• Страница 1 из 2
  • 1
  • 2
  • »
Модератор форума: No_MaTTeR, Dimitro, LightInDarkness  
ДДОС
Jumanjero
Реформатор
Суп, посонтре. Тема несколько связана с подписью, но это лишь предпосылка к вопросу. Вводные: поступила инфа, что на наш логон сервер вчера за время 3.5 часовой ддос атаки пришло 1.9 лямов пакетов с флудом. Сейчас логон снова под атакой, но приходит 2 ляма ежесекундно.
Внимание, вопрос. Это много, очень много или дофига, и вообще как такие атаки вообще делаются? Что-то гугл совсем не хочет мне помогать в обновлении своих знаний по этому поводу.
MagicWoW 3.3.5(Fun) / 4.3.4(Blizzlike)
Логон сервер снова подвергся мощной ДДОС атаке.

Нет, это НЕ wowmagic.ru ._.
Сообщение # 1 написано 23.02.2013 в 00:02
Dinoza
para bellum
Завал мусором, на который система не может ответит и дохнет.
Сообщение # 2 отредактировано Dinoza - Суббота, 23.02.2013, 00:06
Do_Omy
Командир
2 ляма ежесекундно это тысяч 10 машин
настраивай фаервол и спи спокойно
Не зная ни сна и ни отдыха,
при лунном и солнечном свете,
я делаю деньги из воздуха,
чтоб снова пустить их на ветер
Сообщение # 3 написано 23.02.2013 в 00:10
Ooops
✔YouTube/SgtRedFox✔
куча левых запросов к серверу с фейковых адресов злоумышленниками, из за которых серв тупо падает.
Сообщение # 4 написано 23.02.2013 в 00:10
Jumanjero
Реформатор
Dinoza
<тег сарказма>
Спасибо, не знал
</тег сарказма>

Я спрашиваю про техническую сторону вопроса, это вообще оче сильная атака или бывает и круче, и как такое сделать, ведь очевидно, что не ионной пушкой делается.
MagicWoW 3.3.5(Fun) / 4.3.4(Blizzlike)
Логон сервер снова подвергся мощной ДДОС атаке.

Нет, это НЕ wowmagic.ru ._.
Сообщение # 5 написано 23.02.2013 в 00:11
Do_Omy
Командир
Цитата (Jumanjero)
вообще как такие атаки вообще делаются?

заражаются компьютеры, создаётся сеть, когда надо её активируют и используют в своих целях
Не зная ни сна и ни отдыха,
при лунном и солнечном свете,
я делаю деньги из воздуха,
чтоб снова пустить их на ветер
Сообщение # 6 написано 23.02.2013 в 00:11
Do_Omy
Командир
Цитата (Jumanjero)
бывает и круче

намного круче, а миллион раз круче бывает
Не зная ни сна и ни отдыха,
при лунном и солнечном свете,
я делаю деньги из воздуха,
чтоб снова пустить их на ветер
Сообщение # 7 написано 23.02.2013 в 00:12
Dinoza
para bellum
Цитата (Do_Omy)
2 ляма ежесекундно это тысяч 10 машин

В такой ситуации ничего не поможет О_о
Сообщение # 8 написано 23.02.2013 в 00:13
Арракратио
3-4 школьника развлекаются с хоиком.
Сообщение # 9 написано 23.02.2013 в 00:13
Do_Omy
Командир
Цитата (Dinoza)
В такой ситуации ничего не поможет О_о

иптейблс с ограничением ежесекундным на общий порт (создаст очередь) и потом на один ип адресс количество пакетов(чтобы отсортировать мусор от игроков)
Делов - час
Не зная ни сна и ни отдыха,
при лунном и солнечном свете,
я делаю деньги из воздуха,
чтоб снова пустить их на ветер
Сообщение # 10 написано 23.02.2013 в 00:15
Dinoza
para bellum
Цитата (Арракратио)
3-4 школьника развлекаются с хоиком.

Нет. 3 - 4 школьника - это максимум 15к пакетов в сек.

