Monitorowanie sieci

bajamor - 11-04-2010 16:12
Witam.
Na wstępie chcę powiedzieć, iż jestem początkującym użytkownikiem. Styczność z Debianem mam dopiero od trzech tygodni.
Do rzeczy, mam serwer dedykowany i system operacyjny Debian. Od pewnego czasu ktoś mnie nieźle ciśnie atakami DDoS, przynajmniej raz dziennie przeprowadza taki atak a że mam słabe łącze (100MB/s) to muszę robić restart maszyny gdyż wszystko całkowicie pada i nie mogę się połączyć ani przez putty, ani przez winscp.
Problem jest w tym, że nawet nie wiem kto te ataki przeprowadza i z jakiego IP gdyż nie mam pojęcia jak do tego dojść. Jak to sprawdzić? Trzeba instalować jakiś program do monitorowania sieci? Kiedyś coś czytałem o iptraf/tcpdump ale niewiele z tego wiem.
Pozdrawiam.

grzesiek - 11-04-2010 18:49
W zależności jakie masz usługi włącz szukaj w logach znajdujących się w katalogu /var/log/*
Wpierw trzeba ustalić na jaki serwer to jest skierowane, do tego może okazać się niezbędna odpowiednia konfiguracja zapory ogniowej.
Tak na szybko mogę ci tylko polecić regułę limitującą pakiety TCP z flagą SYN:
iptables -I INPUT 1 -p tcp --syn -m limit --limit 1/s -m state --state NEW -j ACCEPT Możesz ją po prostu wykonać - powinno pomóc.

bajamor - 11-04-2010 20:51
Jestem w katalogu /var/log ale nie bardzo wiem gdzie szukać logów z ataków na serwer?

Co do iptables to mam takie wykonane: iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT [COLOR=#000000][FONT=Arial]iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT Ale przed DDoS to nie chroni.

grzesiek - 11-04-2010 21:34
Nic dziwnego, bo te reguły dotyczą pakietów przekazywanych a nie kierowanych do serwera!
Co do drugiej przedstawionej przez ciebie reguły to limitowanie pakietów TCP z flagą RST w FORWARD to zły pomysł - może nawet spowalniać zwalnianie zasobów stosu TCP/IP! To tak jak być sam sobie DoS robił ;)

bajamor - 11-04-2010 22:57
Dziękuję za informacje, w takim razie wpiszę tę regułę, którą napisałeś w pierwszym poście.

Te reguły iptables co podałem ponoć blokują syn flood death of ping Ale jeżeli twierdzisz, że niektóre z nich (wszystkie) są złe to mógłbyś jeszcze napisać jak te źle działające wyłączyć?
Pozdrawiam.

grzesiek - 12-04-2010 17:51
iptables -D FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT Wystarczy wykonać tą - czyli usunąć ją. Dwie pozostałe chronią przed syn flood ale sieć wewnętrzną lub jeżeli masz DMZ.
Gdybyś wiedział na jaki port sa kierowane te ataki można by użyć modułu recent, który blokuje "złych gości" - przynajmniej dopóki nie przestaną być źli w określonym czasie ;)

db - 12-04-2010 19:11
Przy pakietowaniu z dużej rury na końcówce można zrobić niewiele. Problem przy DDOSie jest taki, że zazwyczaj jest skuteczny w momencie, kiedy pakiet dojdzie do serwera. Można stosować nullrouting, przynajmniej pakiety nie docierają do firewall-a, aczkolwiek przy dobrym ataku jest to niemożliwe ( a przynajmniej utrudnione ).

Zgłoś to do swojego operatora -- on będzie miał większe pole manewru.

bajamor - 13-04-2010 00:25
Zgłaszałem, niestety ,,OVH'' (u nich mam serwer dedykowany) ma gdzieś takie przypadki. Osoba która przeprowadza ataki również ma serwer dedykowany w OVH. Odpisali mi, że zablokowali jego serwery, po czym następnego dnia znów robił co chciał.

grzesiek - 13-04-2010 09:38
No widzisz: umiesz liczyć, licz na siebie.
A ja to bym wszystkie połączenia z adresu tego gościa przekierował na główną stronę OVH hehe - adres źródłowy nie będzie Twój ;)

db - 13-04-2010 13:16

No widzisz: umiesz liczyć, licz na siebie.
A ja to bym wszystkie połączenia z adresu tego gościa przekierował na główną stronę OVH hehe - adres źródłowy nie będzie Twój ;) Oni sobie z pewnością dadzą radę z takich ruchem. Adres źródłowy? Nie problem w tym, aby dojść do tego skąd wychodzi. A maszyna i tak będzie cierpieć.

grzesiek - 13-04-2010 14:40
Ja nie wątpię, że oni sobie poradzą, ale w końcu pewnie coś z tym zrobią...

bajamor - 21-04-2010 17:51

iptables -I INPUT 1 -p tcp --syn -m limit --limit 1/s -m state --state NEW -j ACCEPT Dziękuję! Chyba dzięki temu już mi serwera nie rozkłada. Tzn. to jest tak - na serwerze dedykowanym mam zainstalowaną grę internetową i stronę www i kiedyś przy 20MB/s to już wszystkich wyrzucało z gry, a teraz przy 60MB/s nie wyrzuca nikogo ale strona www padła. Czy da się jakoś to poprawić aby strona nie padała?
Dziękuję z góry, pozdrawiam.

grzesiek - 23-04-2010 21:29
Chcesz jeszcze bardziej ograniczyć ruch - o to Ci chodzi? Nie wiem jaki masz, lepiej byłoby to zrobić tylko dla portu 80/TCP.