 Serha
Зарегистрирован: 11.03.03
Сообщения: 296
|
 Добавлено: 01/07/03 в 20:43
|
|
вчера досили мой сж, ситуация была такая чтоисходящий траффик был 21Mb\s сервер не выдержал как я понял из-за того что было запущено оч много апачей, как с этим бороться?
и еще, если я кому то чего то не так сделал и это мне мстят, стукнись плз, все выясним, но вроде ничего такого не припоминаю, да и в бизе я не давно чтоб успеть чего нить сделать этакого...
в обшем топик сводится к 3 вопросам
1) как бороться с дос-атаками
2) как узнать кто меня досит
3) забыл чего, как вспомню напишу..
????
|
|
K началу
|
|
| |
Alexus
Зарегистрирован: 07.11.02
Сообщения: 722
|
|
Добавлено: 01/07/03 в 20:50
|
|
1. ни как (с учетом твоих возможностей)
2. ни как.
3. вспоминай.
З. Ы.
Может это и не ддос. Ддосы денег стоят, кому ты на... сдался?
|
|
K началу
|
|
| |
sortunity
Зарегистрирован: 14.10.02
Сообщения: 392
|
|
Добавлено: 01/07/03 в 20:58
|
|
только банить подсетки.
единственное спасение от ддос.
|
|
K началу
|
|
| |
kit
Зарегистрирован: 18.11.99
Сообщения: 4514
|
|
Добавлено: 01/07/03 в 21:00
|
|
...на роутерах у хостера.
|
|
K началу
|
|
| |
jurar1
Зарегистрирован: 17.09.02
Сообщения: 1185
|
|
Добавлено: 01/07/03 в 21:05
|
|
а у меня попутный вопрос -
себестоимость ддоса уменьшилась в разы что ли?
раз так активно всех досят...
+ и я че то раньше не слыхал про энти досы -
а тут на адалт как напасть - е***ь ее
|
|
K началу
|
|
| |
Alexus
Зарегистрирован: 07.11.02
Сообщения: 722
|
|
Добавлено: 01/07/03 в 21:10
|
|
| sortunity писал: | только банить подсетки.
единственное спасение от ддос. |
 объясняю. ддос это распределенная атака при которой на хост сыпятся ЛЕВЫЕ пакетики с разных хостов.
Левые это значит что эти пакетики генерируются искуственно и обратный ип в них может быть любой и определить по нему откуда пришел пакет невозможно. так что если банить, то банить весь интернет.
цена действительно упала. в первую очередь в связи с тем что многие дрочи стали ходить через адсл. достаточно впарить ему трояна через какую ни будь дыру в ИЕ и ....
2 jurar1
ты бы проверил хост на предмет троянов. может просто спамеры у тебя релей соорудили? у меня за последние четыре месяца два раза такое было...
Последний раз редактировалось: Alexus (01/07/03 в 21:20), всего редактировалось 1 раз
|
|
K началу
|
|
| |
sortunity
Зарегистрирован: 14.10.02
Сообщения: 392
|
|
Добавлено: 01/07/03 в 21:18
|
|
Очень редко атаки идут больше, чем с одной сетки класса А.
За всю мою практику я видел только один подобный случай.
Но это стоило ребятам очень дорого.
|
|
K началу
|
|
| |
Alexus
Зарегистрирован: 07.11.02
Сообщения: 722
|
|
Добавлено: 01/07/03 в 21:22
|
|
| sortunity писал: | Очень редко атаки идут больше, чем с одной сетки класса А.
За всю мою практику я видел только один подобный случай.
Но это стоило ребятам очень дорого. |
сам подумай. пакеты генерируются ЛЕВЫЕ, ОБРАТНЫЙ ИП в них можно поставить ЛЮБОЙ...
к тому же затроянить можно любой не пропатченый комп у дроча. они же не все в одной подсетке?
Последний раз редактировалось: Alexus (01/07/03 в 21:23), всего редактировалось 1 раз
|
|
K началу
|
|
| |
sortunity
Зарегистрирован: 14.10.02
Сообщения: 392
|
|
Добавлено: 01/07/03 в 21:23
|
|
| Alexus писал: | | сам подумай. пакеты генерируются ЛЕВЫЕ, ОБРАТНЫЙ ИП в них можно поставить ЛЮБОЙ... |
с этого момента поподробнее, плиз ;)
| Alexus писал: | | к тому же затроянить можно любой не пропатченый комп у дроча. они же не все в одной подсетке? |
А вот насчет пропатченья, да, есть подобная тенденция.
