Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2016-02-24 19:57:49

  Nicram - Użytkownik

Nicram
Użytkownik
Zarejestrowany: 2006-03-28

DDoS - analizowanie kto jest atakowany

Witam
Ostatnio mam jakieś ataki DDoS. Nie wiem czy jest to atak wiele do wielu ale na pewno jest to atak z wielu źródeł, ale czy do jednego ip to niestety nie wiem.
Na routerze działa quagga z bgp i są podpięte dwa łącza. Niestety nie ma żadnego analizatora by ładnie wyłapać ten ruch.
Chciałby np zapuścić tcpdumpa w momencie ataku, ale zanalizować wynik?

z góry dzięki za podpowiedzi.

Offline

 

#2  2016-02-24 20:20:59

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: DDoS - analizowanie kto jest atakowany

TCP, UDP czy ICMP?

Ja bym radził Snorta, potrafi dosyć grzecznie logować prosto na konsolę, da się to wrzucić do jakieś bazy albo pliku  i analizować na 1000 różnych sposobów regexami.

Podobnie logi każdej usługi, czeszesz same adresy docelowe, sortujesz, potem uniq, i już widać, ile adresów było młóconych, jeśli wynikiem uniq  użyjesz do grepowania całego loga, to wyście wc -l  pokaże liczbę wystąpień każdego unikalnego adresu docelowego.
Da się to w dosyć prostą pętelkę basha poskładać,  a jeśli logi mają iść do SQLa, to to ten potrafi liczbę wyników zawierających warunek wypluć.

Także masz dowolne możliwości, jak podzielisz robotę na zbieranie danych i ich sortowanie oraz analizę.

Jak kiedyś bawiłem się Snortem podłączonym do Mysqla, i do tego BASE - skrypt php do analizowania logów z bazy Snorta, to tam od razu można było wyświetlić różne statystyki.

Tylko dawno to było, obecnie logowanie Snorta do SQL realizuje programik Barnyard2, ale u mnie za bardzo nie chciał działać.

Conieco o Snorcie, w miarę świeże:
https://sourceforge.net/projects/secureideas/files/BASE/
http://computer-outlines.over-blog.com/article-nids-snort-barnyard2-apache2-base-with-ubuntu-14-04-lts-123532107.html
https://snort.org/documents/snort-2-9-8-x-on-ubuntu-12-lts-and-14-lts-and-15

A tu moje wypociny, jak się Barnyard skichał:
https://forum.dug.net.pl/viewtopic.php?id=22977

Ostatnio edytowany przez Jacekalex (2016-02-24 20:23:07)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#3  2016-02-24 20:30:59

  Nicram - Użytkownik

Nicram
Użytkownik
Zarejestrowany: 2006-03-28

Re: DDoS - analizowanie kto jest atakowany

[quote=Jacekalex]TCP, UDP czy ICMP?[/quote]
Gdybym to ja dokładnie wiedział :)
[quote=Jacekalex]Ja bym radził Snorta, potrafi dosyć grzecznie logować prosto na konsolę, da się to wrzucić do jakieś bazy albo pliku  i analizować na 1000 różnych sposobów regexami.[/quote]
przy próbie instalacji snorta chce mi pół systemu instalować :/

najlepszy byłby jakiś how to, ewentualnie exampel z wykorzystaniem tcpdumpa.
zapisałbym wynik tcpdumpa do pliku powiedzmy z minuty słuchania i taki plik "wygrepował" zliczając ilość połączeń do hosta.

dla inputa można łatwo zrobić netstatem i jego grepować, a tu chodzi konkretnie o forwardowany ruch.


a co powiecie o Iptraf? qrde, byłby wyśmienity ale pokazuje tylko TCP, nie pokazuje połączeń udp ani icmp w zestawieniu i sortowani

Ostatnio edytowany przez Nicram (2016-02-24 20:48:54)

Offline

 

#4  2016-02-24 21:15:09

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: DDoS - analizowanie kto jest atakowany

Kod:

tcpdump -i eth0 -nvvv 2>&1  | awk '{print $3}'

Pięknie wyświetla adresy docelowe dodając dport po kropce.

