Форум: "Потрепаться";
Текущий архив: 2004.06.27;
Скачать: [xml.tar.bz2];
ВнизDOS атака. Найти похожие ветки
← →
McSimm © (2004-05-25 13:02) [0]В данный момент на сервер, где расположен наш домен, осуществляется DOS атака.
И судя по некоторым данным - не превый дейнь.
Как вы понимаете, ничего поделать с этим нельзя.
← →
ega23 © (2004-05-25 13:22) [1]осуществляется DOS атака.
А что это такое?
← →
Dmitriy O. © (2004-05-25 13:23) [2]опять NIK8. ?
← →
ISP © (2004-05-25 13:24) [3]Похоже у хостера админы - чебурашки.
Несколько дней терпят... Они что, ждут пока само-собой прекратится?
← →
pasha_golub © (2004-05-25 13:33) [4]ISP © (25.05.04 13:24) [3]
А как Вы с этим боретесь, мне интересно? :-)
← →
olookin © (2004-05-25 13:38) [5]Значит, поэтому все так сильно тормозит? При использовании клиента для этого форума.
← →
AlexG © (2004-05-25 13:41) [6]Интересно, а когда начнется WINDOWS-атака???
← →
Vlad © (2004-05-25 13:47) [7]
> ega23 © (25.05.04 13:22) [1]
> осуществляется DOS атака.
> А что это такое?
Хакерская атака на сервер. Забивают порты всяким флудом.
← →
Паниковский © (2004-05-25 13:48) [8]И когда это закончится?
← →
McSimm © (2004-05-25 13:51) [9]DoS/флуд - один из видов хакерских атак, при которой сначала заражают большое количество компьютеров. Некоторое время спустя на них поступает команда, и компьютеры принимаются посылать ложные запросы на атакуемый сервер. Часто построенные на низком уровне особым образом, чтобы эффективно отбирать ресурсы сервера.
Такая разнесенность во времени и пространстве источников затрудняет как поиск самих злоумышленников, так и ликвидацию источников флуда.
← →
AlexG © (2004-05-25 13:51) [10]А определить можно откуда она осуществляется? Хотя бы в теории?
← →
AlexG © (2004-05-25 13:51) [11]А определить можно откуда она осуществляется? Хотя бы в теории?
← →
Sandman25+1 (2004-05-25 13:52) [12]Denial Of Service. К домену постоянно пытаются подключиться, в результате на обслуживание "нормальных" клиентов не остается времени/коннектов.
← →
ISP © (2004-05-25 14:00) [13]>pasha_golub © (25.05.04 13:33) [4]
>ISP © (25.05.04 13:24) [3]
>А как Вы с этим боретесь, мне интересно? :-)
Первые меры:
1. Блок сегментов сетей в DROP на фаерволе. При распределённом DOSе: установка промежуточного фаервола с более детальной фильтрацией. (не верю что для этого исползовали вирус и хостов слишком много.)
2. Внутреняя маршрутизация с фильтрацией запросов и рабочих ответов по другому каналу (при наличии нормального железа и нескольких каналов связи, что хостер обязан иметь, если он хостер).
3. Письма админам провайдеров с которых идёт DOS с требованием принять меры и угрозой ответного удара.(в вежливом тоне)
1-2: Снимет нагрузку с серверов и маршрутизаторов. А канал у хостера забить трудно, слишком с многих точек атаковать надо.
3: Им (тем админам) проблеммы не нужны.
А далее распределёнка в ответ. (маленькая война) ;)))
← →
Vlad © (2004-05-25 14:06) [14]
> ISP © (25.05.04 14:00) [13]
Ну вот в данный момент видимо как раз было направлено письмо с угрозой ответного удара :-)
Вроде форум задышал немного...
← →
pasha_golub © (2004-05-25 14:14) [15]ISP © (25.05.04 14:00) [13]
1. Не думаю, что это не распределенная ДОС-атака, иначе, действительно можно было бы поставить ДРОП. С другой стороны, очень большое кол-во посещений имеется на этом сайте, и человек в первый раз получивши откеаз, ессно обновляет страницу, и так два, три раза. Следственно, сами участники форума создают некий процент навала.
2. Думаю нету такого. :-) Надо все-таки учитывать, что живем мы в постсоветском пространстве. ;-)
3. Опять же, если атака распределенная, то можно задолбаться письма рассылать.
← →
ISP © (2004-05-25 14:37) [16]>pasha_golub © (25.05.04 14:14) [15]
>человек в первый раз получивши откеаз, ессно обновляет >страницу, и так два, три раза.
