Автор |
Сообщение |
Max |
Добавлено: Вт Фев 09, 2016 1:36
|
|
|
* Админ Assault *
Информация
На форуме с: 08.05.2013
Возраст: 33
Сообщения: 1796
Откуда: Крымск и Ухта.
|
А разве один человек может отправить 130000~ запросов?
На сколько я знаю, чтоб провести успешную ддос атаку надо много народу))) |
|
|
Вернуться к началу
|
|
o5 |
Добавлено: Вт Фев 09, 2016 1:46
|
|
|
* Бан по ассисту *
Информация
На форуме с: 13.08.2011
Возраст: 37
Сообщения: 5796
|
Наркоман, что ли. Ты как себе, вообще, представляешь запрос? Человек сидит и нажимает на кнопку? То есть для тебя 130000 запросов — это человек, который нажал на кнопку 130000 раз?
Цитата: На сколько я знаю, чтоб провести успешную ддос атаку надо много народу
То-то ты у нас такой неудачный хакер. |
Сыр и дырки в сыре: Больше сыра — больше дырок. Больше дырок — меньше сыра. Больше сыра = меньше сыра! |
|
Вернуться к началу
|
|
bibika |
Добавлено: Вт Фев 09, 2016 8:02
|
|
|
* Главный главнюк *
Информация
На форуме с: 25.10.2009
Возраст: 37
Сообщения: 7834
Откуда: Питер
|
Я не думаю что это серьёзная атака, но и сервер у нас не профессиональный. Макс, есть сервисы для таких атак, которые стоят копейки. Этот скорее всего какую-нибудь софтину использовал, либо скрипт. |
|
|
Вернуться к началу
|
|
Max |
Добавлено: Вт Фев 09, 2016 8:54
|
|
|
* Админ Assault *
Информация
На форуме с: 08.05.2013
Возраст: 33
Сообщения: 1796
Откуда: Крымск и Ухта.
|
ааа, просто раньше слышал от одних ребят что они в ручную ддосили, постоянно нажимая на кнопку)))
и я хакерством не занимаюсь, я лишь пользуюсь халявой))) |
|
|
Вернуться к началу
|
|
XBOCT |
Добавлено: Вт Фев 09, 2016 15:20
|
|
|
* Админ GunGame *
Информация
На форуме с: 10.10.2015
Возраст: 38
Сообщения: 366
Откуда: Ессентуки
|
По существу дела, netstat -ant покажет не кол-во пакетов (их, кстати сказать за секунду от каждого клиента прилетает около 100000) эта команда покажет количество открытых сокетов. то есть кол-во попыток соединения на сервер. Что опять же даже для рядовой машинки 100000 может быть напряжно (радовой торрент клиент постоянно держит по нескольку десятков тысяч сессий одновременно и ничего), но не смертельно, не говоря уже для сервера.
Судя по выводу htop вижу load average зашкаливает за !100! (нервничать следует начинать при значениях 0.7 и выше), что могу сказать на этот счёт, процессы стоят долго в очереди, ДОЛГО СТОЯТ в ОЧЕРЕДИ, в какой очереди, куда и зачем не ясно. Что бы понять это в следующий раз делай вывод top, а не htop, он менее красивый, зато более информативный.
Посмотрев на top я бы уже знал куда копать и что тормозит систему, и почему в очереди скапливается столько процессов. Но вероятнее всего затык по сети, точнее по стеку tcp/ip.
Повторюсь,такое кол-во сокетов на сервер хоть и не нормально, но не должно быть смертельно.
Теперь по существу. Для начала пишем на тело абузу провайдеру. Это полюбому. Прямо на тот емайл что указан в whois, проверено, отвечают. Дальше, на сервере, как я понимаю iptables, по идеи такой хлам он должен фильтровать сам, если конечно не сильно кастомизировали таблицу ручками и не удаляли его правила по умолчанию.
Откровенно говоря уже давно работаю с Firewalld, но счас освежу в памяти и набросаю правило для подрезания таким орлам крылышек прямо на входе. Но опять же, стоит понимать, что чтобы фильтрануть даже цепочкой input в пакет надо заглянуть, а это значит он пробежит по стеку сетевой карты и сгенерирует прерывание на процессоре. А значит если очередь растет из-за большого кол-ва прерываний, то фильтрация тут не поможет.
