Прошу Вас помощи в выявлении DDOS

Тема в разделе "Linux", создана пользователем Николай Калинин, 13 сен 2015.

  1. Николай Калинин

    Николай Калинин

    Сообщения:
    22
    Симпатии:
    0
    Всем Добрый День!
    Прошу Вас помочь мне в выявлении DDOS
    Никак не могу найти каким образом ложит злоумышленник сервера.
    Кратко: Сервер на VDS. (2 сервера CSS)

    Команда:
    netstat -ntu|awk '{print $5}'|cut -d: -f1|sort|uniq -c|sort -n
    Ничего не показывает, 3-4 IP с 1,2 пакетами

    Команда выявления SYN
    netstat -anutp | grep SYN_RECV | wc -l
    Показывает: 0

    Все команды вводились во время DDOS, когда два сервера лежали (сильно "лагали")
    Установлен fail2ban из статьи https://forums.alliedmods.net/showthread.php?t=106378

    Как обнаружить, откуда идут пакеты? С каких IP?
    Пакеты однозначто идут, т.к. заблокированы страны все кроме СНГ с помощью iptables и количество блокируемых пакетов там растет, но как узнать с каких IP? Возможно IP стран СНГ проскакивает... :sad:

    Добавлено через 3 минуты
    Забыл указать:
    Система: Ubuntu server 14.04 amd64
     
    Последнее редактирование: 13 сен 2015
  2. Monomizer

    Monomizer Мимо пробегал Супер-модератор

    Сообщения:
    1.528
    Симпатии:
    201
    А в момент атаки что показывает vnstat -l -i eth0 ?
    И есть ли в этот же момент загрузка cpu под 100%?
    Скорее всего обычный syn флуд.
    М.б. стрессер, была ещё программа для лагов сервера, версия случаем не v34?
    ----
    iptables в нормально ддосе не поможет, фильтрация должна быть не на уровне vds|vps сервера.
     
  3. Николай Калинин

    Николай Калинин

    Сообщения:
    22
    Симпатии:
    0
    Monomizer, спасибо за отклик
    v84 steam
    во время атаки практически невозможно подключиться по ssh
    По всей видимости канал забит, если это так то печаль полная)
    Поэтому команду вывожу в файл. Результат:
    Monitoring eth0... (press CTRL-C to stop)

    getting traffic...                      rx: 962.10 Mbit/s 92775 p/s tx: 68.80 Mbit/s 16758 p/s                                                                        rx: 962.10 Mbit/s 92720 p/s tx: 71.60 Mbit/s 17328 p/s                                                                        rx: 962.10 Mbit/s 92665 p/s tx: 72.92 Mbit/s 17650 p/s                                                                        rx: 962.12 Mbit/s 92687 p/s tx: 72.17 Mbit/s 17434 p/s                                                                        rx: 962.07 Mbit/s 92855 p/s tx: 73.10 Mbit/s 17738 p/s                                                                        rx: 962.09 Mbit/s 92786 p/s tx: 72.88 Mbit/s 17674 p/s                                                                        rx: 962.10 Mbit/s 92707 p/s tx: 72.98 Mbit/s 17716 p/s                                                                        rx: 962.13 Mbit/s 92769 p/s tx: 72.55 Mbit/s 17546 p/s                                                                        rx: 962.06 Mbit/s 92715 p/s tx: 72.29 Mbit/s 17537 p/s                                                                        rx: 962.07 Mbit/s 92923 p/s tx: 72.90 Mbit/s 17696 p/s                                                                        rx: 962.10 Mbit/s 92753 p/s tx: 72.58 Mbit/s 17585 p/s                                                                        rx: 962.07 Mbit/s 92911 p/s tx: 73.28 Mbit/s 17800 p/s                                                                        rx: 962.10 Mbit/s 92706 p/s tx: 72.77 Mbit/s 17612 p/s                                                                        rx: 962.09 Mbit/s 92775 p/s tx: 71.06 Mbit/s 17306 p/s                                                                        rx: 962.10 Mbit/s 92743 p/s tx: 69.02 Mbit/s 16882 p/s                                                                        rx: 962.09 Mbit/s 92808 p/s tx: 71.56 Mbit/s 17367 p/s                                                                        rx: 962.06 Mbit/s 92946 p/s tx: 72.95 Mbit/s 17639 p/s                                                                        rx: 962.12 Mbit/s 92638 p/s tx: 76.02 Mbit/s 18258 p/s                                                                        rx: 962.04 Mbit/s 92958 p/s tx: 76.10 Mbit/s 18285 p/s                                                                        rx: 962.12 Mbit/s 92652 p/s tx: 75.18 Mbit/s 18035 p/s                                                                        rx: 962.09 Mbit/s 92766 p/s tx: 76.48 Mbit/s 18398 p/s                                                                        rx: 962.09 Mbit/s 92813 p/s tx: 74.09 Mbit/s 17912 p/s                                                                        rx: 962.06 Mbit/s 92908 p/s tx: 72.29 Mbit/s 17545 p/s                                                                        rx: 962.13 Mbit/s 92553 p/s tx: 70.80 Mbit/s 17104 p/s                                                                        rx: 962.10 Mbit/s 92719 p/s tx: 68.51 Mbit/s 16756 p/s                                                                        rx: 962.07 Mbit/s 92921 p/s tx: 69.27 Mbit/s 16915 p/s                                                                        rx: 962.10 Mbit/s 92748 p/s tx: 68.47 Mbit/s 16723 p/s                                                                        rx: 962.07 Mbit/s 92943 p/s tx: 74.29 Mbit/s 17891 p/s                                                                        rx: 962.10 Mbit/s 92693 p/s tx: 76.59 Mbit/s 18261 p/s                                                                        rx: 962.11 Mbit/s 92671 p/s tx: 75.92 Mbit/s 18286 p/s                                                                        rx: 962.10 Mbit/s 92846 p/s tx: 75.66 Mbit/s 18218 p/s                                                                        rx: 962.07 Mbit/s 92779 p/s tx: 72.67 Mbit/s 17590 p/s                                                                        rx: 962.09 Mbit/s 92802 p/s tx: 68.18 Mbit/s 16709 p/s                                                                        rx: 962.09 Mbit/s 92779 p/s tx: 68.36 Mbit/s 16774 p/s                                                                        rx: 962.07 Mbit/s 92889 p/s tx: 70.25 Mbit/s 17159 p/s                                                                        rx: 962.10 Mbit/s 92778 p/s
    CPU в норме, 60% приблизительно на потоках
    Самое интересное и пинг не скачет до небес. максимум прыгает до 150 при обычном 30-40
    iptables заблокированные страны также пакеты растут. DDOS проявляется таким образом: Ровно 10 минут ddos, затем 5 минут нету и потом снова повтор.
     
  4. Николай Калинин

    Николай Калинин

    Сообщения:
    22
    Симпатии:
    0
    Также информация iptables за 20 минут ddos:
     

    Вложения:

    • ips.txt
      Размер файла:
      38 КБ
      Просмотров:
      15
  5. Николай Калинин

    Николай Калинин

    Сообщения:
    22
    Симпатии:
    0
    Вопрос также: тратит ли он денюшку за такой ботнет? Либо возможно он сам владелец такого ботнета? Если тратит то сколько у него выходят приблизительно расходы? Хочется его без трусов оставить)
    Наврядли я думаю это бесплатно, что забил весь гигабитный канал :/
     
  6. Александр Смирнов 8452246

    Александр Смирнов 8452246

    Сообщения:
    150
    Симпатии:
    28
    Николай Калинин, наивный! Никто не будет заказывать DOS на все деньги. И забить твой гигабитный канал - стоит копейки. При удачном раскладе, твой Гигабит можно соточкой положить.
     
  7. Николай Калинин

    Николай Калинин

    Сообщения:
    22
    Симпатии:
    0
    Гмм... порядка 10000 ip? Жаль что так дешево. Соточка в час?)
     
  8. Александр Смирнов 8452246

    Александр Смирнов 8452246

    Сообщения:
    150
    Симпатии:
    28
    каналом 100мб при удачном раскладе можно положить 1000мб. А 100мб сейчас - у каждого пионера, домашний инет. Так что, считай что соточка рублей в месяц.
     
  9. Николай Калинин

    Николай Калинин

    Сообщения:
    22
    Симпатии:
    0
    Так не DOS, а DDOS варьируется порядка 10000ip, точно не могу сказать
    Это ботнет) И я так понял если гигабит забит канал, то такую атаку возможно отразить только маршрутизатором на входе, верно? Другого выхода нету?
     
  10. Александр Смирнов 8452246

    Александр Смирнов 8452246

    Сообщения:
    150
    Симпатии:
    28
    Дядя, а ты в курсе, что в протоколах UDP можно на свое усмотрение маркировать пакеты? Тебе будет казаться, что тебя атакует весь земной шар, будет отчет о 1000000 IP, а на самом деле, это пионер ложит тебя домашним каналом.

    P.S. Я не буду описывать процедуру, как каналом в 100мб положить Гигабит. Интересно - пиши в ЛС.
     
  11. Николай Калинин

    Николай Калинин

    Сообщения:
    22
    Симпатии:
    0
    Александр, был не в курсе. Возможно ли это предотвратит без маршрутизатора, а на системном уровне? И пусть фантастика, но как можно так забить 100Мб инетом)) ( rx: 962.10 Mbit/s 92775 p/s)
     
  12. Александр Смирнов 8452246

    Александр Смирнов 8452246

    Сообщения:
    150
    Симпатии:
    28
    Отписал тебе в ЛС. Я дал не точное руководство к действию, а примерное описание механизма подобных атак.
     
  13. WINS

    WINS

    Сообщения:
    215
    Симпатии:
    46
    режект само не есть гуд + отправка исмп атакующему = бред
    онли дроп - снизит нагрузку цпу + уменьшит исходящий траф (патазитный), а его генерится не мало.
    с засраным каналом можно бороться только на уровне вышестоящих железяк, локальные меры бесполезны.
    кстати все эти пыонэр ддосы растут из-за криворуких сис админов, нагенерить несколько десятков гигабит нынче не проблема
     
    Последнее редактирование: 15 сен 2015
  14. Николай Калинин

    Николай Калинин

    Сообщения:
    22
    Симпатии:
    0
    WINS, извините, но команда мне не понятна
    reject-with icmp-port-unreachable
    Понял что буду защищаться с помощью маршрутизатора) знать только где он и вообще получить к нему доступ :D
     
  15. WINS

    WINS

    Сообщения:
    215
    Симпатии:
    46
    "команда" взята из этого поста http://hlmod.ru/forum/showpost.php?p=211138&postcount=4
    в иптаблесе при отбросе трафика из "нелегитимных" стран надо изменить действие с REJECT на DROP и не будит таких адовых значений tx: 71.60 Mbit/s 17328 p/s

    например, дропаем китай:
    а еще более правильно будит пускать определенные страны, остальных дроп.
    это опять же облегчит жизнь серверу, ибо не будит полотенца из правил.
     
    Последнее редактирование: 15 сен 2015
  16. Николай Калинин

    Николай Калинин

    Сообщения:
    22
    Симпатии:
    0
    WINS, спасибо) Но это не поможет
    Я пробовал и REJECT и DROP. Результат по факту тот же.

    Добавлено через 14 часов 21 минуту
    Подскажите лучше как просмотреть верный список ip адресов которые атакуют
    Выполняю команду sudo tcpdump -v -n -w ddos.log -c
    Но считаю что это не совсем корректная команды. Там высветился список из 60000 ip адресов
    netstat -ntu|awk '{print $5}'|cut -d: -f1|sort|uniq -c|sort -n
    показывает 3 ip адреса
     
    Последнее редактирование: 16 сен 2015
  17. WINS

    WINS

    Сообщения:
    215
    Симпатии:
    46
    извините спросить, на основании чего "оно" будит само знать что его атакуют?
     
  18. Monomizer

    Monomizer Мимо пробегал Супер-модератор

    Сообщения:
    1.528
    Симпатии:
    201
    ТС, вставай на хостинг с защитой, единственное актуальное решение проблемы.
    iptables поможет лишь от школоддоса(ну не защищает он от реального), а в неграмотных руках можешь вообще доступ к ssh своему перекрыть