Отфильтровывается в блэклист при гораздо больших повторах. Палец отвалится рефреш нажимать. ;)
И блэкзапрос не должен доходить до сервера.
Дроп идет из блэклиста, который генерируется автоматом по скриптовке.
Дропить надо не адреса, а пулы адресов. Даже при вирусе заражение идет блоками в "своих" сетках. Может кто и пострадает из "своих", но это не на долго. Просто потом не забыть почистить листы.
>то можно задолбаться письма рассылать
Ну их же там не 10000. "Надо все-таки учитывать, что живем мы в постсоветском пространстве. ;-)" (c). Ну а спамерские технологии на что? ;)))
>2. Думаю нету такого. :-)
У их провайдера есть.
← →
McSimm © (2004-05-25 14:44) [17]
> ISP ©
А что из себя представляет этот блеклист? Это что-то на аппаратном уровне?
← →
ISP © (2004-05-25 14:57) [18]>McSimm © (25.05.04 14:44) [17]
>> ISP ©
>А что из себя представляет этот блеклист? Это что-то на >аппаратном уровне?
На фаерволе автоматом генерируется фаил со списком плохих адресов. Который используется при фильтрации входящего трафика.
Дроп - это уничтожение пакетов с плохих адресов без ответа. т.е. уменьшается загрузка канала и запросы не доходят до сервера.
Признак плохого адреса: большой повтор пакетов (что и есть одна из примет DOSа).
Фаервол ни в коем случае не на сервере. Это отдельный аппарат.
← →
Axel (2004-05-25 15:20) [19]>ISP © (25.05.04 14:00) [13]
Он прав !
Решается элементарно.
← →
pasha_golub © (2004-05-25 15:37) [20]Axel (25.05.04 15:20) [19]
Ну, не элементарно. ;-) Решатся, то оно решается. Админы тоже люди, тоже пивка попить хотят. :-)
← →
ISP © (2004-05-25 15:49) [21]>pasha_golub © (25.05.04 15:37) [20]
>Админы тоже люди, тоже пивка попить хотят. :-)
;))))
Я помню в свою админскую бытность всё пытался доказать шефу что я хороший админ, если на работу не хожу или просто сижу в офисе, пью пиво и нифига не делаю. Ведь это значит что все настроенно и все работает, а сыпанется - быстро подниму.
А он всё не верил.
← →
? (2004-05-25 16:00) [22]А кому это нужно?
Кому посланеце то?
← →
? (2004-05-25 16:12) [23]А интересно мугут с 2х 3х мест атаковать поставляя левые обратные IP адреса для каждого запроса? Как такое отслеживать?
← →
Ihor Osov'yak © (2004-05-25 16:24) [24]> [23] ? (25.05.04 16:12)
по идее - да, но если маршрутизаторы и прочее по пути нормально настоено - начиная от провайдера - то оно бы не должны пропускать такие запросы..
зы. это не мой профиль, посему, если глупость сморозил - буду признателен за уточнение.
← →
pasha_golub © (2004-05-25 16:26) [25]ISP © (25.05.04 15:49) [21]
Совершенно верно. Мое начальство это вроде стало понимать. А вот знакомые приходят и вываливают: "О-о-о, конечно, за такую работу еще и бабки не плохие получать. Сидишь играешься." А я, блин, хочу встать и как дать канделябром по башке, уроды! :-))
← →
miwa © (2004-05-25 16:29) [26]
> хочу встать и как дать канделябром по башке
Ну, потом еще судью надо бы найти, которой бы закричал "Дык канделябром его за это!" ;о))))
← →
Ihor Osov'yak © (2004-05-25 16:47) [27]2 [25] pasha_golub © (25.05.04 16:26)
Ну, я бы иначе немного иначе сказал - нормальный админ должен иметь время и пивко попить, и самообразованием заняться, и на перспективу поработать.
Причем первое - дело сугубо личное, а вот второе и третье - таки да..
Зы. А при твоих даных - тебе канделябра в руки низзя. Укокошишь нечаянно..
← →
pasha_golub © (2004-05-25 16:49) [28]miwa © (25.05.04 16:29) [26]
LOL
Ihor Osov"yak © (25.05.04 16:47) [27]
Все верно. Особенно про самообразование.
← →
ISP © (2004-05-25 16:55) [29]>Ihor Osov"yak © (25.05.04 16:24) [24]
>> [23] ? (25.05.04 16:12)
>по идее - да, но если маршрутизаторы и прочее по пути нормально
>настоено - начиная от провайдера - то оно бы не должны
>пропускать такие запросы..