Kod:

tcpdump -i eth0 -nvvv 2>&1  | awk '{print $3}'|  grep -E -o "([0-9]{1,3}[\.]){3}[0-9]{1,3}"

Bardzo grzecznie wypluwa na konsolę docelowe adresy IP.

EDIT:

Kod:

tcpdump -i eth0 -nvvv 2>&1  | awk '{print $3}'|  grep -E -o "([0-9]{1,3}[\.]){3}[0-9]{1,3}" >>/tmp/testip

Do pliku też ładnie zrzuca same IPki, ale musisz mu dopracować filtr tcpdumpa, żeby pokazywał co trzeba.

Jest też, właśnie mi się przypomniało - [b]Darkstat[/b], wyświetla wyniki przez interfejs WWW, ma statystyki, więc może się nada.
[b]Ntop[/b] chyba też to potrafi, ale wieki całe go nie widziałem.

Ostatnio edytowany przez Jacekalex (2016-02-24 21:36:37)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#5  2016-03-01 05:10:53

  zlyZwierz - Moderator

zlyZwierz
Moderator
Zarejestrowany: 2005-02-18
Serwis

Re: DDoS - analizowanie kto jest atakowany

[quote=Nicram]Witam
Ostatnio mam jakieś ataki DDoS. Nie wiem czy jest to atak wiele do wielu ale na pewno jest to atak z wielu źródeł, ale czy do jednego ip to niestety nie wiem.
Na routerze działa quagga z bgp i są podpięte dwa łącza. Niestety nie ma żadnego analizatora by ładnie wyłapać ten ruch.
Chciałby np zapuścić tcpdumpa w momencie ataku, ale zanalizować wynik?

z góry dzięki za podpowiedzi.[/quote]
Zrób port mirror na switchu  którego masz na brzegu sieci, postaw NTOP na jakimś luźnym kompie podpiętym pod mirror.
NTOP pozwoli Ci organoleptycznie ogarnąć co kto gdzie ;)

http://www.ntop.org/

Nie masz switcha na brzegu sieci - kup ;)


[url=http://www.netfix.pro]www.netfix.pro[/url]

Offline

 

#6  2016-03-01 15:26:09

  jurgensen - Użytkownik

jurgensen
Użytkownik
Skąd: Wrocław
Zarejestrowany: 2010-01-26

Re: DDoS - analizowanie kto jest atakowany

Również zdecydowanie to, co pisze złyZwierz. NTOP może nie jest super stabilnym narzędziem, ale po odpowiednim dostrojeniu sprawuje się naprawde nieźle.

Offline

 

#7  2016-03-01 18:00:39

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: DDoS - analizowanie kto jest atakowany

[quote=jurgensen]Również zdecydowanie to, co pisze złyZwierz. NTOP może nie jest super stabilnym narzędziem, ale po odpowiednim dostrojeniu sprawuje się naprawde nieźle.[/quote]
Obaj macie malutkie opóźnienie. ;0

O ile mnie wiadomo, adresy z "lamersko-partyzanckiego" użycia tcpdumpa grzecznie lądują w ipsecie, co było widać w [url=https://forum.dug.net.pl/viewtopic.php?pid=298268#p298268]innym wątku[/url]. XD

Ostatnio edytowany przez Jacekalex (2016-03-01 18:01:01)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#8  2016-03-01 18:22:19

  Nicram - Użytkownik

Nicram
Użytkownik
Zarejestrowany: 2006-03-28

Re: DDoS - analizowanie kto jest atakowany

ntop sądzę, że na dniach będzie postawiony a dokładniej ntopng :)
dzięki za sugestie

