   | |
| Модератор форума: No_MaTTeR, Dimitro, LightInDarkness |
| Форум Полезное Флудилка ДДОС |
| ДДОС |
Суп, посонтре. Тема несколько связана с подписью, но это лишь предпосылка к вопросу. Вводные: поступила инфа, что на наш логон сервер вчера за время 3.5 часовой ддос атаки пришло 1.9 лямов пакетов с флудом. Сейчас логон снова под атакой, но приходит 2 ляма ежесекундно.
Внимание, вопрос. Это много, очень много или дофига, и вообще как такие атаки вообще делаются? Что-то гугл совсем не хочет мне помогать в обновлении своих знаний по этому поводу.
MagicWoW 3.3.5(Fun) / 4.3.4(Blizzlike)
Логон сервер снова подвергся мощной ДДОС атаке. Нет, это НЕ wowmagic.ru ._.
Сообщение # 1 написано 23.02.2013 в 00:02
|
куча левых запросов к серверу с фейковых адресов злоумышленниками, из за которых серв тупо падает.
Сообщение # 4 написано 23.02.2013 в 00:10
|
Dinoza
<тег сарказма> Спасибо, не знал </тег сарказма> Я спрашиваю про техническую сторону вопроса, это вообще оче сильная атака или бывает и круче, и как такое сделать, ведь очевидно, что не ионной пушкой делается.
MagicWoW 3.3.5(Fun) / 4.3.4(Blizzlike)
Логон сервер снова подвергся мощной ДДОС атаке. Нет, это НЕ wowmagic.ru ._.
Сообщение # 5 написано 23.02.2013 в 00:11
|
Цитата (Jumanjero) вообще как такие атаки вообще делаются? заражаются компьютеры, создаётся сеть, когда надо её активируют и используют в своих целях
Не зная ни сна и ни отдыха,
при лунном и солнечном свете, я делаю деньги из воздуха, чтоб снова пустить их на ветер
Сообщение # 6 написано 23.02.2013 в 00:11
|
Цитата (Dinoza) В такой ситуации ничего не поможет О_о иптейблс с ограничением ежесекундным на общий порт (создаст очередь) и потом на один ип адресс количество пакетов(чтобы отсортировать мусор от игроков) Делов - час
Не зная ни сна и ни отдыха,
при лунном и солнечном свете, я делаю деньги из воздуха, чтоб снова пустить их на ветер
Сообщение # 10 написано 23.02.2013 в 00:15
|
Цитата (Do_Omy) намного круче, а миллион раз круче бывает Но это 2 миллиарда пакетов в секунду. Даже если предположить, что 1 пакет весит 1 байт, то выйдет дохрена, а средненький tcp/ip'шный протокол весит порядка килобайта, а это выходит уже 14 терабит в секунду. Пресловутый cisco guard, о котором я много начитался за последние сутки стоит порядка 300к вечнозеленых и выдерживает напор до 3Гбит/с. Ты точно ничего не попутал?
MagicWoW 3.3.5(Fun) / 4.3.4(Blizzlike)
Логон сервер снова подвергся мощной ДДОС атаке. Нет, это НЕ wowmagic.ru ._. |
Цитата (Do_Omy) иптейблс с ограничением ежесекундным на общий порт (создаст очередь) и потом на один ип адресс количество пакетов(чтобы отсортировать мусор от игроков) Да ты гонишь что ли? Какой иптэйбл при аттаке 2 ляма в сек?
Сообщение # 13 написано 23.02.2013 в 00:19
|
Цитата (Jumanjero) Но это 2 миллиарда пакетов в секунду ты думаешь твой сайт и хостинг самые мощные и защищённые? Пентагоны, гуглы, яндексы ложат) Цитата (Dinoza) Да ты гонишь что ли? Какой иптэйбл при аттаке 2 ляма в сек? Цитата (Do_Omy) иптейблс с ограничением ежесекундным на общий порт (создаст очередь) и потом на один ип адресс количество пакетов(чтобы отсортировать мусор от игроков) Делов - час скрипт наш на раз справится
Не зная ни сна и ни отдыха,
при лунном и солнечном свете, я делаю деньги из воздуха, чтоб снова пустить их на ветер
Сообщение # 14 написано 23.02.2013 в 00:21
|
Do_Omy
Ну, не мой хостинг (я-то не админ, лол), я просто пытаюсь понять масштабы. Вон, человек сказал, что 3-4 стандартных школьника дадут напор в 15к пакетов в секунду, чуть ситуация прояснилась. Хотя кому с такими ресурсами мы сдались непонятно, лол, сама атака небось дороже чем все денежные ресурсы сервера.
