короче.
На недорогих хостингах не будет всего пакета услуг, чтобы работали сокеты и прочая лабуда, необходимая сайту, тут только ВДС арендовать, да и в этом также не вижу смысла.

Вообщем спасибо, при следующей атаке, если она будет отпишу.



Вернуться к началу
Steam Profile
XBOCT
Добавлено: Ср Фев 10, 2016 1:13
Оффлайн
* Админ GunGame *
* Админ GunGame *
Награды: 3
Linux Helper (Количество: 1) PWR Boost Event (Количество: 1) Акционер проекта (Количество: 1)
Информация
На форуме с: 10.10.2015 Возраст: 32 Сообщения: 361 Откуда: Ессентуки
Raspberry+Mikrotik тебе в помошь.
Rasperry PI 2 в качкстве LAMP и Mikrotik в качестве роутера. Цена вопроса 45-60$ за малинку + 50-100$ за самый дешёвый микрот)
Насколько вижу на сайте какйо-то стандартный движок типа Jumla или Drupal. Хотя судя по шкурке больше на Касселер смахивает + phpBB форум, а значит от web-сервера нужно sql, php и apache. Ну и база отсилы 1-2 гига. файлопомойка на 5-6 гигов, кокроче флешки на 16Гб в малинку с головой. Потянет эта игрушка всю требуху на раз.
А по поводу микротика как роутер, думаю и говорить ничего не нужно, сам должен понимать, что это за железка) полноценный линукс на борту с iptables и прочими прелестями в минимальке прожевывает с фильтрацией 35-50Мегабит в секунду на раз и всё это ещё и с интуитивным интерфейсом)

Помогу с настройкой нахаляву, хотя думаю и сам справишься)))
    - добавлено спустя:
Цитата:
Вот это можно сделать, какие минусы, если они есть?

Да в общем-то никаких, кроме того, что ещё один сервис будет крутится. Кстати, тут пораскинул, от подвешивания поисковыми запросами nginx по идее спасет только в том случае если он будет долбить один и тот же запрос, малейший рандом в запросе и nginx пропустит как заздрасте. Тут надо пилить движок поиска, что бы он не дергал базу по заведомо левым запросам.
    - добавлено спустя 4 минуты:
Да, ещё можно настройки mySQL покрутить на предмет таймаута на выполнение запроса. Истекло время на выполнение запроса - возвращаем ошибку и не грузим дальше базу. но тут, увольте, не силён... Знаю чисто теоретически, как оно должно работать.
    - добавлено спустя 4 минуты:
Вариант с малинкой выручит тем, что ддос заложит толькое её, при этом игровой сервер даже не узнает об атаке)
Вернуться к началу
bibika
Добавлено: Ср Фев 10, 2016 15:32
Оффлайн
* Главный главнюк *
* Главный главнюк *
Информация
На форуме с: 25.10.2009 Возраст: 31 Сообщения: 7545 Откуда: Питер
Спасибо, я понял. Вообщем если такие атаки повторятся, то буду уже думать о установке доп оборудования.

Цитата:
файлопомойка 5-6 гигов

Сайт весит гигов 25, а может и более, т.к. там есть и файлы с серверов, для быстрой скачки.



Вернуться к началу
Steam Profile
XBOCT
Добавлено: Чт Фев 11, 2016 0:56
Оффлайн
* Админ GunGame *
* Админ GunGame *
Награды: 3
Linux Helper (Количество: 1) PWR Boost Event (Количество: 1) Акционер проекта (Количество: 1)
Информация
На форуме с: 10.10.2015 Возраст: 32 Сообщения: 361 Откуда: Ессентуки
Цитата:
Спасибо, я понял. Вообщем если такие атаки повторятся, то буду уже думать о установке доп оборудования.

Цитата:
файлопомойка 5-6 гигов

Сайт весит гигов 25, а может и более, т.к. там есть и файлы с серверов, для быстрой скачки.

Внешний винт спасет отца русской демократии)
Вернуться к началу

Показать сообщения:  

На страницу Пред.  1, 2    Страница 2 из 2

Перейти:  

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете вкладывать файлы
Вы не можете скачивать файлы