Offline

 

#9  2016-03-01 22:09:57

  zlyZwierz - Moderator

zlyZwierz
Moderator
Zarejestrowany: 2005-02-18
Serwis

Re: DDoS - analizowanie kto jest atakowany

[quote=Jacekalex][quote=jurgensen]Również zdecydowanie to, co pisze złyZwierz. NTOP może nie jest super stabilnym narzędziem, ale po odpowiednim dostrojeniu sprawuje się naprawde nieźle.[/quote]
Obaj macie malutkie opóźnienie. ;0

O ile mnie wiadomo, adresy z "lamersko-partyzanckiego" użycia tcpdumpa grzecznie lądują w ipsecie, co było widać w [url=https://forum.dug.net.pl/viewtopic.php?pid=298268#p298268]innym wątku[/url]. XD[/quote]
To jak mierzenie wieloryba suwmiarką.
Da się, ale pomyśl, że można prościej i lepiej.
A, zapomniałem ego nie kazało.. ;)


[url=http://www.netfix.pro]www.netfix.pro[/url]

Offline

 

#10  2016-03-01 22:11:59

  Nicram - Użytkownik

Nicram
Użytkownik
Zarejestrowany: 2006-03-28

Re: DDoS - analizowanie kto jest atakowany

[quote=zlyZwierz]To jak mierzenie wieloryba suwmiarką.
Da się, ale pomyśl, że można prościej i lepiej.
A, zapomniałem ego nie kazało.. ;)[/quote]
Prościej i lepiej? co masz na myśli?

Offline

 

#11  2016-03-01 22:17:04

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: DDoS - analizowanie kto jest atakowany

[quote=zlyZwierz][quote=Jacekalex][quote=jurgensen]Również zdecydowanie to, co pisze złyZwierz. NTOP może nie jest super stabilnym narzędziem, ale po odpowiednim dostrojeniu sprawuje się naprawde nieźle.[/quote]
Obaj macie malutkie opóźnienie. ;0

O ile mnie wiadomo, adresy z "lamersko-partyzanckiego" użycia tcpdumpa grzecznie lądują w ipsecie, co było widać w [url=https://forum.dug.net.pl/viewtopic.php?pid=298268#p298268]innym wątku[/url]. XD[/quote]
To jak mierzenie wieloryba suwmiarką.
Da się, ale pomyśl, że można prościej i lepiej.
A, zapomniałem ego nie kazało.. ;)[/quote]
Może i wieloryba suwmiarką, jednak w Ntopie można sobie pooglądać, a z różnych Snortów czy Tcpdumpów można wyczesać adresy  prosto do Ipseta,
jak to ładnie oskrypcisz, to będzie  robiło się samo, nie trzeba się  tym wtedy za bardzo opiekować.

Z resztą do Snorta były (i nawet są) dwa sympatyczne narzędzia, Snortsam i Guardian.pl, ale ostatnio Snort na różne sposoby stara się zakończyć z nimi znajomość, dlatego integracja Snorta z FW wymaga troszkę gimnastyki.

Pozdro

Ostatnio edytowany przez Jacekalex (2016-03-01 22:26:20)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#12  2016-03-01 22:25:23

  zlyZwierz - Moderator

zlyZwierz
Moderator
Zarejestrowany: 2005-02-18
Serwis

Re: DDoS - analizowanie kto jest atakowany

Da się i NTOP oskryptować.

http://www.ntop.org/ntopng/scripting-ntopng-with-lua/
http://lists.ntop.org/pipermail/ntop/2014-May/017789.html
https://github.com/xtao/ntopng/tree/master/scripts/lua/examples

http://www.wuerth-phoenix.com/fileadmin/NetEye_Conference_2014/Presentations/14.00-14.30_LucaDeri.pdf


[url=http://www.netfix.pro]www.netfix.pro[/url]

Offline

 