Хотя в данном конкретном случае, вангую, что тело ргузил сайт какими ни будь ресурсоемкими запросами, типа полнотекстового поиска или ещё чего-то подобного. Надо смотреть apache.log И в этом случае, опять же, фильтровать нет смысла, потому как если запросы поиска не оптимизированы и ограничений на время исполнение запроса в базе нет, то положить сайт можно с мобильника десятком правильных запросов. (на этом моменте стоит задуматься о кеширующем фроненде для апача)
Более того, железо, как понимаю не серверное, а обычный десктоп, хоть и мощный, а значит распаралеливать потоки с сетевой карты не умее и обробатывает прерывания с сетевой карты на первом (в терминологии intel нулевое) ядре. То есть фильтрация через iptables конечно даст результат, но оправдает ли он ожидания - большой вопрос.
В случае дальнейших проблем вывод top и cat /proc/interrupts обязательно, плюс tcpdump поGREPаный по целевому ethernet-интерфейсу и ip-подозреваемого.
А фильтрация только на пограничном шлюзе, полюбому, нефиг нагружать проц сервера лишней суетой по фильтрации, ему и так не просто, и игровой сервер и web и SQL сервера крутятся.- добавлено спустя 16 минут: В простейшем случае, когда ддосит один ip-адресс а не целый ботнет, иддосят именно апачу, что имло место в данном случае помогут вот такие правила
iptables -A INPUT -p udp --dport 80 -m connlimit --connlimit-above 20 -j DROP
iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 20 -j DROP
Кол-во соединений --connlimit-above XX можно поставить по своему вкусу.- добавлено спустя 7 минут: iptables -A INPUT -p udp -m connlimit --connlimit-above 20 -j DROP
iptables -A INPUT -p tcp -m connlimit --connlimit-above 20 -j DROP
Можно вообще удрать из правила парметр --dport 80, тогда оно будет применятся ко всем типам траффика, но как себя в этом случае поведут SQL и CS одному лепрекону известно.
Тру вей, это:
1) переселить SQL с Вебсервером на отдельную машинку (это прям категорически неправильно держать их на одной машине с кс-сервером), с нашей посещаемостью сайта им СОООВСЕМ немного нужно будет, (прям совсем немного, 1-1,5Ггц проц 1-2Гб опры, из мусора собрать можно)
2) кеширующий nginx в качестве фронтенда для апача
3) немного фильтрующих правил на !роутере!, но не самих серверах, у них хватает задач помимо того, что бы разбирать весь хлам, который прилетает из сети.- добавлено спустя 3 минуты: По поводу сайта, вообще можно выехать на какую ни будь дешевенькую хостинг площадку, типа 1Gb или подобную. Раньше у них даже халявный хостинг был ограниченный.
В любом случае 1500-2000 рублями в !ГОД!, это копейки, зато получаете нормальных хостинг, не копаетесь с настройками сервера да ещё и какая-никакая защита от ДДОС у всех хостеров есть))) Одни пруфы короче.- добавлено спустя 14 минут: |
|
|
Вернуться к началу
|
|
bibika |
Добавлено: Вт Фев 09, 2016 19:43
|
|
|
* Главный главнюк *
Информация
На форуме с: 25.10.2009
Возраст: 37
Сообщения: 7834
Откуда: Питер
|
Цитата: По существу дела, netstat -ant покажет не кол-во пакетов (их, кстати сказать за секунду от каждого клиента прилетает около 100000) эта команда покажет количество открытых сокетов. то есть кол-во попыток соединения на сервер. Что опять же даже для рядовой машинки 100000 может быть напряжно (радовой торрент клиент постоянно держит по нескольку десятков тысяч сессий одновременно и ничего), но не смертельно, не говоря уже для сервера.
Судя по выводу htop вижу load average зашкаливает за !100! (нервничать следует начинать при значениях 0.7 и выше), что могу сказать на этот счёт, процессы стоят долго в очереди, ДОЛГО СТОЯТ в ОЧЕРЕДИ, в какой очереди, куда и зачем не ясно. Что бы понять это в следующий раз делай вывод top, а не htop, он менее красивый, зато более информативный.