Есть много разных прог. Чем больше людей - тем сильнее ефект.
Сообщение # 11 написано 23.02.2013 в 00:18
Jumanjero
Реформатор
Цитата (Do_Omy)
намного круче, а миллион раз круче бывает

Но это 2 миллиарда пакетов в секунду. Даже если предположить, что 1 пакет весит 1 байт, то выйдет дохрена, а средненький tcp/ip'шный протокол весит порядка килобайта, а это выходит уже 14 терабит в секунду.
Пресловутый cisco guard, о котором я много начитался за последние сутки стоит порядка 300к вечнозеленых и выдерживает напор до 3Гбит/с.
Ты точно ничего не попутал?
MagicWoW 3.3.5(Fun) / 4.3.4(Blizzlike)
Логон сервер снова подвергся мощной ДДОС атаке.

Нет, это НЕ wowmagic.ru ._.
Сообщение # 12 отредактировано Jumanjero - Суббота, 23.02.2013, 00:21
Dinoza
para bellum
Цитата (Do_Omy)
иптейблс с ограничением ежесекундным на общий порт (создаст очередь) и потом на один ип адресс количество пакетов(чтобы отсортировать мусор от игроков)

Да ты гонишь что ли? Какой иптэйбл при аттаке 2 ляма в сек?
Сообщение # 13 написано 23.02.2013 в 00:19
Do_Omy
Командир
Цитата (Jumanjero)
Но это 2 миллиарда пакетов в секунду

ты думаешь твой сайт и хостинг самые мощные и защищённые?
Пентагоны, гуглы, яндексы ложат)
Цитата (Dinoza)
Да ты гонишь что ли? Какой иптэйбл при аттаке 2 ляма в сек?

Цитата (Do_Omy)
иптейблс с ограничением ежесекундным на общий порт (создаст очередь) и потом на один ип адресс количество пакетов(чтобы отсортировать мусор от игроков)
Делов - час

скрипт наш на раз справится
Не зная ни сна и ни отдыха,
при лунном и солнечном свете,
я делаю деньги из воздуха,
чтоб снова пустить их на ветер
Сообщение # 14 написано 23.02.2013 в 00:21
NеmmеZ
Лучший из лучших
мало верится про 2 ляма в секунду.
Услуги гаранта предоставлю по графику 2 через 2. Уточнять по icq/skype/пм
Сообщение # 15 написано 23.02.2013 в 00:26
Jumanjero
Реформатор
Do_Omy
Ну, не мой хостинг (я-то не админ, лол), я просто пытаюсь понять масштабы. Вон, человек сказал, что 3-4 стандартных школьника дадут напор в 15к пакетов в секунду, чуть ситуация прояснилась.
Хотя кому с такими ресурсами мы сдались непонятно, лол, сама атака небось дороже чем все денежные ресурсы сервера.
MagicWoW 3.3.5(Fun) / 4.3.4(Blizzlike)
Логон сервер снова подвергся мощной ДДОС атаке.

Нет, это НЕ wowmagic.ru ._.
Сообщение # 16 отредактировано Jumanjero - Суббота, 23.02.2013, 00:27
Do_Omy
Командир
сервер с онлайном?
Не зная ни сна и ни отдыха,
при лунном и солнечном свете,
я делаю деньги из воздуха,
чтоб снова пустить их на ветер
Сообщение # 17 написано 23.02.2013 в 00:28
Jumanjero
Реформатор
Do_Omy
2к на 2 реалма не наберется нынче (хотя раньше получше было).
MagicWoW 3.3.5(Fun) / 4.3.4(Blizzlike)
Логон сервер снова подвергся мощной ДДОС атаке.

Нет, это НЕ wowmagic.ru ._.
Сообщение # 18 написано 23.02.2013 в 00:30
стражпорядка
Скаут
Цитата (Jumanjero)
Хотя кому с такими ресурсами мы сдались непонятно, лол, сама атака небось дороже чем все денежные ресурсы сервера.