#13  2016-03-01 22:30:48

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: DDoS - analizowanie kto jest atakowany

[quote=zlyZwierz]Da się i NTOP oskryptować.

http://www.ntop.org/ntopng/scripting-ntopng-with-lua/
http://lists.ntop.org/pipermail/ntop/2014-May/017789.html
https://github.com/xtao/ntopng/tree/master/scripts/lua/examples

http://www.wuerth-phoenix.com/fileadmin/NetEye_Conference_2014/Presentations/14.00-14.30_LucaDeri.pdf[/quote]
Oczywiście, ze się da, ale jeśli już pakujesz się w jakieś skryptolenie, to nie ma wielkiej różnicy, co tam pluje adresami do skrypta, Snort, Tcpdump, Suricata czy Ntop albo Ngrep.

Snortokształtne  sniffery mają tą zaletę, że można w nich stosować różne zestawy reguł pozwalające rozpoznać różne klasy ataków, podczas, gdy oskryptolony tcpdump czy ntop to jest tak ślepa śrutówka, która wali na oślep.

Nawiasem pisząc, sam poczciwy netfilter sam ma dość zabawek na ataki DOS/DDOS.
Ale też jest troszkę zabawy z prawidłową konfiguracją.

Ostatnio edytowany przez Jacekalex (2016-03-01 22:42:13)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#14  2016-03-01 22:37:45

  zlyZwierz - Moderator

zlyZwierz
Moderator
Zarejestrowany: 2005-02-18
Serwis

Re: DDoS - analizowanie kto jest atakowany

Ja tam wolę ;), ale niech sobie Marcin sam oceni, co Mu pasuje :)
Myślę, że jako ISP (a tym pewnie się zajmuje) mało interesuje go co to za atak, po co i dlaczego.
Interesuje go raczej cel ataku i wolumen - po to żeby wiedzieć, czy go olać, czy dodać do bgp blackhole.


[url=http://www.netfix.pro]www.netfix.pro[/url]

Offline

 

#15  2016-03-01 22:47:56

  zlyZwierz - Moderator

zlyZwierz
Moderator
Zarejestrowany: 2005-02-18
Serwis

Re: DDoS - analizowanie kto jest atakowany

[quote=Jacekalex]Nawiasem pisząc, sam poczciwy netfilter sam ma dość zabawek na ataki DOS/DDOS.
Ale też jest troszkę zabawy z prawidłową konfiguracją.[/quote]
Bez sensu, to jak zatykać odkręcony kran palcem w nadzieji, że przestanie pryskać z niego woda.
Są inne narzędzia do tego :)


[url=http://www.netfix.pro]www.netfix.pro[/url]

Offline

 

#16  2016-03-01 22:47:58

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: DDoS - analizowanie kto jest atakowany

[quote=zlyZwierz]Ja tam wolę ;), ale niech sobie Marcin sam oceni, co Mu pasuje :)
Myślę, że jako ISP (a tym pewnie się zajmuje) mało interesuje go co to za atak, po co i dlaczego.
Interesuje go raczej cel ataku i wolumen - po to żeby wiedzieć, czy go olać, czy dodać do bgp blackhole.[/quote]
Postaw sobie gdzieś na necie serwer gier albo TSa, i spróbuj na nim trochę zarobić, to się osobiście dokształcisz w roli "Marcina". :D


