Премини към съдържанието
Анинфид

Как да защитя сървър от flood атака ?

Препоръчан отговор


Здравейте ! Познат има сървър на wow , и както вече казах в миналата тема имаше проблем със защитата (оправен) , но все пак остана един проблем - flood атаките. Четох , но или не съм чел достатъчно , или не намирам правилното четиво... Компютъра използва Win OS 2003 server. Не се сещам за повече нужна информация , как да го защитим ?

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Здравейте ! Познат има сървър на wow , и както вече казах в миналата тема имаше проблем със защитата (оправен) , но все пак остана един проблем - flood атаките. Четох , но или не съм чел достатъчно , или не намирам правилното четиво... Компютъра използва Win OS 2003 server. Не се сещам за повече нужна информация , как да го защитим ?

доставчика

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

доставчика

По-скоро един свестен файруол, който да блокира автоматично дадено ИП, ако от него има повече от N заявки на секунда. Както и задължителен blacklist за известните спамерски, хакерски ип-та.

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

По-скоро един свестен файруол, който да блокира автоматично дадено ИП, ако от него има повече от N заявки на секунда. Както и задължителен blacklist за известните спамерски, хакерски ип-та.

Ако искаш сложи и три защитни стени, като те заливат с пакети и ти пълнят канала и/или претоварват устройството на входа.....

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Имах на предвид отделна машина, която се занимава с филтриране и само с филтриране. А освен това не виждам как може да ти помогне твоя доставчик в случая.


Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Имах на предвид отделна машина, която се занимава с филтриране и само с филтриране. А освен това не виждам как може да ти помогне твоя доставчик в случая.

Отделна машина просто ще е устройство по пътя. И ако канала е пълен как ще мога да оперирам нормално сайт или каквото е там?

ДОставчика раполага с много по-широк канал от моя и може спокойно да поеме и филтрира такъв трафик. За това само той (или доставчика на атакуващия) може да ми помогне.

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Отделна машина просто ще е устройство по пътя. И ако канала е пълен как ще мога да оперирам нормално сайт или каквото е там?

ДОставчика раполага с много по-широк канал от моя и може спокойно да поеме и филтрира такъв трафик. За това само той (или доставчика на атакуващия) може да ми помогне.

ОК съгласих се.

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Човека казва , че иска "нещо което да ограничава връзките към сървъра до 2 (ип-та) на секунда максимум " .

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Човека казва , че иска "нещо което да ограничава връзките към сървъра до 2 (ип-та) на секунда максимум " .

Фодоре, ти четеш ли какво дискутирахме по-горе? Да говори с доставчика си.

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

да бе доставчика си няма друга работа... като е с 2003 да инсталира isa server и да си го настрои, там има политики всякакви, е ще трябва доста ръчкане но... варианта е пакетите дето са flood да не се обработват - тоест firewall, щото без него 2003 сървър пук и която да е о.с. ги обработва докато разбере че не и трябват и това бави и задръства канала

Редактирано от the professor (преглед на промените)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

да бе доставчика си няма друга работа... като е с 2003 да инсталира isa server и да си го настрои, там има политики всякакви, е ще трябва доста ръчкане но...

варианта е пакетите дето са flood да не се обработват - тоест firewall, щото без него 2003 сървър пук и която да е о.с. ги обработва докато разбере че не и трябват и това бави и задръства канала

Зависи от запълването, аз да ти пращам големи пакети със скоростта на канала, ти си сложи защитна стена, Баси, мисли малко, тези атаки са неотразими на локално ниво, предния хоп може (ако иска)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Зависи от запълването, аз да ти пращам големи пакети със скоростта на канала, ти си сложи защитна стена, Баси, мисли малко, тези атаки са неотразими на локално ниво, предния хоп може (ако иска)

така си е обаче щом доставчика не е взел мерки значи канала не е запълнен, ако беше и други зад съответния хоп щяха да изпищят...

п.с. не мисля че ако пусна

ping -f

ще запълня канала даже и от няколко места да го пусна, пък какво говорим за атаки при които се изчака за отговор от жертвата...

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

така си е обаче щом доставчика не е взел мерки значи канала не е запълнен, ако беше и други зад съответния хоп щяха да изпищят...

п.с. не мисля че ако пусна

ping -f

ще запълня канала даже и от няколко места да го пусна, пък какво говорим за атаки при които се изчака за отговор от жертвата...

