Linux за българи: Форуми

Сигурност => Системна Сигурност => Темата е започната от: Denko в Jul 07, 2010, 14:14



Титла: Как да защитя сървъра/машината си от удп флууд.
Публикувано от: Denko в Jul 07, 2010, 14:14
Здравейте на всички,
понеже съм нов във форума, незнам дали темата е на мястото, на което трябва да бъде, но ако не е, нека модератор я премести, без да я трие. Извинявам се предварително.

Та, нека преминем към същността на темата. От доста време държа сървър на ЦС (2 години) и все се появява някакво лапе, което ще реши да ме флууди и ще ми съсипе трафика, знаех, че линукс е доста по сигурна система и е по-вероятно да намеря решение там, затова скоро минах на линукс (убунту), за да пробвам дали аджаба, няма да мога да филтрирам флууда някъкси. Също така, ако може да ми кажете, как да видя някой лог, когато ме флуудят, понеже и това не знам. Мисля, че за линукс има и готови защитни стени, които биха ми помогнали, но не съм сигурен.
Нека чуя Вашето мнение по въпроса, ако имате въпроси, питайте, ще се постарая да отговоря в най-кратко време. В момента съм на линукс десктоп среда, само и само да видя, ще мога ли да се спася от флууда. Лиших се от някой глезотийки, които имах под уиндоус, за да съм в по-голяма сигурност от лапета с флуудери в ръце.

Благодаря предварително.  :)


Титла: Re: Как да защитя сървъра/машината си от удп флууд.
Публикувано от: p3tzata_ в Jul 07, 2010, 16:26
Коя услуга ти флудват.
какво означава "удп"  и "ЦС".

Интересно ми е дали съм разбрал правилно - имали си наякакъв сървър под windows, сядаш пред този
същия windows и почваш да си жулиш икрички и в същото време ти правят потоп някакви лапета с флуудери под ръка.


Титла: Re: Как да защитя сървъра/машината си от удп флууд.
Публикувано от: Denko в Jul 07, 2010, 16:29
UDP е протоколът, под който ме флуудят.
ЦС - да, играта ЦС, но не казвам, че ме жулят докъто играя, казвам, че държа сървър на тази игра, също така казвам, че до сега съм бил на уиндоус, но минах на линукс, понеже мислих, че ще мога да спра флууда айпи тейбълс или някой файъруал.


Титла: Re: Как да защитя сървъра/машината си от удп флууд.
Публикувано от: p3tzata_ в Jul 07, 2010, 16:35
OK.
Всичко което трябва да направиш е да прочтеш това тук - http://linux.die.net/man/8/iptables

Много хора си казват, че като мината на линукс и проблема им е решен, да ама не, трябва да седнеш
и да прочетеш и да изпробваш и да конфигурираш и т.н.

Успех  ;)


Титла: Re: Как да защитя сървъра/машината си от удп флууд.
Публикувано от: Denko в Jul 07, 2010, 16:37
Разбирам, не съм си казъл, че като мина на линукс - проблема е решен, знам, че трябва да се правят доста неща, точно затова питах, да направя тези неща  :P
Сега ще погледна линка.


Титла: Re: Как да защитя сървъра/машината си от удп флууд.
Публикувано от: Denko в Jul 07, 2010, 16:40
Да, чел съм за айпи тейбълс, пробвах така - sudo iptables -A INPUT -s "айпи-то на атакуващия" -j DROP
но не стана, той нямаше достъп до мен, но флууда продължи и ми качваше трафика.


Титла: Re: Как да защитя сървъра/машината си от удп флууд.
Публикувано от: VladSun в Jul 07, 2010, 16:52
man iptables hashlimit

И само да ти кажа, че няма как да спреш запъването на канала при flood - със защитната стена можеш единствено да защитиш машината, но не и канала.


Титла: Re: Как да защитя сървъра/машината си от удп флууд.
Публикувано от: nix в Jul 07, 2010, 16:53
Няма защита против flood! или поне на мен не ми е известна такава, в тази връзка както казват американците:
There's no replacement for displacement!
Edit: ехх тоя форум все по на зле върви, освен RTFM друго знаете ли едно смислено мнение няма?