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#17  2016-03-01 22:48:34

  Nicram - Użytkownik

Nicram
Użytkownik
Zarejestrowany: 2006-03-28

Re: DDoS - analizowanie kto jest atakowany

[quote=zlyZwierz]Ja tam wolę ;), ale niech sobie Marcin sam oceni, co Mu pasuje :)
Myślę, że jako ISP (a tym pewnie się zajmuje) mało interesuje go co to za atak, po co i dlaczego.
Interesuje go raczej cel ataku i wolumen - po to żeby wiedzieć, czy go olać, czy dodać do bgp blackhole.[/quote]
Tak, dokładnie tak jest.
W związku z tym, że quagga na linuksie podczas ataku trochę "przysiadała", miałem overrun i dropy na sieciówkach a pakietów było max 250k-300k/s (tak pokazywało cacti, a czy to prawidłowa wartość to nie wiem). w tym momencie łącza od dostawców nie wzrastały na 100% a raczej spadały z i pinga robiła się szatkownica, w tym czasie zrywało sesje bgp i quagga kręciła, kiedy znów sesja się nawiązała quagga znów liczyła itd. efektem była degradacja łącza, w cacti statysyka pakietów 4-5x większa niż normalnie.
zainstalowałem sobie nawet ntopa z repozytoriów, żeby mieć podgląd i nie grepować tcpdumpa, ale w momencie ataku jak go odpaliłem to wszystkie procki 100%, load w górę, nawet nie mogłem zalogować się do ntopa. po prostu maszyna się zamuliła.
Boss postanowił zakupić coś konkretniejszego by przy takim ruchu się nudził :) czyli routerek cisco.
i tu się jeszcze zastanawiam, czy zrobić NetFlow z interfejsów od dostawców i ntopng czy raczej mirror portów i też zbierać ntopem.

ale zanim maszynka przyjedzie, niestety nie stać nas na zakup takiego nowego :/ a na ebay jest taniej, muszę radzić sobie z tym co mam, czyli tcpdup i grep.

Ostatnio edytowany przez Nicram (2016-03-01 22:53:14)

Offline

 

#18  2016-03-01 22:52:55

  zlyZwierz - Moderator

zlyZwierz
Moderator
Zarejestrowany: 2005-02-18
Serwis

Re: DDoS - analizowanie kto jest atakowany

Ile macie tego ruchu w sumie, a ile pps podczas ataku?
Jaka maszynka i z jaką konfiguracj a tam stoi?
Czemu quagga (jak to kiedyś kolega papisał "kurwagga") a nie bird ?


[url=http://www.netfix.pro]www.netfix.pro[/url]

Offline

 

#19  2016-03-01 22:56:07

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: DDoS - analizowanie kto jest atakowany

Czemu quagga (jak to kiedyś kolega papisał "kurwagga") a nie bird ?[/quote]
Albo Openbgpd razem z całym systemem, firewallem PF i śliczną zabawką - PFsync.
Zdaje się, że  Cisco ani Juniper nic lepszego od OpenBSD w tych swoich gratach nie mają.

Ostatnio edytowany przez Jacekalex (2016-03-01 22:57:37)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#20  2016-03-01 23:02:19

  Nicram - Użytkownik

Nicram
Użytkownik
Zarejestrowany: 2006-03-28

Re: DDoS - analizowanie kto jest atakowany

[quote=zlyZwierz]Ile macie tego ruchu w sumie, a ile pps podczas ataku?
Jaka maszynka i z jaką konfiguracj a tam stoi?
Czemu quagga (jak to kiedyś kolega papisał "kurwagga") a nie bird ?[/quote]
Czemu quagga, bo z bgp swojego czasu uczyłem się na cisco a w quaga ma identyczne komendy i tak postawiłem, już nie szukałem innych rozwiazań
w sumie w godzinach sztczytu 1G (2x500), w tej chwili mam nie wiele ponad 800Mb i około 80kpps oczywiście ruchu przychodzącego a podczas ataku pokazuje około 200kpps

maszynka 2 proc Quad
Intel(R) Xeon(R) CPU   E5345  @ 2.33GHz
8MB Ram

03:00.0 Ethernet controller: Broadcom Corporation NetXtreme II BCM5708 Gigabit Ethernet (rev 12)
05:00.0 Ethernet controller: Broadcom Corporation NetXtreme II BCM5708 Gigabit Ethernet (rev 12)
0b:00.0 Ethernet controller: Intel Corporation 82571EB Gigabit Ethernet Controller (rev 06)
0b:00.1 Ethernet controller: Intel Corporation 82571EB Gigabit Ethernet Controller (rev 06)
13:00.0 Ethernet controller: Intel Corporation 82576 Gigabit Network Connection (rev 01)
13:00.1 Ethernet controller: Intel Corporation 82576 Gigabit Network Connection (rev 01)