Ping не е точния инструмент за целта, има много по-добри начини. Освен това не е задължително да се чака за 3-way аутентикация, и без нея може достатъчно да се натовари канала. А ако не се запъллва физическия а вуртуалния канал съседите няма и да забележат че нещо става (нали иам шейпъри за тази цел).

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Писах го и в един друг форум хайде и тук:

малко цитат от локалния ми форум http://www.optisprint.net/forum/index.php?showtopic=11650

например, човека който флууди има 60mbps upload, а жертвата има 10mbps download, пакетите запълват даунлоуд канала на жертвата, понеже той има шейпър на 10мбит и потребителя остава без интернет..

другият вариант който може да се получи е ако жертвата има пуснат icmp, тогава udp флуудъра като флууди на портове на който няма нищо стартирано, тогава жертвата се скъсва да връща с icmp Destination Port unreachable и машината забива най-често

другия вариант е за windows потребителите, който ползват защитни стени като comodo firewall eset firewall и тнт..

тогава самия firewall обработва пакетите и фрийзва с 100% cpu

най-лошия вариант е ddos udp flood, на който бях жертва и аз и то много пъти до сега..

разликата е, че флууда не е само от един компютър и едно ип а от много машини, може зомбита, а може и хора който знаят какво правят..

единственото спасение с такъв флууд е отговор с още по-голям.. в днешно време се намират лесно уязвими домашни компютри и web сървъри от който най-често идват флуудовете..

ще допълня с като посмятам малко:

при скорости от 10-15-20Мбит на клиент и при положение,че флудъра разполага с теоретично неограничен ъплоуд и при размер на пакета 64 байта се получава следното:

20Мбит~40000 пкаета

какво става обаще ако намаляваме размера на пакета примерно 32 байта

20Мбит~80000 пакета

Сами разбирате,че тук вече не лимитирането на т.нар. bandwidth е проблема

Проблема е наличието на отвратително много на брой пакети,които така или иначе трябва да се обработят от IP стека на машината...

Достатъчно показателно е, че като напишеш в google udp flood до 20-тата страница няма нито едно технически обосновано решение. Самият аз доста време се занимавах с проблема, той Ди-джея знае но все попадах на разни частични решения които по добре без тях отколкото куп нови проблеми като да си отрежеш DNS сървърите например защото трафика там основно минава през udp протокола. Каквото и да кажа го пише в google на дълго и на широко е разискван проблема защо се получава така с този udp протокол но като за начало много хора го бъркат с разни други флуудове като syn атака която e tcp flood всъщност или icmp пинг на всичките 65 000 порта и за двата варианта има решемия но за юдп флууда не намерих такова ...

Повечето потребители си мислят, че DоS атаката е някаква специална атака под ДОС (операционната система преди windows 3.0) или поне някаква специална мрежова такава. DоS атаката е много общо понятие обединяващо всички атаки в интернет водещи до отказ на услуга (например да не ви работи коректно web сървъра поради някакъв флууд е DоS атака). Откакто има Интернет основно има 2 вида DоS атаки - spoof и flood а често и комбнирани. DoS атаките не влиаят върху работата на съответния компютър, но прекъсват връзката на останалите потребители в мрежата към този компютър, мрежово устройство или каквото и да е нещо което работи с ipV4 - TCP/IP.

Не мога да се сдържа да не опиша всъщност кое какво е защото много се спекулира по въпроса и се говорят куп глупости от хора които не са наясно с тази материя.

arp poisoning - напоследък често се коментираше в мрежата на Оптиспринт а и създаде не малко проблеми с подправени фалшиви gateway's и заразени Windows XP който "тровеха" трафика на комшиите си. Тази атака в Интернет не работи а само в локалната ви мрежа до логическият ви маршрутизатор който отрязва информацията ви за мак адреса извън локалната ви мрежа. В 99% от случайте е заразен Windows с вирус представящ се за вашия gateway или просто ви подава фалшиви ethernet (MAC) адреси на устройства които не съществуват.

ip spoofing - това е ясно и няма да го коментирам ...

syn flood - Когато някой изпраща SYN пакети с фалшиви IP адреси. компютъра добавя заявката в опашка и чака завършване на тристранното TCP ръкостискане. Опашката се препълва с чакащи сесии и машината не може да поеме нови TCP връзки. Това много отдавна се преборва с hashlimit под Linux а под Windows си е с вградена защита.

icmp flood - изпращат се фалшиви icmp пакети с ип адрес на получателя след което машината се задръства от собствените си отговори но и за това също отдавна си има лек.