Титла: Re: Как да защитя сървъра/машината си от удп флууд.
Публикувано от: Denko в Jul 07, 2010, 16:57
За всичко си има решение.. няма как да няма защита.


Титла: Re: Как да защитя сървъра/машината си от удп флууд.
Публикувано от: VladSun в Jul 07, 2010, 17:06
man iptables hashlimit

Edit: ехх тоя форум все по на зле върви, освен RTFM друго знаете ли едно смислено мнение няма?

Какво повече да му кажа - гледам има някакво понятие от iptables, значи ще се оправи и сам. Не ти ли се вижда смислено?





Титла: Re: Как да защитя сървъра/машината си от удп флууд.
Публикувано от: n00b в Jul 07, 2010, 17:08
Нека да ти демонстрирам какво е UDP flood.

Представи си че имаш тръба по която тече флуид с около 2 атмосфери налягане и влиза в някаква твоя система.

Обаче параметрите се променят и флуида започва да тече с 20 атмосфери което води до нежелани реакции в твоята система. С помоща на АйПиТейбълс правиш защита на системата и намаляш входа на 2 атмосфери с което спасяваш системата си. ОБАЧЕ не променя факта че по тръбата продължава да си има 20 атмосфери!

Та и за udp flood. С онзи трик ти си махнал пакетите от твоята машина все едно че не влизат в tcp/udp стека. Но това не променя факта че тези пакети визически се движат към теб и ти тровят трафика. Единствения който може да ти помогне е доставчика ти (другата страна на тръбата). До доставчика ти ще изрази бурно недоволство най-малкото поради факта че този flood му трови и неговата връзка.


Титла: Re: Как да защитя сървъра/машината си от удп флууд.
Публикувано от: Denko в Jul 07, 2010, 17:09
Ако можех да се оправя сам, нямаше да пиша тема, не мислиш ли?


Титла: Re: Как да защитя сървъра/машината си от удп флууд.
Публикувано от: VladSun в Jul 07, 2010, 17:10
За всичко си има решение.. няма как да няма защита.

За трафик насочен към тебе няма спасение - могат да ти напълнят канала без проблем.
Все едно да се опиташ да ограничиш какво получаваш в пощата (тази с процепа ;) )


Титла: Re: Как да защитя сървъра/машината си от удп флууд.
Публикувано от: Denko в Jul 07, 2010, 17:11
@нууб, много добре знам какво е флууд, но благодаря за разяснението, аз си го представям по малко по-различен начин, но идеята е същата. Аз мисля, че и с някаква рутерна машина би станал трикът да филтрирам флууда, но не съм сигурен. Колкото до доставчика ми, преди време ми помагаше, но както винаги намират оправдания и спират да се интересуват.


Титла: Re: Как да защитя сървъра/машината си от удп флууд.
Публикувано от: VladSun в Jul 07, 2010, 17:13
Ако можех да се оправя сам, нямаше да пиша тема, не мислиш ли?

Цитат
hashlimit
This patch adds a new match called 'hashlimit'. The idea is to have something like 'limit', but either per destination-ip or per (destip,destport) tuple.

It gives you the ability to express
'1000 packets per second for every host in 192.168.0.0/16'

'100 packets per second for every service of 192.168.1.1'
with a single iptables rule.
--hashlimit rate
A rate just like the limit match
--hashlimit-burst num
Burst value, just like limit match
--hashlimit-mode destip | destip-destport
Limit per IP or per port
--hashlimit-name foo
The name for the /proc/net/ipt_hashlimit/foo entry
--hashlimit-htable-size num
The number of buckets of the hash table
--hashlimit-htable-max num
Maximum entries in the hash
--hashlimit-htable-expire num
After how many miliseconds do hash entries expire
--hashlimit-htable-gcinterval num
How many miliseconds between garbage collection intervals

Кое не е ясно? Какво си опитал дотук?