развлечение жи
Сообщение # 19 написано 23.02.2013 в 00:30
inomerain
Скаут
По какому протоколу ведется ddos?, через что ты посмотрел и выявил эти "2 ляма ежесекундно"?
Если это udp,- пакеты будут приходить даже в том случае, если из источник находится в блоке у фаервола. Если Tcp, стандартные ограничения коннектов\пакетов с уже установленных соединений могу немного улучшить ситуацию.
Цитата (Jumanjero)
tcp/ip'шный протокол весит порядка килобайта

Несколько байт != килобайт.
Вот дамп tcp пакета на установку нового соединения:
0000 00 04 02 00 00 00 00 00 00 00 00 00 00 00 08 00
0010 45 00 00 3c 8c f1 40 00 40 06 5c 1e 5b 7b 12 3d
0020 4d de 96 16 84 74 00 50 d0 11 fa c3 00 00 00 00
0030 a0 02 38 b8 51 db 00 00 02 04 05 ac 04 02 08 0a
0040 00 75 76 32 00 00 00 00 01 03 03 07
Сообщение # 20 написано 23.02.2013 в 00:46
Jumanjero
Реформатор
inomerain
Я, что называется, только объяву кинул: у меня только те данные, которыми поделились админы в ирке, они же берут данные из дата центра (через УИ или от саппорта — я без понятия, и тех. деталей тоже не знаю, хотя могу спросить если интересует).
На счет размера пакета tcp, я цифры из гугла взял; но даже так цифра остается какой-то стремной — 3 терабита в секунду.
MagicWoW 3.3.5(Fun) / 4.3.4(Blizzlike)
Логон сервер снова подвергся мощной ДДОС атаке.

Нет, это НЕ wowmagic.ru ._.
Сообщение # 21 отредактировано Jumanjero - Суббота, 23.02.2013, 00:56
Crashiks
Критик Серверов
Цитата (Jumanjero)
Вон, человек сказал, что 3-4 стандартных школьника дадут напор в 15к пакетов в секунду, чуть ситуация прояснилась.


С моего слабого нетбука, канал 5мб, я отправлял 5к пакетов в секунду. 2 ляма пакетов, это они загнули сильно. Пакеты скорее всего по 32байта. Накрыть их можно простыми скриптами, делов на час максимум.

Как такие атаки делаются?
Есть 2 способа.
1.Школоло отакэ. Школьники скачивают лоик/хоик, жмут на кнопочку и тебе летят пакеты. Чаще всего со своего компа, много пакетов они не выжмут,Накрывается это все простым автобаном.
2.МЕГАТРУХАЦКЕРОТАКЭ. Тут уже опять лоик, хоик, спрут и т.п. Но уже работают через сеть шеллов и прокси, чаще всего через дедики или с координированного ботнета. Бьют часто по портам. Отбить такую атаку трудно и простые скрипты тут не помогут. Т.к используется куча разных компьютеров , маленький размер пакетов и быстрый реконект и смена айпи, что их бань, что не бань не поможет. В общем, отправляйся к хостеру и они все тебе должны сделать за №сумму или бесплатно, зависит от хостера)

Добавлено (23.02.2013, 01:03)
---------------------------------------------
И автор, если тебе нужна развернутая информация, обращайся на тематические форумы, типа :

xakep.ru или xakep.name
Подпись наказана за плохое поведение.

Сообщение # 22 отредактировано Crashiks - Суббота, 23.02.2013, 01:06
inomerain
Скаут
Jumanjero, С цифрами там загнули и не на шутку, ибо самый высокий уровень ddos, что пока известен человечеству - 100гб\сек и то, от этого в далеком 2010 году легли не только хостеры атакуемого ресурса, их провайдеры и так по цепочки все, кто имеет хоть какое-то отношение к сайту.
Если знать хоть какие-то подробности об протоколе\количеству пакетов, можно составить небольшое правило для фаервола, но и оно не способно повлиять на физику происхождения ddos.
Сообщение # 23 отредактировано inomerain - Суббота, 23.02.2013, 01:04
Jumanjero
Реформатор
inomerain
Ок, знание "рекорда" несколько помогает воссоздать общую картину biggrin И таки да, цифры действительно как-то преувеличено теперь звучат.
Цитата (Crashiks)
И автор, если тебе нужна развернутая информация, обращайся на тематические форумы, типа :

Нет, мне вполне достаточно общих поверхностных знаний; тема меня пока не сильно интересует и области моих интересов не затрагивает, потому и обратился сюда, лол, а не на специализированный форум.
MagicWoW 3.3.5(Fun) / 4.3.4(Blizzlike)
Логон сервер снова подвергся мощной ДДОС атаке.