И udp flood e когато някой изпраща udp пакети (често с нулева големина) без да се интересува какъв е отговора на жертвата. Машината започва да отговаря на всеки един пакет само, че вече с нормална големина на пакетите, че не знае какво иска първата от нея и това я претоварва с трафик. На самата машина нищо и няма но почти губи връзка със света. Тази слабост на udp протокола винаги я е имало, тя не се е появила от сега. Просто Интернет стана много модерен и достъпен за всякакви олигофрени. Идиотите който правят това не са хакери, това са така наречените скриптъри който ровят по цял ден в интернет за да намерят нещо което не разбират как работи но прави някаква пакост и това го кара да с чувства герой и да изпита "вътрешен оргазъм" или състояние което се нарича "чикия на мозъка" наблюдаваща се най вече в пубертета.

Какво всъщност представлява пртотокола udp ...

Протоколът udp не осигурява гарантирана доставка на данни и не се занимава с проверка на получаването им. udp осигурява единствено контролна сума, гарантираща целостта на данните - Звучи малко фрапиращо но си е точно така. Все пак може да се има впредвид, че над 95% от трафика в Интернет е tcp а програмите който ползват udp например стриимовете (tv, radio и подобни) по някакаъв начин сами си правят контрол на грешките от повторенията и изгубване на пакети с така наречените буфери.

Принципно всяка DoS атака се води престъпление във всяка една държава която има нормална конституция и ако продължава така все си мисля, че ще има няколко бушона който ще изгорят. Надявам се после да не ги направят мъченици герои като Кевин Митник макар, че за такива 5 години без компютър е много по голямо наказание отколкото 5 години в затвора ....

Въпреки всичко аз не съм изгубил надежда, че проблема може да се реши по някакъв технически начин и ако някои иска да опита какво е udp flood или има желание да опита да се пребори с него с удолствие ще му пусна един такъв (с разрешението на Иво Стефанов разбира се) ...

В някои сайтове съм виждал hardware решения специално за юдп флууд но нямам представа нито как работи нито каква работа върши но след като има такива значи има решение на въпроса.

флууда може да се спре, когато е по-малък от download скороста на жертвата, но например мен като ме флуудят с 30-40мбит и интернета ми просто спира..

той компютъра ми и да работи и да е изключен те пакетите пак ще минават през шейпъра който ще ги реже на 5мбит, за това firewall-a който да блокира флууда трябва да е преди въпросния шейпър..

иначе аз с онези от холандския хостинг се справих по следния начин:

след като неколкократно им писах имейли, те просто не бяха заинтересовани какво се случва от техните наемни сървъри..

след 2 дена без интернет вече бях издивял и накарах един мой приятел от локала да ми пусне за малко впн сървър и точно за 2 часа бях накачил php шелове + udp флуудъра ми на около 50 машини, от тях имаше домашни компютри, но имаше и разни хостинг сървърчета + по скайпа събрах 20 човека с интернети 50+мбит ъплоуд и след 1 час упорит флууд ония от холандския хостинг спряха флууда към мене и до сега не са го пускали да чукна на дърво..

интересно е, че в сайта им пише, че към всеки от сървърите им има по 1гбпс връзка, а до като флуудих въпросния сървър пинга с него вървеше на 400ms с request-и при нормални 60 ..

та.. единственото решение срещу флууд е по-голям флууд..

Писанията се отнасят точно за един такъв със сървър за Wow.

Редактирано от Филипов (преглед на промените)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Добавете отговор

Можете да публикувате отговор сега и да се регистрирате по-късно. Ако имате регистрация, влезте в профила си за да публикувате от него.

Гост
Напишете отговор в тази тема...

×   Вмъкнахте текст, който съдържа форматиране.   Премахни форматирането на текста

  Разрешени са само 75 емотикони.

×   Съдържанието от линка беше вградено автоматично.   Премахни съдържанието и покажи само линк

×   Съдържанието, което сте написали преди беше възстановено..   Изтрий всичко

×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Добави ново...

Информация

Поставихме бисквитки на устройството ви за най-добро потребителско изживяване. Можете да промените настройките си за бисквитки, или в противен случай приемаме, че сте съгласни с нашите условия.