Титла: Re: Как да защитя сървъра/машината си от удп флууд.
Публикувано от: Denko в Jul 07, 2010, 17:14
Еми ето това примерно, не го знаех, както казах.. от скоро съм на линукс.


Титла: Re: Как да защитя сървъра/машината си от удп флууд.
Публикувано от: nix в Jul 07, 2010, 17:19
Браво на n00b :)
Та по темата, ще добавя че и доставчикът не може да ти помогне много защото рано или късно и неговият канал може да бъде изконсумиран! винаги има по-голяма риба, ако ли не има милярди малки който са по големи и от най-голямата, надявам се че разбра каква е идеята. glhf :)


Титла: Re: Как да защитя сървъра/машината си от удп флууд.
Публикувано от: Denko в Jul 07, 2010, 17:23
мда, прав си, но аз не искам да правя война, кой кого ще нафлууди и да си мерим пиш**** с флууд. Искам просто когато някое лапе реши, че понеже не му харесва това, че сървъра е пред неговия в дадена класация трябва да ме флууди, да мога да спра флууда.


Титла: Re: Как да защитя сървъра/машината си от удп флууд.
Публикувано от: nix в Jul 07, 2010, 17:25
НЕ МОЖЕ, ако неговото BFG е по-голямо :)


Титла: Re: Как да защитя сървъра/машината си от удп флууд.
Публикувано от: p3tzata_ в Jul 07, 2010, 17:27
Това е много деликатен въпрос.
Тук има една тема по този въпрос :http://forums.megalan.bg/lofiversion/index.php/t26557.html ($2) без да правя реклами



Титла: Re: Как да защитя сървъра/машината си от удп флууд.
Публикувано от: n00b в Jul 07, 2010, 18:22
С което пак се връщаме на фундаменталния проблем - няма оправия...


Титла: Re: Как да защитя сървъра/машината си от удп флууд.
Публикувано от: p3tzata_ в Jul 08, 2010, 09:34
Според мен единственото решение е да си плащаш за по-голям канал и да се надяваш да не ти го запълнят.


Титла: Re: Как да защитя сървъра/машината си от удп флууд.
Публикувано от: Denko в Jul 08, 2010, 14:52
Не е това решението, като ме зафлуудят повече хора, пак каналът ще се напълни..


Титла: Re: Как да защитя сървъра/машината си от удп флууд.
Публикувано от: borovaka в Jul 08, 2010, 15:38
Denko В репликата "Решение няма" която вече няколко човека ти казаха какво точно не ти става ясно.
Защитата за твоята машина си я осъществяваш без проблем с firewall ама схемата е, че fooda ти пълни канала. Това между другото вече са ти го обяснили.

Решението е или  да пуснеш някой много стабилен нет или да използваш някакви законови мерки примерно.
Другият вариант който виждам е да вземеш една тръба и да отидеш да сурвакаш тоя дето те флъди. :)


Титла: Re: Как да защитя сървъра/машината си от удп флууд.
Публикувано от: edmon в Jul 08, 2010, 16:22
Denko В репликата "Решение няма" която вече няколко човека ти казаха какво точно не ти става ясно.
Защитата за твоята машина си я осъществяваш без проблем с firewall ама схемата е, че fooda ти пълни канала. Това между другото вече са ти го обяснили.

Решението е или  да пуснеш някой много стабилен нет или да използваш някакви законови мерки примерно.
Другият вариант който виждам е да вземеш една тръба и да отидеш да сурвакаш тоя дето те флъди. :)

Това е най-доброто решение! Обади се на майка му и й кажи, че ще му строши ръчичките ако пак почне да прави така! :)


Титла: Re: Как да защитя сървъра/машината си от удп флууд.
Публикувано от: !ntel в Sep 13, 2010, 09:03
Това е най-доброто решение! Обади се на майка му и й кажи, че ще му строши ръчичките ако пак почне да прави така! :)

Тц... И това не помага в 90% от ситуацийте. Веднага обеснявам: има няколко форума като PSC, WWC и т.н. Целта на хората там не е точно да вредят, но има хора които се възползват директно от знанията описани там - в резултат почват да градят ботнет мрежи.