Нет, это НЕ wowmagic.ru ._.
Сообщение # 24 написано 23.02.2013 в 01:40
denis_aka_jacob
Сержант
http://deflate.medialayer.com/ вполне справится
wowgear.biz
Сообщение # 25 написано 23.02.2013 в 09:18
myaso11
Сержант
Jumanjero, у тебя еще поди и не линукс стоит?
Сообщение # 26 написано 23.02.2013 в 09:36
Andrey_ua
Скаут
Цитата (denis_aka_jacob)
http://deflate.medialayer.com/ вполне справится

Это просто банит тех у кого больше 15 одновременных соединений
Купил лицензионный Windows - оплатил убийство детей в Ираке. (с)
Сообщение # 27 написано 23.02.2013 в 10:38
denis_aka_jacob
Сержант
Цитата (Andrey_ua)
Это просто банит тех у кого больше 15 одновременных соединений

Ты просто кэп. Каждый флуд ровняется = подключениям
wowgear.biz
Сообщение # 28 написано 23.02.2013 в 10:51
Paralitik
Чемпион
Цитата (Jumanjero)
то много, очень много или дофига, и вообще как такие атаки вообще делаются?

Сила атак, как правило, измеряется не в количестве пакетов а в толщине атаки(1мегабит/с, 100 мегабит/с)
Так как пакеты могут иметь совершенно разные размеры(от 20 байт)
Сообщение # 29 написано 23.02.2013 в 12:04
Weekless
Malware Overlord
Цитата (Jumanjero)
но приходит 2 ляма ежесекундно.

файрволл вообще таки не пашет что ли? И да, что за фигня? Кто измеряет силу ддоса в пакетах?
На вопрос ТСа, паста с лурка:

Код
Термоядерный DDoS
Тоже самое, что и обычный, только выполняется ботнетом в сотни тысяч машин. Такой ботнет легко забивает магистральный канал в 100 Гбит/сек. Впервые такой DDoS был устроен в рунете в октябре 2010, в результате чего у УкрТелекома были серьезные проблемы с магистральными каналами (атаковали одного из их клиентов). Жертва, исправляя свои DNS-записи, смогла лишь временно положить ya.ru и насолить darpa.net, что было даже воспето в стихах. Способов защиты от столь масштабного DDoS не изобрел ещё никто.
В декабре 2010 года совместно с сотрудниками отдела «К» МВД РФ и зарубежными коллегами, которые занимаются IT-безопасностью, в зоне .RU был обнаружен огромный ботнет, который насчитывает порядка 600000 заражённых компьютеров-«зомби» по всему миру. Обнаруженный ботнет управляется с российских серверов (с каких именно, не уточняется), также удалось установить владельца ботнета, им оказался некто под ником «crazyese» (кроме того, что данный человек посещает форумы хакерской тематики и замешан в DDoS атаках на правительственные сайты разных стран, больше ничего не известно). После обнаружения ботнета владельцем этой сети заинтересовались спецслужбы разных стран.
9 февраля 2012 года в сеть попал ICQ номер (602720169) того самого «crazyese», номер в сети опубликовал один из конкурентов «crazyese». Тем не менее, владелец номера это и не скрывает, продолжая открыто предлагать свои услуги.
Недавно стало известно, что с центра управления ботнет-сети того самого «crazyese» были атакованы крупные интернет ресурсы, такие как lenta.ru, vkontakte.ru, yandex.ru, ozon.ru, nasa.gov, kremlin.ru, facebook.com, список сайтов можно перечислять до бесконечности. В конце апреля 2011 года, эксперты зафиксировали новую ботнет-сеть хакера под ником «crazyese», численность которой превышает 4.7 млн заражённых компьютеров по всему миру, 53% из всех «зомби-машин» располагаются в США. Численность новой обнаруженной ботнет-сети растёт с каждым днём. Так же сообщается, что найденный в декабре ботнет из более чем 600000 «зомби-машин» удалось ликвидировать, однако хакер по сей день в розыске.
user: weekless
pass: wowjpnetort
Сообщение # 30 написано 23.02.2013 в 12:18
  • Страница 1 из 2
  • 1
  • 2
  • »
Поиск: