Gratulálok!
Szép volt...

Jól vágod a shell parancsokat, vagy azért nem ment annyira egyszerűen, mint az írásból kitűnik?

[ Szerkesztve ]

''Hand of fate is moving, and the finger points to You...''

Szvsz érdemesebb a half-open vagy embrionic kapcsolatok lezárása rövid timout-tal. így csak azokat zárja ki a tűzfal, akik nem fejezik be a TCP handshake-t

Köszönöm.
Mondhatni profi vagyok shell-ben, amikor az LPI vizsgámra készültem nagyon megtanultam. Meg bash-sal szoktam összefércelni a perl programjaimat.

Hogyne, ilyen könnyedén ment igazából (egy fenéket, izzadtam, mint a fene).

Úgy érted, hogy túl durva minden csomagot eldobni, ami a támadó gépektől jön?

A DDoS általában botnetről jön, ha eldobsz minden csomagot az érintett IP-kről, akkor ha szerencsétlen ártatlan (?) user, aki az egyik botnetes gép tulaja, meg akarja nézni a weboldalad, nem fog neki sikerülni. Viszont ha lezárod azokat, amik epszilon timeouttal nem fejezték be a TCP handshake-et, akkor a "normál üzemmódú" usernek működik a dolog, ha meg megint DDoS-olnak, akkor ugyanúgy védve vagy.

Szerintem...
De szóljatok ha hülyeséget beszélek

Igazad van.

Viszont engem japánból támadtak és hacsak nem egy ottani magyar kolóniáról van szó (esetleg egy nyelvtanuló csoportról) nem hiszem, hogy érdekelné őket a weboldalam

Szerintem jobb eldobni minden csomagjukat, hátha tudnak trükkösebb támadást, esetleg próbálkoznak más porttal is. De ma éjjel tesztelek más módszereket is, utánanézek ennek is.

Egyébként van más megoldás is, pl. apache-hoz van egy mod_evasive modul, az állítólag véd a dos támadás ellen. Nem tudtam kipróbálni, mert nem találtam debian csomagban, forrásból feltenni meg időigényesebb lett volna, mint ez az iptables-es dolog.

Sose tudhatod.. a japók mindenre képesek, lehet már több száz fős rajongótáborod van

Amúgy annyiban igazad van végülis, hogy dosolni lehet úgy is, hogy teljes TCP kapcsolat kiépüljön.

Mondjuk a dost én sose értettem - leszámítva persze, amikor valami ismertebb vállalat, szervezet ellen alkalmazzák, mert valami nem tetszik x embernek. Miért jó ez?
Hacsak nincs valami ellenséged

Ettől nem lesz valaki hacker, pláne, hogy manapság kattingatással dosolhat minden 10 éves
Mert ha portscant kapnál vagy valami "értelmes" dolgot, akkor "oké", próbálkozik valaki.

Szerintem túl durva azt is eldobni, ami a támadó gépek hálózatából jön, de nem támadás, hanem valós kérés.

TCP handshake azért illik hogy meglegyen 1-2 másodpercen belül, ha nem akkor kapcsolat bontása...

[ Szerkesztve ]

Szerintem túl durva azt is eldobni, ami a támadó gépek hálózatából jön, de nem támadás, hanem valós kérés.

Tökéletesen igazad van, általánosságban.

Viszont a _saját_ webszerveremnél _én_ nyugodtan eldönthetem, mit tartok fontosabbnak:
azt hogy esetleg pár user japánból megnézhesse-e a weboldalam, vagy hogy néhány 100 magyar user biztos meg tudja nézni az oldalam.

Én az utóbbit választottam.

Azért kellett a teljes hálózatukból eldobálnom a csomagokat, mert a támadó gépek száma folyamatosan változott, viszont mind ugyanabból a néhány hálózatból jöttek.

Persze irhattam volna egy scriptet, ami figyel és folyton újabb iptables-eket ad ki, de minek. Az én szempontom az volt, hogy minél hamarabb, minél egszerűbben megszabaduljak tőlük,
hiszen nem csak a szerverem cpu-ját terhelik, hanem engem is.

[ Szerkesztve ]

Meg hát azon is múlik a dolog hogy mennyire vagy paranoid... És amúgy sem túl valószínű, tényleg, hogy Japánból akárki is megnézné az oldalad. Nyilván ha egy világszerte látogatott oldal lennél akkor nem lenne ilyen könnyű a megoldás. :-)

Mutogatni való hater díszpinty

Bizony nagyon igazad van.
Gondolkodtam, vajon az indexnél hogy csinálják ezt.