Лично съм виждал как се търгуват такива мрежи или дори само се дават под наем.

А кажи ми, как ще го хванеш аджеба тоя "учен" пич - дето най-малкото се е сетил "да не си цапа ръцете" лично? А да споменавам ли как може да се spoof-ви и фалшифицира IP-то на бот машината(ако го позволява доставчика)?

Даже gat3way-а беше писал цяла статия за това. НАПРАВЕТЕ СИ ТРУДА И Я ПРОЧЕТЕТЕ (:
Така че ако един добър мрежов специалист продаде на лапе, пубер, непознат - готова "конфигурирана"/ "рециклирана" ботнет мрежа - С ТЕБ Е СВЪРШЕНО My friend (:

Само ми кажи как ще филтрира примерно всичките рандом генерирани IP адреси от даден "умен" скрипт/демон? Накрая потърпевшата машина ще се съсипва от 100п/с, защото FW таблицата с правилата ще е 100 километра...

И както най-точно го казаха няколко пъти по-горе: от (качествен)флууд "СПАСЕНИЕ НЯМА". Причина - ПЪЛНЕНЕ НА КАНАЛА И ТО В ДВЕТЕ ПОСОКИ ДО ЛИМИТА НА ВРЪЗКАТА.

РЕШЕНИЕ: Ако сте паралии да давате за 2mbps гарантиран -> ~100лв. в колоцентър с всички защити и пр. (за 10mbps -> ~600лв.) - тогава всичко е ОК ;)


Титла: Re: Как да защитя сървъра/машината си от удп флууд.
Публикувано от: edmon в Sep 20, 2012, 22:59
Това е най-доброто решение! Обади се на майка му и й кажи, че ще му строши ръчичките ако пак почне да прави така! :)

Тц... И това не помага в 90% от ситуацийте. Веднага обеснявам: има няколко форума като PSC, WWC и т.н. Целта на хората там не е точно да вредят, но има хора които се възползват директно от знанията описани там - в резултат почват да градят ботнет мрежи.

Лично съм виждал как се търгуват такива мрежи или дори само се дават под наем.

А кажи ми, как ще го хванеш аджеба тоя "учен" пич - дето най-малкото се е сетил "да не си цапа ръцете" лично? А да споменавам ли как може да се spoof-ви и фалшифицира IP-то на бот машината(ако го позволява доставчика)?

Ех като нашамариш наемателя той ще ти каже и кой е наемодателя!:)


Титла: Re: Как да защитя сървъра/машината си от удп флууд.
Публикувано от: Skrbx в Sep 21, 2012, 11:17
Имайки предвид, че това е някое лапе, което е рейджнало след като са го убили 3 пъти подред във въпросният сървър, единственото което можеш да направиш е да видиш ИП-то (или ИП-тата) и да се свържеш със съответното ISP...

Пък ако някои си е наел ботнет за 10$  (виждал съм даже по евтини...) на седмица, и те флуди, по-добре се откажи, в домашни условия си непослилен да направиш каквото и да е.


Титла: Re: Как да защитя сървъра/машината си от удп флууд.
Публикувано от: ddantgwyn в Jul 16, 2013, 12:18
Според мен единственото решение е да си плащаш за по-голям канал и да се надяваш да не ти го запълнят.

Ами и това не е решение -- обърни внимание с какъв капацитет са запушили преди време SpamHouse от долната връзка.

Spamhaus DDoS grows to Internet-threatening size ($2)

Тривиално решение няма -- ако е някое сърдито хлапе,  което не е много наясно как се правят нещата и не е взело мерки да се прикрие, може да го изловиш и евентуално ошамариш -- него и родителите му, но ако е взело мерки (както вече се спомена тук) няма какво особено да направиш (imho). Освен някоя и друга молитва към голямото спагетено чудовище  ::)