Kaj narediti, ko te DDOSajo?

18 naročnikov

Kako se s temi noliferji in nevoščljivci borite drugi?

Imam že 2. napad danes, sicer z malo IPjeve tko, da se bo verjetno dalo nekaj na tem nivoju naredit, da se blokira IP po XX št. poizvedb v neki časovni enoti. In upam, da ne bo bumbar šel nabavit 100 novih proxijev.

Evo ura je čez 3 in še nisem mogel it spat. Take bedake, ki to delajo bi morali kastrirat!

Pomembno je, da requeste čimprej zavrneš.

Če ti pridejo do PHPja in baze, si pogorel, ker to zavzame največ časa. Če se jih losaš na nivoju firewalla, zadostuje, vendar ne vedno.

Mambo89 za klaisčen DDOS se svetuje na routerju če se da, da se ne pride do serverja - ponudniki to lahko nastavijo, če hočejo :/:
- syn flood (se omeji na portu na neko standardno vrednost - )
- UDP flood (se na port omeji na 10k/s)

Drugače pa za kak nasvet, če je zadeva v Sloveniji, SICERT, so zelo ustrežljivi in podkovani.

zadevo, katero ti priporocam, da pogooglas je IPS/IDS. Mi imamo izkusnje z snort-om (www.snort.org).

Preveč ljudi se javlja v temah, čeprav nimajo pojma točno za kaj se gre in svetujejo stvari, ki bi dotičen DDOS samo poslabšale. Par idej, ki so padle tule, vam garantirano onesposobi strežnik. Da malce ojasnim situacijo z mojega zornega vidika:

Pri DDOSu gre za napad iz ogromno ipjev, vsak pošilja TCP/UDP/ICMP pakete na vaš strežnik. V tem trenutku lahko pride do dveh težav. Ena je, da je strežnik preobremenjen in hoga CPU, druga težava, do katere lahko pride pa je da se zabije pasovna širina internetne povezave.

Seveda pride tudi do drugih, malce bolj finih zapletov na napravah, ampak okej, da ne bomo dolgovezili. Na kratko kaj vam je storiti?

• Kot prvo želite imeti požarni zid, ki bo omejeval število requestov na sekundo/minuto iz določenega ipja. Normalno ob takih napadih hitro najdeš "offending" ipje. Ne bi govoril o različnih tipih napada, ampak ponavadi gre za tipičen napad, kjer napadalec ne gleda na resurse svojih botov in pošlje morje podatkov v čimkrajšem času na strežnik z namenom čimhitrejšega efekta, se pravi nedelujočega strežnika. S tem se rešite problema s CPU-jem oz. ga vsaj držite v zmernih mejah, se pravi da strežnik deluje in se izvajajo skripte le za legitimen traffic. Poizkušate čim manj filtrirati traffic s programi kot je IDS, IPS, razne geo lokacije ipd. ki dejansko zelo povečajo rabo procesorja, saj mora strežnik za vsak ip še dodatno kuriti resurse da izve več o njem. Poizkušate se držati načela, da delate vso filtracijo na čim nižjem nivoju, ki je hiter.

• Drug problem je povezava. S tem da dropate in ne odgovarjate na pakete napadalcev, to ne pomeni da ne prihajajo, le vidite jih ne. Če zaženete kak program, ki spremlja traffic, spravi vašo kartico v promiscous mode, kar pomeni da dejansko vidite ves promet. Še vedno prihajajo requesti na strežnik in kurijo vašo povezavo. Kaj narediti v tem primeru? Vi bore malo lahko storite za to. Prosite lahko ponudnika, da blokira dotične offending ipje, tako da ne trpi vaša povezava. Če se to ne da oz. ponudnik tega noče, je druga rešitev da imate pasovno širino večjo od pasovne širine vseh botov, ki pošiljajo traffic. Pri tem morate računati tudi na vaš legitimen traffic, ki vam že dela nekaj prometa. 100mbit linije so ponavadi kaj hitro zapolnjene, saj ima sedaj že skoraj vsak VDSL ali optiko, ki je sama zmožna pošiljati 20mbit+ traffica na strežnik.

Tako, na kratko par informacij.

Gre pa pri DDOSu za še precej več stvari, ki vplivajo na njegovo efektivnost, ampak to je že naprednejša tema, ki se tiče bolj sistemskih administratorjev, kot pa webmojstrov :)

kopriva:
Hmm ... A ni irelevantno, da "blokiraš tuje IP-je" pri "pravem" DDOSu? Ni finta v tem, da problem nastane že takoj na začetku, ko mora server sploh hendlat requeste?

Ne vem, ali si predstavljam tole prav, ampak ... DDOS je kot da bi te nekdo skoz neki spraševal. Recimo 10x na sekundo. A je važno, kako odgovoriš? Problem je, ker se ti od vprašanj zmeša ... :)

To je tak kot na tržnici. Ne odgovarjaš, da ne rabiš solate pa paprike ampak samo mimo hodiš. :)

vision2003:
Res sem že bil na tem, da napišem nekaj podobnega...

bl4ckb1rd:
Preveč ljudi se javlja v temah, čeprav nimajo pojma točno za kaj se gre in svetujejo stvari, ki bi dotičen DDOS samo poslabšale. Par idej, ki so padle tule, vam garantirano onesposobi strežnik. Da malce ojasnim situacijo z mojega zornega vidika:

Pri DDOSu gre za napad iz ogromno ipjev, vsak pošilja TCP/UDP/ICMP pakete na vaš strežnik. V tem trenutku lahko pride do dveh težav. Ena je, da je strežnik preobremenjen in hoga CPU, druga težava, do katere lahko pride pa je da se zabije pasovna širina internetne povezave.

Seveda pride tudi do drugih, malce bolj finih zapletov na napravah, ampak okej, da ne bomo dolgovezili. Na kratko kaj vam je storiti?

• Kot prvo želite imeti požarni zid, ki bo omejeval število requestov na sekundo/minuto iz določenega ipja. Normalno ob takih napadih hitro najdeš "offending" ipje. Ne bi govoril o različnih tipih napada, ampak ponavadi gre za tipičen napad, kjer napadalec ne gleda na resurse svojih botov in pošlje morje podatkov v čimkrajšem času na strežnik z namenom čimhitrejšega efekta, se pravi nedelujočega strežnika. S tem se rešite problema s CPU-jem oz. ga vsaj držite v zmernih mejah, se pravi da strežnik deluje in se izvajajo skripte le za legitimen traffic. Poizkušate čim manj filtrirati traffic s programi kot je IDS, IPS, razne geo lokacije ipd. ki dejansko zelo povečajo rabo procesorja, saj mora strežnik za vsak ip še dodatno kuriti resurse da izve več o njem. Poizkušate se držati načela, da delate vso filtracijo na čim nižjem nivoju, ki je hiter.

• Drug problem je povezava. S tem da dropate in ne odgovarjate na pakete napadalcev, to ne pomeni da ne prihajajo, le vidite jih ne. Če zaženete kak program, ki spremlja traffic, spravi vašo kartico v promiscous mode, kar pomeni da dejansko vidite ves promet. Še vedno prihajajo requesti na strežnik in kurijo vašo povezavo. Kaj narediti v tem primeru? Vi bore malo lahko storite za to. Prosite lahko ponudnika, da blokira dotične offending ipje, tako da ne trpi vaša povezava. Če se to ne da oz. ponudnik tega noče, je druga rešitev da imate pasovno širino večjo od pasovne širine vseh botov, ki pošiljajo traffic. Pri tem morate računati tudi na vaš legitimen traffic, ki vam že dela nekaj prometa. 100mbit linije so ponavadi kaj hitro zapolnjene, saj ima sedaj že skoraj vsak VDSL ali optiko, ki je sama zmožna pošiljati 20mbit+ traffica na strežnik.