Посмотрев на top я бы уже знал куда копать и что тормозит систему, и почему в очереди скапливается столько процессов. Но вероятнее всего затык по сети, точнее по стеку tcp/ip.
Повторюсь,такое кол-во сокетов на сервер хоть и не нормально, но не должно быть смертельно.
Теперь по существу. Для начала пишем на тело абузу провайдеру. Это полюбому. Прямо на тот емайл что указан в whois, проверено, отвечают. Дальше, на сервере, как я понимаю iptables, по идеи такой хлам он должен фильтровать сам, если конечно не сильно кастомизировали таблицу ручками и не удаляли его правила по умолчанию.
htopом я показал лишь нагрузку)))
Цитата: Откровенно говоря уже давно работаю с Firewalld, но счас освежу в памяти и набросаю правило для подрезания таким орлам крылышек прямо на входе. Но опять же, стоит понимать, что чтобы фильтрануть даже цепочкой input в пакет надо заглянуть, а это значит он пробежит по стеку сетевой карты и сгенерирует прерывание на процессоре. А значит если очередь растет из-за большого кол-ва прерываний, то фильтрация тут не поможет.
Хотя в данном конкретном случае, вангую, что тело ргузил сайт какими ни будь ресурсоемкими запросами, типа полнотекстового поиска или ещё чего-то подобного. Надо смотреть apache.log И в этом случае, опять же, фильтровать нет смысла, потому как если запросы поиска не оптимизированы и ограничений на время исполнение запроса в базе нет, то положить сайт можно с мобильника десятком правильных запросов. (на этом моменте стоит задуматься о кеширующем фроненде для апача) Да загрузил именно запросами поисковыми страниц, которых не существует.
Цитата: Более того, железо, как понимаю не серверное, а обычный десктоп, хоть и мощный, а значит распаралеливать потоки с сетевой карты не умее и обробатывает прерывания с сетевой карты на первом (в терминологии intel нулевое) ядре. То есть фильтрация через iptables конечно даст результат, но оправдает ли он ожидания - большой вопрос.
В случае дальнейших проблем вывод top и cat /proc/interrupts обязательно, плюс tcpdump поGREPаный по целевому ethernet-интерфейсу и ip-подозреваемого. Ну проц там стоит Xeon, мать стояла серверная сейчас, стоит топовая в своё время p5q deluxe, 8 гб оперативы.
Цитата: А фильтрация только на пограничном шлюзе, полюбому, нефиг нагружать проц сервера лишней суетой по фильтрации, ему и так не просто, и игровой сервер и web и SQL сервера крутятся. В простейшем случае, когда ддосит один ip-адресс а не целый ботнет, иддосят именно апачу, что имло место в данном случае помогут вот такие правила
iptables -A INPUT -p udp --dport 80 -m connlimit --connlimit-above 20 -j DROP
iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 20 -j DROP
Кол-во соединений --connlimit-above XX можно поставить по своему вкусу.
iptables -A INPUT -p udp -m connlimit --connlimit-above 20 -j DROP
iptables -A INPUT -p tcp -m connlimit --connlimit-above 20 -j DROP
Можно вообще удрать из правила парметр --dport 80, тогда оно будет применятся ко всем типам траффика, но как себя в этом случае поведут SQL и CS одному лепрекону известно.
Спасибо буду иметь ввиду, пока я просто забанил ИП адрес черезз IPTABLES и установил 2 защитных модуля для Apache2
Тру вей, это:
Цитата: 1) переселить SQL с Вебсервером на отдельную машинку (это прям категорически неправильно держать их на одной машине с кс-сервером), с нашей посещаемостью сайта им СОООВСЕМ немного нужно будет, (прям совсем немного, 1-1,5Ггц проц 1-2Гб опры, из мусора собрать можно)
Это всё понятно что неправельно, но у нас не хостинг серверов, чтобы это всё делать. И не настолько глобальны чтобы нас все хотели "убить"
Цитата: 2) кеширующий nginx в качестве фронтенда для апача Вот это можно сделать, какие минусы, если они есть?
Цитата: 3) немного фильтрующих правил на !роутере!, но не самих серверах, у них хватает задач помимо того, что бы разбирать весь хлам, который прилетает из сети. Роутера нет, сервер напрямую подключён к оборудованию на чердаке.