Всё верно, но эх, мечты... мечты...
>pasha_golub © (25.05.04 16:26) [25]
Ты их на ночной подъём сервака пригласи. И канделябра не понадобится ;))
← →
ISP © (2004-05-25 17:03) [30]>? (25.05.04 16:12) [23]
Это было проклятье старых CISCO, когда кидались на него пакеты с егоже адресом направления и обратным адресом. Циклились бедолаги, сами себе отвечали. Доходило до физического сгорания самой железки. Перегревались. Щас такого уже нету.
← →
pasha_golub © (2004-05-25 17:13) [31]ISP © (25.05.04 17:03) [30]
Проклятье проклятьем, а подмена обратного адреса дело частое.
Не, уж лучше канделябром. Оно надежнее ;-))
← →
ISP © (2004-05-25 17:28) [32]Директору
от pasha_golub ©
Заявление
Для поддержания полноценного функционирования ввереной
мне компьютерной сети прошу разрешение на приобретение
канделябра в колличестве 1 шт.
Дата 25.05.04
Подпись pasha_golub ©
← →
Verg © (2004-05-25 17:32) [33]
> [31] pasha_golub © (25.05.04 17:13)
Канделябр не жалко?
Чем больше популярность - тем больше "врагов". Т.е. завистников. А может и не завистников....
Мама их в детстве часто в угол ставила, видимо, или собака напугала, или может сетра чупа-чупс пососать не давала, или прыщи были с теннисный мячик, или член молнией (чужой) прищемил навсегда, или еще что может приключится, в результате чего и начинают грезить "распределенными атаками на все живое"... Мелкие подляны в качестве компенсации за "гнойное детство" и убогое евнухианское настоящее.
Больные - они и есть больные....
← →
pasha_golub © (2004-05-25 17:35) [34]ISP © (25.05.04 17:28) [32]
LOL
Но добавить бы надо. Мы частенько с мужикаии на работе, в том числе и директором в преф режемся. Посему:
Директору
от pasha_golub ©
Заявление
Для поддержания полноценного функционирования ввереной
мне компьютерной сети и своевременного реагирования на нарушение правил игры "Переферанс", прошу разрешение на приобретение
канделябра в колличестве 1 шт.
Дата 25.05.04
Подпись pasha_golub ©
← →
А (2004-05-25 18:05) [35]ISP © (25.05.04 17:03) [30]
Ну так не принимать пакеты со своим обратным адресом и усе.
Я слышал что умельцы кидают пакет с левым IP на связь, да еще умудряются кинуть вслед пакет с запросом документа. Сервак думает что клиент получил ответ сервака и делает запрос. А таймаут держит сокет. С 2-3х каналов мощных так флудят, что ой-Ё-ей. А главное как отследить, если там на каждый запрос левый IP (хотя и тех.правильный)?
Вот только интересно кто этим занимается и какие цели преследует? Не ну понятно там он-лайн магазин, но...
← →
хм © (2004-05-25 18:14) [36]http://www.exler.ru/bannizm/21-05-2004/18.gif
← →
Piter © (2004-05-25 19:29) [37]Ihor Osov"yak (25.05.04 16:24) [24]
по идее - да, но если маршрутизаторы и прочее по пути нормально настоено - начиная от провайдера - то оно бы не должны пропускать такие запросы..
ты абсолютно прав. Провайдеры не должны допускать спуфинг IP адресов...
P.S. На самом деле не верится, что есть такая аттака. Ну кому нужен delphimaster? Только обиженным модерированием, не хватит у них таких мощностей для аттаки. А какие еще сайты располагаются на этом сервере? Если только сайт ФСБ какой-нибудь...
Мне думается, что это просто отмазка провайдера.
← →
McSimm © (2004-05-25 19:55) [38]
> Ну кому нужен delphimaster
Абсолютно не при чем.
Соображения есть, но они малообоснованные и не касаются ни меня лично, ни дел нашего сайта, поэтому относятся к разряду сплетен.
Не привожу.
← →
McSimm © (2004-05-25 19:56) [39]>это просто отмазка провайдера.
Нет.
← →
Александр Ос (2004-05-25 20:26) [40]Блин хоть когда кончится то известно?
Страницы: 1 2 вся ветка
Форум: "Потрепаться";
Текущий архив: 2004.06.27;
Скачать: [xml.tar.bz2];
Память: 0.55 MB
Время: 0.039 c