Na pokładzie debian 7, w sumie stawiane jakieś pół roku temu.
trochę tuningu

Kod:

#sysctl.conf
net.ipv4.conf.default.rp_filter=0
net.ipv4.conf.all.rp_filter=0
net.ipv4.ip_forward=1
net.nf_conntrack_max = 2097152
net.ipv4.netfilter.ip_conntrack_max = 2097152
net.ipv4.conf.all.arp_filter = 1
net.ipv4.conf.default.arp_filter = 1
net.ipv4.conf.all.arp_ignore = 2
net.ipv4.conf.default.arp_ignore = 2
#net.ipv4.ip_early_demux = 0

/sbin/ethtool -K eth0 tso off
##/sbin/ethtool -K eth0 ufo off
/sbin/ethtool -K eth0 tx off
/sbin/ethtool -K eth0 rx off
/sbin/ethtool -K eth0 gro off
/sbin/ethtool -K eth0 gso off
/sbin/ethtool -G eth0 rx 4096 tx 4096
/sbin/ethtool -C eth0 rx-usecs 512
/sbin/ethtool -A eth0 autoneg off rx off tx off


/sbin/ethtool -K eth1 tso off
#/sbin/ethtool -K eth1 ufo off
/sbin/ethtool -K eth1 tx off
/sbin/ethtool -K eth1 rx off
/sbin/ethtool -K eth1 gro off
/sbin/ethtool -K eth1 gso off
/sbin/ethtool -G eth1 rx 4096 tx 4096
/sbin/ethtool -C eth1 rx-usecs 512
/sbin/ethtool -A eth1 autoneg off rx off tx off



/sbin/ethtool -K eth2 tso off
#/sbin/ethtool -K eth2 ufo off
/sbin/ethtool -K eth2 tx off
/sbin/ethtool -K eth2 rx off
/sbin/ethtool -K eth2 gro off
/sbin/ethtool -K eth2 gso off
/sbin/ethtool -G eth2 rx 4096 tx 4096
/sbin/ethtool -C eth2 rx-usecs 512
/sbin/ethtool -A eth2 autoneg off rx off tx off


/sbin/ethtool -K eth3 tso off
#/sbin/ethtool -K eth3 ufo off
/sbin/ethtool -K eth3 tx off
/sbin/ethtool -K eth3 rx off
/sbin/ethtool -K eth3 gro off
/sbin/ethtool -K eth3 gso off
/sbin/ethtool -G eth3 rx 4096 tx 4096
/sbin/ethtool -C eth3 rx-usecs 512
/sbin/ethtool -A eth3 autoneg off rx off tx off

#Broadcom
/sbin/ethtool -K eth4 tso off
/sbin/ethtool -K eth4 tx off
/sbin/ethtool -K eth4 rx off
/sbin/ethtool -K eth4 gro off
/sbin/ethtool -K eth4 gso off
/sbin/ethtool -G eth4 rx 2040 tx 255
/sbin/ethtool -A eth4 autoneg off rx off tx off

/sbin/ethtool -K eth5 tso off
/sbin/ethtool -K eth5 tx off
/sbin/ethtool -K eth5 rx off
/sbin/ethtool -K eth5 gro off
/sbin/ethtool -K eth5 gso off
/sbin/ethtool -G eth5 rx 2040 tx 255
/sbin/ethtool -A eth5 autoneg off rx off tx off


eth0      Link encap:Ethernet  HWaddr 6c:2:05:ae  
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:296252751025 errors:1 dropped:0 overruns:76911784 frame:1
          TX packets:215436781006 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:359700616223530 (327.1 TiB)  TX bytes:54134081880607 (49.2 TiB)
          Memory:fdfe0000-fe000000 
eth2      Link encap:Ethernet  HWaddr 00:15c:82 
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:316617598257 errors:529 dropped:642184271 overruns:0 frame:529
          TX packets:201321612131 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:358208133699531 (325.7 TiB)  TX bytes:56228135565626 (51.1 TiB)
          Interrupt:16 Memory:fcee0000-fcf00000 
eth3      Link encap:Ethernet  HWaddr 00:1bc  
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:413071662891 errors:0 dropped:3702565 overruns:0 frame:0
          TX packets:599204203356 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:112292849156785 (102.1 TiB)  TX bytes:697954134758598 (634.7 TiB)
          Interrupt:17 Memory:fcea0000-fcec0000

eth0 (fiber) i eth2 dostawcy, eth3 wewnętrzna

Ostatnio edytowany przez Nicram (2016-03-01 23:07:35)

Offline

 

#21  2016-03-01 23:07:23

  zlyZwierz - Moderator

zlyZwierz
Moderator
Zarejestrowany: 2005-02-18
Serwis

Re: DDoS - analizowanie kto jest atakowany

[quote=Jacekalex]

Czemu quagga (jak to kiedyś kolega papisał "kurwagga") a nie bird ?[/quote]
Albo Openbgpd razem z całym systemem, firewallem PF i śliczną zabawką - PFsync.
Zdaje się, że  Cisco ani Juniper nic lepszego od OpenBSD w tych swoich gratach nie mają.[/quote]
Tak, niech teraz uczy się OpenBSD ;), jak całe życie na linuxie :)
W międzyczasie trenując skalowalnośc na żywym organizmie - w dodatku pewnie nie jego, tylko pracodawcy :)


[url=http://www.netfix.pro]www.netfix.pro[/url]

Offline

 

#22  2016-03-01 23:12:01

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: DDoS - analizowanie kto jest atakowany

Tak, niech teraz uczy się OpenBSD ;) jak całe życie na linuxie :)[/quote]
Przesadzasz, wcale nie jest taki straszny.
Jak ktoś opanował netfiltera, to PF, to dla niego zabawa, a system i tak mocno łatwiejszy, niż konfiguracja Junipera czy Cisco, w których też standardowego Linuxa nie znajdziesz.

Ja bym się zastanowił nad kartami WAN (do ISP) -  czy tam 10Gbit nie wsadzić, jeśli jest taka możliwość.

Ostatnio edytowany przez Jacekalex (2016-03-01 23:14:18)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#23  2016-03-01 23:20:42

  zlyZwierz - Moderator

zlyZwierz
Moderator
Zarejestrowany: 2005-02-18
Serwis

Re: DDoS - analizowanie kto jest atakowany

E5345 to już zabytek, przeskakiwanie na kerzem (cisco) to też pewne ryzyko - Cisco nie wyeliminuje zatkanej rury (a do takiej sytuacji prowadzi nieuchronnie ddos).
Musiałbyś wdrożyć blackholing bgp, przy  udziale dodatkowych narzędzi.

Zamiast zabytkowego E5345 (stare delle 1950/2950 i inne zabytki z 2008r ;) ) Można zapodać coś takiego: http://allegro.pl/serwer-intelxeon-3-50ghz-16gb-3u-2x500gb-3ware-i6006138882.html
Dla tej wielkości ISP dwa koła to jak splunąć, a z pewnością ogarniesz  na tym te 200 kpps.

Dodatkowo zrezygnowąłbym z broadcomów całkowicie, a ruch zostawił na intelu82576/82599.