Utánanéztem annak, amit mondtál a half-open kapcsolatról:

* Már van ilyen iptables beállításom

* Kipróbáltam, hogy nmap-pel a 80-as portot TCP syn scan-nel scannelem. A háttérben futtattam jó sok nmap-et, 3 gépen. Nem jelent meg "Reading Request" az apache statusaban, úgyhogy a szóban forgó ddos-os támadás nem ilyen módon történt.

Van itt egy érdekes beszélgetés erről a témáról magyarul:

http://hup.hu/modules.php?name=News&file=article&sid=7729

Kiemelnék egy részt belőle:

Egy aktiv DDos tamadas ellen a legjobb a szomszedos szobaban uldogelo operator, aki aktivan be tud avatkozni, es akar /16-os halozatokat tehet blacklistre egyetlen masodperc alatt a webszerverek elotti vedelmi retegben. (Nekem anno a freenet.hu operatori helyisege tetszett nagyon, szepen projektorokkal a falra vetitett aktualis szerverterhelesi grafikonokkal, meg avg load szamokkal).

([_Joel])

grat. és köszönöm. sort -u -ról nem tudtam. A -n-meg eredetileg benne volt a scriptjeimben, de mikor a cikket írtam, kifelejtettem. Most beleírom.

Sajnos, itt a példában levő sort|uniq -ot nem tudom lerövidíteni sort -u val, mert uniq -c van, olyat meg nem tud a sort (megszámolni az egyező sorokat)

[ Szerkesztve ]

Tényleg, ott sima sort|uniq van. De akkor úgy hagyom, ha szerinted érthetőbb. Így sincs elég magyarázat a scriptek mellé, a hozzászólásodból meg kiderül, hogy van rövidebb megoldás. Mindjárt teszek oda egy linket

iptablesnek van "recent" nevu match-a. azzal szepen le lehet szabalyozni, hogy 1 iprol X kapcsolat / adott ido alatt. ha valaki tamad, akkor ritka gyorsan elkezdi az iptables eldobalni a csomagokat. persze ez akkor nemer semmit, ha 800 zombi kezdi nyaldosni a webservert....

Szóval, volt egy felvetés, hogy a nagy portáloknál mit csinálnak ilyen esetben.

Szerintem lehet, hogy semmit. Ami nálam DDOS támadás volt, azt lehet, hogy pl. az index.hu webszervere észre sem veszi, talán még a napi átlag PI se nagyon változik

Köszönöm az ötletet.

netfilter recent patch

Van iplimit patch is, hasonlóan jó lehet ez is:

netfilter iplimit patch

Szeretném kérni azokat, akiknek van más ötletük, mint amit leírtam a cikkben, hogy ne csak egy két szóban írják le, hanem konkrét példával, linkkel, úgy hasznosabb. Előre is köszönöm.

Hasznos cikk, most nekem is jól jött

Viszont lenne egy szakmai kérdésem ezzel kapcsolatban:

"A paranccsal egy csomó IP címet kaptam. Gondoltam, a rosszak nem csak 1 kapcsolatot indítanak, úgyhogy a listát rendeztem és megszámoltam, az egyes IP-k hányszor fordulnak elő, majd még egy rendezés a lista végére tette a legaktívabb támadókat:

netstat -tn|grep ':80'|tr -s ' '|cut -d' ' -f5|cut -d':' -f1|sort|uniq -c|sort -n"

Hogy lehetne azt megoldani, hogy ezen rendezett lista elemeit elmentse egy fájlba, de úgy, hogy csak azok kerüljenek mentésre, amik a legaktívabbak. Addig eljutottam, hogy fájlba mentem a listát, de nem tudom hogyan lehetne csak mondjuk az 5 legaktívabb támadó IP-t mentésre bírni az összes helyett. (Akarok készíteni egy egyszerű kis shell scriptet, ami elvégzi ezt a folyamatot automatikusan helyettem vész esetén és működik is a nyers változat, de ez az utolsó lépés még hiányzik. És mindenkit azért nem akarok bannolni )

Valakinek van valami ötlete?

https://astrogate.hu - PC & Laptop Szerviz + Shop - Alaplap javítás, zárlatos tápkörök javítása, BIOS hibák orvoslása.

Ezek a kodsorok akkor is jok, ha a következő a tényállás?

Állando az IP cimem és egy emberke DDOS támadással megbénitja az internetemet.
routert használok.

Vagy ha nem jo akkor vmi ötlet, hogy a későbbiekben tudjam orvosolni ezt a fajta problémát?

Mohalaci voltam:))