MagicWoW 3.3.5(Fun) / 4.3.4(Blizzlike)
Логон сервер снова подвергся мощной ДДОС атаке. Нет, это НЕ wowmagic.ru ._. |
Do_Omy
2к на 2 реалма не наберется нынче (хотя раньше получше было).
MagicWoW 3.3.5(Fun) / 4.3.4(Blizzlike)
Логон сервер снова подвергся мощной ДДОС атаке. Нет, это НЕ wowmagic.ru ._.
Сообщение # 18 написано 23.02.2013 в 00:30
|
Цитата (Jumanjero) Хотя кому с такими ресурсами мы сдались непонятно, лол, сама атака небось дороже чем все денежные ресурсы сервера. развлечение жи
Сообщение # 19 написано 23.02.2013 в 00:30
|
По какому протоколу ведется ddos?, через что ты посмотрел и выявил эти "2 ляма ежесекундно"?
Если это udp,- пакеты будут приходить даже в том случае, если из источник находится в блоке у фаервола. Если Tcp, стандартные ограничения коннектов\пакетов с уже установленных соединений могу немного улучшить ситуацию. Цитата (Jumanjero) tcp/ip'шный протокол весит порядка килобайта Несколько байт != килобайт. Вот дамп tcp пакета на установку нового соединения: 0000 00 04 02 00 00 00 00 00 00 00 00 00 00 00 08 00 0010 45 00 00 3c 8c f1 40 00 40 06 5c 1e 5b 7b 12 3d 0020 4d de 96 16 84 74 00 50 d0 11 fa c3 00 00 00 00 0030 a0 02 38 b8 51 db 00 00 02 04 05 ac 04 02 08 0a 0040 00 75 76 32 00 00 00 00 01 03 03 07
Сообщение # 20 написано 23.02.2013 в 00:46
|
inomerain
Я, что называется, только объяву кинул: у меня только те данные, которыми поделились админы в ирке, они же берут данные из дата центра (через УИ или от саппорта — я без понятия, и тех. деталей тоже не знаю, хотя могу спросить если интересует). На счет размера пакета tcp, я цифры из гугла взял; но даже так цифра остается какой-то стремной — 3 терабита в секунду.
MagicWoW 3.3.5(Fun) / 4.3.4(Blizzlike)
Логон сервер снова подвергся мощной ДДОС атаке. Нет, это НЕ wowmagic.ru ._. |
Цитата (Jumanjero) Вон, человек сказал, что 3-4 стандартных школьника дадут напор в 15к пакетов в секунду, чуть ситуация прояснилась. С моего слабого нетбука, канал 5мб, я отправлял 5к пакетов в секунду. 2 ляма пакетов, это они загнули сильно. Пакеты скорее всего по 32байта. Накрыть их можно простыми скриптами, делов на час максимум. Как такие атаки делаются? Есть 2 способа. 1.Школоло отакэ. Школьники скачивают лоик/хоик, жмут на кнопочку и тебе летят пакеты. Чаще всего со своего компа, много пакетов они не выжмут,Накрывается это все простым автобаном. 2.МЕГАТРУХАЦКЕРОТАКЭ. Тут уже опять лоик, хоик, спрут и т.п. Но уже работают через сеть шеллов и прокси, чаще всего через дедики или с координированного ботнета. Бьют часто по портам. Отбить такую атаку трудно и простые скрипты тут не помогут. Т.к используется куча разных компьютеров , маленький размер пакетов и быстрый реконект и смена айпи, что их бань, что не бань не поможет. В общем, отправляйся к хостеру и они все тебе должны сделать за №сумму или бесплатно, зависит от хостера) Добавлено (23.02.2013, 01:03) --------------------------------------------- И автор, если тебе нужна развернутая информация, обращайся на тематические форумы, типа : xakep.ru или xakep.name
Подпись наказана за плохое поведение.
|
Jumanjero, С цифрами там загнули и не на шутку, ибо самый высокий уровень ddos, что пока известен человечеству - 100гб\сек и то, от этого в далеком 2010 году легли не только хостеры атакуемого ресурса, их провайдеры и так по цепочки все, кто имеет хоть какое-то отношение к сайту.
Если знать хоть какие-то подробности об протоколе\количеству пакетов, можно составить небольшое правило для фаервола, но и оно не способно повлиять на физику происхождения ddos. |
inomerain
Ок, знание "рекорда" несколько помогает воссоздать общую картину  И таки да, цифры действительно как-то преувеличено теперь звучат. Цитата (Crashiks) И автор, если тебе нужна развернутая информация, обращайся на тематические форумы, типа : Нет, мне вполне достаточно общих поверхностных знаний; тема меня пока не сильно интересует и области моих интересов не затрагивает, потому и обратился сюда, лол, а не на специализированный форум.
MagicWoW 3.3.5(Fun) / 4.3.4(Blizzlike)
Логон сервер снова подвергся мощной ДДОС атаке. Нет, это НЕ wowmagic.ru ._.
Сообщение # 24 написано 23.02.2013 в 01:40
|
Jumanjero, у тебя еще поди и не линукс стоит?
Сообщение # 26 написано 23.02.2013 в 09:36
|
Цитата (Jumanjero) то много, очень много или дофига, и вообще как такие атаки вообще делаются? Сила атак, как правило, измеряется не в количестве пакетов а в толщине атаки(1мегабит/с, 100 мегабит/с) Так как пакеты могут иметь совершенно разные размеры(от 20 байт)
Сообщение # 29 написано 23.02.2013 в 12:04
|
Цитата (Jumanjero) но приходит 2 ляма ежесекундно. файрволл вообще таки не пашет что ли? И да, что за фигня? Кто измеряет силу ддоса в пакетах? На вопрос ТСа, паста с лурка: Код Термоядерный DDoS Тоже самое, что и обычный, только выполняется ботнетом в сотни тысяч машин. Такой ботнет легко забивает магистральный канал в 100 Гбит/сек. Впервые такой DDoS был устроен в рунете в октябре 2010, в результате чего у УкрТелекома были серьезные проблемы с магистральными каналами (атаковали одного из их клиентов). Жертва, исправляя свои DNS-записи, смогла лишь временно положить ya.ru и насолить darpa.net, что было даже воспето в стихах. Способов защиты от столь масштабного DDoS не изобрел ещё никто. В декабре 2010 года совместно с сотрудниками отдела «К» МВД РФ и зарубежными коллегами, которые занимаются IT-безопасностью, в зоне .RU был обнаружен огромный ботнет, который насчитывает порядка 600000 заражённых компьютеров-«зомби» по всему миру. Обнаруженный ботнет управляется с российских серверов (с каких именно, не уточняется), также удалось установить владельца ботнета, им оказался некто под ником «crazyese» (кроме того, что данный человек посещает форумы хакерской тематики и замешан в DDoS атаках на правительственные сайты разных стран, больше ничего не известно). После обнаружения ботнета владельцем этой сети заинтересовались спецслужбы разных стран. 9 февраля 2012 года в сеть попал ICQ номер (602720169) того самого «crazyese», номер в сети опубликовал один из конкурентов «crazyese». Тем не менее, владелец номера это и не скрывает, продолжая открыто предлагать свои услуги. Недавно стало известно, что с центра управления ботнет-сети того самого «crazyese» были атакованы крупные интернет ресурсы, такие как lenta.ru, vkontakte.ru, yandex.ru, ozon.ru, nasa.gov, kremlin.ru, facebook.com, список сайтов можно перечислять до бесконечности. В конце апреля 2011 года, эксперты зафиксировали новую ботнет-сеть хакера под ником «crazyese», численность которой превышает 4.7 млн заражённых компьютеров по всему миру, 53% из всех «зомби-машин» располагаются в США. Численность новой обнаруженной ботнет-сети растёт с каждым днём. Так же сообщается, что найденный в декабре ботнет из более чем 600000 «зомби-машин» удалось ликвидировать, однако хакер по сей день в розыске.
user: weekless
pass: wowjpnetort
Сообщение # 30 написано 23.02.2013 в 12:18
|
| |||