Szef ma konto na ispforum - niech rzuci okiem: https://ispforum.pl/index.php?topic=12966.0

PS

U mnie taki ruch to norma:

http://imgur.com/a/BsAii

model name    : Intel(R) Xeon(R) CPU E5-1620 v2 @ 3.70GHz
02:00.0 Ethernet controller: Intel Corporation 82599EB 10-Gigabit SFI/SFP+ Network Connection (rev 01)


Kolejek brak, tylko NAT i FIREWALL+BGP+OSPF
Kolejki na rozproszonych koncentratorach.


[url=http://www.netfix.pro]www.netfix.pro[/url]

Offline

 

#24  2016-03-01 23:26:40

  Nicram - Użytkownik

Nicram
Użytkownik
Zarejestrowany: 2006-03-28

Re: DDoS - analizowanie kto jest atakowany

[quote=zlyZwierz]E5345 to już zabytek, przeskakiwanie na kerzem (cisco) to też pewne ryzyko - Cisco nie wyeliminuje zatkanej rury (a do takiej sytuacji prowadzi nieuchronnie ddos).
Musiałbyś wdrożyć blackholing bgp, przy  udziale dodatkowych narzędzi.

Zamiast zabytkowego E5345 (stare delle 1950/2950 i inne zabytki z 2008r ;) ) Można zapodać coś takiego: http://allegro.pl/serwer-intelxeon-3-50ghz-16gb-3u-2x500gb-3ware-i6006138882.html
Dla tej wielkości ISP dwa koła to jak splunąć, a z pewnością ogarniesz  na tym te 200 kpps.


Szef ma konto na ispforum - niech rzuci okiem: https://ispforum.pl/index.php?topic=12966.0[/quote]
Wiem, cisco nie wyeliminuje zapchanej rurki ale przynajmniej sam w sobie się nie zatka :) wiem, że ten sprzęt co teraz nie jest najnowszy, ale taki był też za jakieś 2k a może i więcej kupowany, nie wiem, osobiście nie ja płaciłem.
wdrożenie blackholing obowiązkowe tak na wczoraj :) przy udziale ntop (trochę skryptowania) albo przy użyciu WanGuarda.
aczkolwiek długo byliśmy "omijani" przez DDoS

oj, chyba nie ma konta na ispforum. a o czym w tym wątku?

Ostatnio edytowany przez Nicram (2016-03-01 23:28:17)

Offline

 

#25  2016-03-01 23:30:55

  zlyZwierz - Moderator

zlyZwierz
Moderator
Zarejestrowany: 2005-02-18
Serwis

Re: DDoS - analizowanie kto jest atakowany

Ma ;)
Paw. Je.

Data rejestracji:
    Marzec 18, 2014, 10:32:07
Czas lokalny:
    Marzec 01, 2016, 23:34:31
Ostatnio aktywny:
    Kwiecień 29, 2015, 20:23:31

Wątek: Wykrywanie DDOSow na MT  (Przeczytany 1212 razy)


[url=http://www.netfix.pro]www.netfix.pro[/url]

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Nas ludzie lubią po prostu, a nie klikając w przyciski ;-)

[ Generated in 0.014 seconds, 11 queries executed ]

Informacje debugowania

Time (s) Query
0.00014 SET CHARSET latin2
0.00006 SET NAMES latin2
0.00117 SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='18.220.242.160' WHERE u.id=1
0.00084 REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '18.220.242.160', 1732744680)
0.00054 SELECT * FROM punbb_online WHERE logged<1732744380
0.00078 DELETE FROM punbb_online WHERE ident='185.191.171.4'
0.00070 DELETE FROM punbb_online WHERE ident='85.208.96.194'
0.00069 SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=28310 AND t.moved_to IS NULL
0.00006 SELECT search_for, replace_with FROM punbb_censoring
0.00279 SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=28310 ORDER BY p.id LIMIT 0,25
0.00120 UPDATE punbb_topics SET num_views=num_views+1 WHERE id=28310
Total query time: 0.00897 s