Раньше бомбили только с серваков, сейчас начинают бомбить и с SL каналов.
|
|
K началу
|
|
| |
Alexus
Зарегистрирован: 07.11.02
Сообщения: 722
|
|
Добавлено: 01/07/03 в 21:28
|
|
подробнее о чем?
|
|
K началу
|
|
| |
sortunity
Зарегистрирован: 14.10.02
Сообщения: 392
|
|
Добавлено: 01/07/03 в 21:30
|
|
о подмене входящего/исходящего IP
|
|
K началу
|
|
| |
Alexus
Зарегистрирован: 07.11.02
Сообщения: 722
|
|
Добавлено: 01/07/03 в 21:56
|
|
[removed. ссылка ниже явно более в тему]
Последний раз редактировалось: Alexus (01/07/03 в 22:11), всего редактировалось 3 раз(а)
|
|
K началу
|
|
| |
sortunity
Зарегистрирован: 14.10.02
Сообщения: 392
|
|
Добавлено: 01/07/03 в 21:58
|
|
Alexus:
Вот как оказалось.
Мои данные немного устарели ;)
Я говорил про TCP атаку, где подмена IP невозможна из-за обязательного диалога.
А, оказывается, есть еще и други виды атак, в том числе и IP спуфинг.
Интересненько... Спасибо за поправку.
|
|
K началу
|
|
| |
sortunity
Зарегистрирован: 14.10.02
Сообщения: 392
|
|
Добавлено: 01/07/03 в 22:02
|
|
А ликбез по DDoS читаем тут: http://web-support.ru/net-security/sec_18.shtml
|
|
K началу
|
|
| |
Serha
Зарегистрирован: 11.03.03
Сообщения: 296
|
|
Добавлено: 01/07/03 в 22:18
|
|
входящий траф дошел до 27мб\с...карраул..че делать то:(
|
|
K началу
|
|
| |
Vad
Зарегистрирован: 18.05.00
Сообщения: 1484
|
|
Добавлено: 01/07/03 в 22:22
|
|
досить можно и без троянов, если есть свой траф. причем так, что рефа никакого не будет и вычислить откуда атакуют невозможно.
подробностей не будет конечно
|
|
K началу
|
|
| |
Alexus
Зарегистрирован: 07.11.02
Сообщения: 722
|
|
Добавлено: 01/07/03 в 22:23
|
|
| Serha писал: | | входящий траф дошел до 27мб\с...карраул..че делать то:( |
ты разберись сначала. Входящий или ИСходящий.
|
|
K началу
|
|
| |
Alexus
Зарегистрирован: 07.11.02
Сообщения: 722
|
|
Добавлено: 01/07/03 в 22:25
|
|
| Vad писал: | досить можно и без троянов, если есть свой траф. причем так, что рефа никакого не будет и вычислить откуда атакуют невозможно.
подробностей не будет конечно |
ну ну. великий секрет. хотлинк на яваскрипте. но это досом с натяжкой можно назвать.
|
|
K началу
|
|
| |
Vad
Зарегистрирован: 18.05.00
Сообщения: 1484
|
|
Добавлено: 01/07/03 в 22:27
|
|
без ява-скрипта
|
|
K началу
|
|
| |
Alexus
Зарегистрирован: 07.11.02
Сообщения: 722
|
|
Добавлено: 01/07/03 в 22:28
|
|
талант!
|
|
K началу
|
|
| |
Vad
Зарегистрирован: 18.05.00
Сообщения: 1484
|
|
Добавлено: 01/07/03 в 22:31
|
|
дык
|
|
K началу
|
|
| |
Serha
Зарегистрирован: 11.03.03
Сообщения: 296
|
|
Добавлено: 01/07/03 в 23:10
|
|
Максимально Входящий трафик 27.0 Mb/s В среднем Входящий трафик 2223.9 kb/s Сейчас Входящий трафик 22.2 Mb/s
Максимально Исходящий трафик 9557.2 kb/s В среднем Исходящий трафик 2467.1 kb/s Сейчас Исходящий трафик 937.7 kb/s
|
|
K началу
|
|
| |
seagate
Зарегистрирован: 01.07.03
Сообщения: 1
|
|
Добавлено: 01/07/03 в 23:13
|
|
| Serha писал: |
1) как бороться с дос-атаками
2) как узнать кто меня досит
|
1)Зависит от типа атаки. В одних случаях легко и дёшево, в других - тяжело и дорого.
2)См. п. 1.
Рассмотрим пример одной из самых распространённых атак - атака с помощью заражённых компьютеров. Сначала анализируются логи на наличие ip компьютеров с которых идёт атака. Берётся к примеру компьютер 127.0.0.1(для примера, конечно ), определяется тип ОСи. Заодно сканерами ищем в нём уязвимости. Для примера, на 127.0.0.1 оказалась установлена winnt с "дыряым" iis 4.0. Используя дыру необходимо проникнуть на хард компьютера и аналитическими средствами определить гдеже находится троян, который напускает на нас злобный трафик. В идеальном случае програма нашлась, к примеру Exe.exe. Теперь в дело необходимо бросить хороший дизасемблер, ещё возможно и откладчик. Далее нужно найти средсво, через которое этот троян контролируется(e-mail, icq, irc). Как правило, это IRC(а троян выполняет роль бота). С помощью тех же самых откладчиков определяется и адрес сервера irc и irc-канала. Дело за малым - убрать ботов с канала, или же если сервер принадлежит досеру, "убрать" сервер. Средствами демократическими и не очень.
Теперь о том как вычислить досера и сломать ему ноги/руки/рёбра/ жизнь/далее по желанию. На канал необходимо повесить своего бота, который просто запишет whois администратора канала при входе, и будет kick'ать всех остальных ботов.
Пример, конечно, был рассмотрен идеальный. Но иногда досеры используют прокси, а боты запрограмированы на атаку одного сайта... Вариантов много. Ещё раз повторюсь. Всё зависит от типа атаки. В одних случаях легко и дёшево, в других - тяжело и дорого. Но возможно всё.
|
|
K началу
|
|
| |
Zmey Горыныч
Зарегистрирован: 20.10.02
Сообщения: 698
|
|
Добавлено: 01/07/03 в 23:36
|
|
Serha "При пожаре звоните 03", а не звоните друзьям по мобильному с вопросом, что они делают в подобных ситуациях. В твоем случае надо обратится к админу хоста. Кстати может выяснится что это не DoS, а накрутки или глюки скрипта.
На выставке видел маршрутизаторы специальные, говорили что помогает. 
|
|
K началу
|
|
| |
Serha
Зарегистрирован: 11.03.03
Сообщения: 296
|
|
Добавлено: 01/07/03 в 23:55
|
|
плюс ко всему токо что проверился на вирусы с обновленной базой нашло вот что
D:\Documents and Settings\sergey\Local Settings\Temporary Internet Files\Content.IE5\81AJSD6J\VerifierBug[1].class Вылечен Exploit.Java.Bytverify
около 30к копий, было бы больше если бы просто темпорари не удалил...а вот что мне мастер-х выдал
http://teens.virgin-paradize.com/serha-xakep.jpg
в обшем охуенный сегодня день....
мот мной явно кто заинтересовался...или че...
ха---прикол...пока писал глянул че пищит авп все равно, оказалось что вот этот файлик авп типа лечит и опять находит и этот процесс циклически повторялся пока вручную снова не удалил файл, дальше вроде пошел проверять комп авп...т.е. был всего 1 файлик...
и вот еще что нашлося...и не могет авп ни вылечить ни удалить..
D:\Program Files\bat\MAIL\tut\Trash\MESSAGES.TBB/[From Sergey<borisfen2001@mail.ru>][Date Mon,23 Jun 2003 19:57:03 PM]/011.zip/DOCUME~1/CLIENT~1/LOCALS~1/Temp/011.exe Инфицирован I-Worm.Lentin.m
так что кто давно не проверлся гляньте...по ходу авм начинают зверствовать или у меня уже паранойа...
Последний раз редактировалось: Serha (01/07/03 в 23:59), всего редактировалось 1 раз
|
|
K началу
|
|
| |
jurar1
Зарегистрирован: 17.09.02
Сообщения: 1185
|
|
Добавлено: 01/07/03 в 23:59
|
|
| Serha писал: | плюс ко всему токо что проверился на вирусы с обновленной базой нашло вот что
D:\Documents and Settings\sergey\Local Settings\Temporary Internet Files\Content.IE5\81AJSD6J\VerifierBug[1].class Вылечен Exploit.Java.Bytverify
около 30к копий, было бы больше если бы просто темпорари не удалил...а вот что мне мастер-х выдал
http://teens.virgin-paradize.com/serha-xakep.jpg
в обшем охуенный сегодня день....
мот мной явно кто заинтересовался...или че...
ха---прикол...пока писал глянул че пищит авп все равно, оказалось что вот этот файлик авп типа лечит и опять находит и этот процесс циклически повторялся пока вручную снова не удалил файл, дальше вроде пошел проверять комп авп...т.е. был всего 1 файлик... |
день сегодня чето у всех черный - у знакомого комп сгорел и тд и тд - вообшем много чего ...
люди тут есть мысль что это кто то один ???
может постораемся обсудить кому надо ???
|
|
K началу
|
|
| |
EXTRIM
Зарегистрирован: 15.10.02
Сообщения: 1278
|
|
Добавлено: 02/07/03 в 00:50
|
|
| Serha писал: |
D:\Program Files\bat\MAIL\tut\Trash\MESSAGES.TBB/[From Sergey<borisfen2001@mail.ru>][Date Mon,23 Jun 2003 19:57:03 PM]/011.zip/DOCUME~1/CLIENT~1/LOCALS~1/Temp/011.exe Инфицирован I-Worm.Lentin.m
|
походу ты сам лоханулся и запустил виря. Сейчас письма с вирями очень хитрые приходят, последние, что вспоминаю..
Пишет типа телка... ляля, три рубля, ... Помниш как мы с тобой долго болтали, но ты наверное обиделся что я тебе фото не прислала, вот сейчас сходила специально и отсканила... и прицеплен зип к письму..
Естественно лажа и телки не знаю...
Или вот последнее... Пишет чувак, типа хочу сниматься в порно, вот моя фотка... фотки нет нефига в письме. Пишу давай фотку... присылает адрес мыла и пасс к нему, типа зайди и позырь на его фотку в этом ящике...
Так что осторожнее надо...
|
|
K началу
|
|
| |
Serha
Зарегистрирован: 11.03.03
Сообщения: 296
|
|
Добавлено: 02/07/03 в 00:58
|
|
2 EXTRIM
он как видишь не запущен у меня, а лежит в письме или где то там...
|
|
K началу
|
|
| |
EXTRIM
Зарегистрирован: 15.10.02
Сообщения: 1278
|
|
Добавлено: 02/07/03 в 01:10
|
|
| Serha писал: | 2 EXTRIM
он как видишь не запущен у меня, а лежит в письме или где то там... |
Этот не запущен... но возможно есть другие? AVP тоже научились обходить...
|
|
K началу
|
|
| |
sortunity
Зарегистрирован: 14.10.02
Сообщения: 392
|
|
Добавлено: 02/07/03 в 10:57
|
|
нечего по несколько раз посты оценивать ;)
А насчет поиска троянов: очень советую Ad-Avare Profiessional от Lavasoft.
Самая продвинутая во всех планах прога. Только референс-файл подкачивай время от времени, и все.
|
|
K началу
|
|
| |
SadBoy
Зарегистрирован: 11.04.03
Сообщения: 413
|
|
Добавлено: 02/07/03 в 12:05
|
|
По сабжу: имхо, бороться с дос атаками должен хостер...
|
|
K началу
|
|
| |
Slim
Зарегистрирован: 01.11.02
Сообщения: 78
|
|
Добавлено: 02/07/03 в 12:59
|
|
Serha ты же знаешь кто тебя досит и за что, вот попроси их прекратить 
|
|
K началу
|
|
| |
Serha
Зарегистрирован: 11.03.03
Сообщения: 296
|
|
Добавлено: 02/07/03 в 13:53
|
|
млять те смешно...
|
|
K началу
|
|
| |
Serha
Зарегистрирован: 11.03.03
Сообщения: 296
|
|
Добавлено: 03/07/03 в 13:14
|
|
http://teens.virgin-paradize.com/dos/
мля 3 сутки ожесточенных боев, вернее - они то перестанут досить, токо начнешь сж поднимать , как опять все по новой, меняя только видимо тип атаки, потому как уже начал прыгать и исходящий траффик, а он уже не бесплатный...кому я нах сдался скажите мне...
я же вроде революции никакой не делаю...
|
|
K началу
|
|
| |
