Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2012-08-06 03:03:07

  Koshei - Użytkownik

Koshei
Użytkownik
Zarejestrowany: 2012-07-26

Program do zapisywania logow z ataków DDoS

Potrzebuję jakiegoś programu który będzie mi filtrował i zapisywał IP atakujących.
Ostatnio ciągle borykam się z atakującymi, mam zainstalowany PSAD, jednakże on zapisuje mi tylko IP które skanują mi porty. Natomiast z ataków UDP jakimś cudem nie zapisuje (może wina leży w konfiguracji?).

Zalezy mi na tym aby zabezpieczyć się przed tym, fajnie by bylo gdyby ktos mi doradzil jakie programy powinienem miec zainstalowane na serwerze do wychwytywania ataków i ich automatycznego blokowania... brak mi już sił...

Offline

 

#2  2012-08-06 03:12:14

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Program do zapisywania logow z ataków DDoS

Sam iptables może logować, ulogd może zapisywać do bazy sql, nulog może (podobno) wyświetlać, ale u mnie nie chcial zbyt dobrze działać.
Do tego np logcheck, logwatch, itp.

Inna sprawa, co najmniej 85% użytkowników internetu ma dynamiczne IP, ataki często, jeśli nie zawsze są ze sooofowanych adresów IP, także te adresy są Ci się przydadzą, jak łysemu grzebień.

Ale o tym sam się nieraz przekonasz.


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#3  2012-08-06 11:45:15

  Koshei - Użytkownik

Koshei
Użytkownik
Zarejestrowany: 2012-07-26

Re: Program do zapisywania logow z ataków DDoS

A coś do automatycznego wychwytywania i na jego podstawie blokowanie tych połączeń? czyli coś ala firewall jak nie firewall :P

Offline

 

#4  2012-08-06 12:11:12

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Program do zapisywania logow z ataków DDoS

Masz w iptables moduły connlimit i hashlimit, do limitowania liczby równoczesnych połączeń, i np limitowania prób nawiązania połączenia.
Masz też cele LOG czy ULOG do logowania.

Tylko że widzę już którąś osobę, która ma serwer gier, młócony atakiem dos/ddos, która nie wie, co to właściwie jest za atak, bo tego typu ataki mają kilkanaście różnych przebiegów.

Jedne można zatrzymać, inne nie.

Jeśli np masz rurkę 100Mbit (na serwerze), a ktoś wysyła na adres IP twojego serwera 150 Mbit/sekundę pakietów, na dowolny port, to bez względu na to, czy twój firewall to wpuści czy odrzuci, i tak  masz zapchaną rurkę, i nic na to nie poradzisz na swoim serwerze.
Coś tam może poradzić czasami  administracja serwerowni, ale ich możliwości też nie są nieskończone.

Jeśli natomiast to jest atak na jakąś usługę sieciową, typu slowloris na Apacha, czy syn-flood, czy próba siłowego łamania hasła metodą  słownikową, to albo firewallem albo w samym demonie obsługującym daną usługę sieciową można ograniczyć takie próby.
Można też użyć choćby Fail2bana, czy coś podobnego, czy np Snorta sprzężonego z firewallem (najtrudniejsze rozwiązanie, przeważnie gwarantuje tony fałszywych alarmów).

Generalnie jak można coś ograniczyć, to sposobów jest dość, jeśli nie można, to trudno, trzeba przeczekać, albo opieprzać admina serwerowni, żeby ruszył 4 litery.
Ale żeby zablokować jakiś atak, to trzeba wiedzieć, co to jest za atak, bo typów różnych ataków sieciowych jest chyba ze 100 albo więcej.