Цитата: По поводу сайта, вообще можно выехать на какую ни будь дешевенькую хостинг площадку, типа 1Gb или подобную. Раньше у них даже халявный хостинг был ограниченный.
В любом случае 1500-2000 рублями в !ГОД!, это копейки, зато получаете нормальных хостинг, не копаетесь с настройками сервера да ещё и какая-никакая защита от ДДОС у всех хостеров есть))) Одни пруфы короче. На недорогих хостингах не будет всего пакета услуг, чтобы работали сокеты и прочая лабуда, необходимая сайту, тут только ВДС арендовать, да и в этом также не вижу смысла.
Вообщем спасибо, при следующей атаке, если она будет отпишу. |
|
|
Вернуться к началу
|
|
XBOCT |
Добавлено: Ср Фев 10, 2016 1:13
|
|
|
* Админ GunGame *
Информация
На форуме с: 10.10.2015
Возраст: 38
Сообщения: 366
Откуда: Ессентуки
|
Raspberry+Mikrotik тебе в помошь.
Rasperry PI 2 в качкстве LAMP и Mikrotik в качестве роутера. Цена вопроса 45-60$ за малинку + 50-100$ за самый дешёвый микрот)
Насколько вижу на сайте какйо-то стандартный движок типа Jumla или Drupal. Хотя судя по шкурке больше на Касселер смахивает + phpBB форум, а значит от web-сервера нужно sql, php и apache. Ну и база отсилы 1-2 гига. файлопомойка на 5-6 гигов, кокроче флешки на 16Гб в малинку с головой. Потянет эта игрушка всю требуху на раз.
А по поводу микротика как роутер, думаю и говорить ничего не нужно, сам должен понимать, что это за железка) полноценный линукс на борту с iptables и прочими прелестями в минимальке прожевывает с фильтрацией 35-50Мегабит в секунду на раз и всё это ещё и с интуитивным интерфейсом)
Помогу с настройкой нахаляву, хотя думаю и сам справишься))) Цитата: Вот это можно сделать, какие минусы, если они есть?
Да в общем-то никаких, кроме того, что ещё один сервис будет крутится. Кстати, тут пораскинул, от подвешивания поисковыми запросами nginx по идее спасет только в том случае если он будет долбить один и тот же запрос, малейший рандом в запросе и nginx пропустит как заздрасте. Тут надо пилить движок поиска, что бы он не дергал базу по заведомо левым запросам.- добавлено спустя 4 минуты: Да, ещё можно настройки mySQL покрутить на предмет таймаута на выполнение запроса. Истекло время на выполнение запроса - возвращаем ошибку и не грузим дальше базу. но тут, увольте, не силён... Знаю чисто теоретически, как оно должно работать.- добавлено спустя 4 минуты: Вариант с малинкой выручит тем, что ддос заложит толькое её, при этом игровой сервер даже не узнает об атаке) |
|
|
Вернуться к началу
|
|
bibika |
Добавлено: Ср Фев 10, 2016 15:32
|
|
|
* Главный главнюк *
Информация
На форуме с: 25.10.2009
Возраст: 37
Сообщения: 7834
Откуда: Питер
|
Спасибо, я понял. Вообщем если такие атаки повторятся, то буду уже думать о установке доп оборудования.
Цитата: файлопомойка 5-6 гигов
Сайт весит гигов 25, а может и более, т.к. там есть и файлы с серверов, для быстрой скачки. |
|
|
Вернуться к началу
|
|
XBOCT |
Добавлено: Чт Фев 11, 2016 0:56
|
|
|
* Админ GunGame *
Информация
На форуме с: 10.10.2015
Возраст: 38
Сообщения: 366
Откуда: Ессентуки
|
Цитата: Спасибо, я понял. Вообщем если такие атаки повторятся, то буду уже думать о установке доп оборудования.
Цитата: файлопомойка 5-6 гигов
Сайт весит гигов 25, а может и более, т.к. там есть и файлы с серверов, для быстрой скачки.
Внешний винт спасет отца русской демократии) |
|
|
Вернуться к началу
|
|
|
На страницу Пред. 1, 2 Страница 2 из 2
|
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете голосовать в опросах Вы не можете вкладывать файлы Вы не можете скачивать файлы |
|