Tako, na kratko par informacij.

Gre pa pri DDOSu za še precej več stvari, ki vplivajo na njegovo efektivnost, ampak to je že naprednejša tema, ki se tiče bolj sistemskih administratorjev, kot pa webmojstrov :)

Res sem že bil na tem, da napišem nekaj podobnega...

bl4ckb1rd:
Preveč ljudi se javlja v temah, čeprav nimajo pojma točno za kaj se gre in svetujejo stvari, ki bi dotičen DDOS samo poslabšale. Par idej, ki so padle tule, vam garantirano onesposobi strežnik. Da malce ojasnim situacijo z mojega zornega vidika:

Pri DDOSu gre za napad iz ogromno ipjev, vsak pošilja TCP/UDP/ICMP pakete na vaš strežnik. V tem trenutku lahko pride do dveh težav. Ena je, da je strežnik preobremenjen in hoga CPU, druga težava, do katere lahko pride pa je da se zabije pasovna širina internetne povezave.

Seveda pride tudi do drugih, malce bolj finih zapletov na napravah, ampak okej, da ne bomo dolgovezili. Na kratko kaj vam je storiti?

• Kot prvo želite imeti požarni zid, ki bo omejeval število requestov na sekundo/minuto iz določenega ipja. Normalno ob takih napadih hitro najdeš "offending" ipje. Ne bi govoril o različnih tipih napada, ampak ponavadi gre za tipičen napad, kjer napadalec ne gleda na resurse svojih botov in pošlje morje podatkov v čimkrajšem času na strežnik z namenom čimhitrejšega efekta, se pravi nedelujočega strežnika. S tem se rešite problema s CPU-jem oz. ga vsaj držite v zmernih mejah, se pravi da strežnik deluje in se izvajajo skripte le za legitimen traffic. Poizkušate čim manj filtrirati traffic s programi kot je IDS, IPS, razne geo lokacije ipd. ki dejansko zelo povečajo rabo procesorja, saj mora strežnik za vsak ip še dodatno kuriti resurse da izve več o njem. Poizkušate se držati načela, da delate vso filtracijo na čim nižjem nivoju, ki je hiter.

• Drug problem je povezava. S tem da dropate in ne odgovarjate na pakete napadalcev, to ne pomeni da ne prihajajo, le vidite jih ne. Če zaženete kak program, ki spremlja traffic, spravi vašo kartico v promiscous mode, kar pomeni da dejansko vidite ves promet. Še vedno prihajajo requesti na strežnik in kurijo vašo povezavo. Kaj narediti v tem primeru? Vi bore malo lahko storite za to. Prosite lahko ponudnika, da blokira dotične offending ipje, tako da ne trpi vaša povezava. Če se to ne da oz. ponudnik tega noče, je druga rešitev da imate pasovno širino večjo od pasovne širine vseh botov, ki pošiljajo traffic. Pri tem morate računati tudi na vaš legitimen traffic, ki vam že dela nekaj prometa. 100mbit linije so ponavadi kaj hitro zapolnjene, saj ima sedaj že skoraj vsak VDSL ali optiko, ki je sama zmožna pošiljati 20mbit+ traffica na strežnik.

Tako, na kratko par informacij.

Gre pa pri DDOSu za še precej več stvari, ki vplivajo na njegovo efektivnost, ampak to je že naprednejša tema, ki se tiče bolj sistemskih administratorjev, kot pa webmojstrov :)

Res sem že bil na tem, da napišem nekaj podobnega...

lahko komu plačaš in jih ddosaš nazaj če imaš ipje oz. veš kdo je storilec

ti to resno? a ni to kaznivo?

Mambo89:
ti to resno? a ni to kaznivo?

Zna bit :D
Underground scena. Dobiš po p***, pokličeš 30 kolegov ciganov :P