Ostatnio edytowany przez Jacekalex (2012-08-06 15:21:07)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#5  2012-08-06 19:14:41

  bns - unknown

bns
unknown
Zarejestrowany: 2005-12-25
Serwis

Re: Program do zapisywania logow z ataków DDoS

Do automatycznego blokowania to może coś z narzędzi IPS, IDS jak snort


Pozdrawiam,
[url=http://banasiak.me]bns[/url]

Offline

 

#6  2012-08-10 18:44:25

  Koshei - Użytkownik

Koshei
Użytkownik
Zarejestrowany: 2012-07-26

Re: Program do zapisywania logow z ataków DDoS

Dzięki wielkie za odpowiedź. Jeszcze jedno pytanko, jezeli zainstaluje sobie modul xptables-addons i skonfiguruje tak, aby tylko widzial serwer polskie adresy ip i zadne inne, po prostu ip pozostalych krajów zbanować/wyciąć. To czy przed atakami ddos z krajow innych niz polska bede juz bezpieczny?

Offline

 

#7  2012-08-10 20:14:00

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Program do zapisywania logow z ataków DDoS

Każdy filtr coś tam wyłapie, ale nie wszystko.
Taka jest uroda internetu, ze z łatwością można przeprowadzić atak fałszując adres źródłowy, żeby wyglądał, jak polski.
Da się to zrobić z protokołami UDP i ICMP.

Tylko na część ataków możesz znaleźć sposób głównie na próby włamania do serwera.

Ostatnio edytowany przez Jacekalex (2012-08-10 20:14:29)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#8  2012-08-11 15:27:51

  gindek - Zubr, bydle na etacie.

gindek
Zubr, bydle na etacie.
Skąd: Z puszczy.
Zarejestrowany: 2008-12-08

Re: Program do zapisywania logow z ataków DDoS

no jak jacek pisze na deny of service jestes bezsilny, jak ktos bedzie cial Ciebie wyłączyc to to zrobi, jak już jacek wspominał albo szerszym łączem, albo przepchaniem stosu na serwisie serwera, albo jakas "dziura" ubijajaca serwis ( wstanie to ubije od nowa  i tak w kolko, ewentualnie zawieszajaca serwis ). Przed wlamaniami mozesz sie skutecznie bronić, przed ddos juz takiego pola do popisu nie ma.

tak swoja droga czy to ma jakis zwiazek z listami o "haracz" rozeslanymi do Polskich firm hostingowych ? :D

Ostatnio edytowany przez gindek (2012-08-11 15:28:26)


" Wojny przychodzą i odchodzą, a moi żołnierze są wieczni"


"Zbuduj mały, dziarski router z udostępnionych przez prowadzącego części od Kamaza?"

Offline

 

#9  2012-08-22 15:20:53

  Koshei - Użytkownik

Koshei
Użytkownik
Zarejestrowany: 2012-07-26

Re: Program do zapisywania logow z ataków DDoS

Witam ponownie i przepraszam za brak aktywności w tym temacie ponieważ bylem na wakacjach. Nie nie chodzi o zaden haracz... po prostu w polsce sa ludzie bardzo zawistni i ddosuja, malo tego to wiem kto to robi tylko ze niestety co mi z tego. Na policji juz z tym bylem, jak narazie nic nie robia. Dlatego probuje szukac alternatywy by sie ode mnie "odczepili" Nie wiem no... ja chyba bede probowal z tym xptables-addon i zrobie tylko tak aby ludzie z polski mogli sie wogole polaczyc na serwer ( o ile tak sie da zrobic ) Moze to cos da....

EDIT:
Mam jeszcze jedno pytanie, otóż zauwazyłem ze niezbyt cos dziala wycinanie adresu IP w iptables... chodzi mi konkretniej o to ze jak zablokuje ten adres IP to dany host nie moze sie polaczyc z moim serwerem. Probowalem tak robic z proxy by sprawdzic czy dziala, wszedlem na proxy sprawdzilem adres ip nastepnie wpisalem w iptables 4 linie komend:

Kod:

iptables -A INPUT -s 31.215.195.221 -j DROP
iptables -A FORWARD -s 31.215.195.221 -j DROP
iptables -A INPUT -d 31.215.195.221 -j DROP
iptables -A FORWARD -d 31.215.195.221 -j DROP

I coż... o dziwo nadal laczylem sie na serwere z tego samego adresu IP.
Co jest nie tak?

Ostatnio edytowany przez Koshei (2012-08-22 15:27:54)

Offline

 

#10  2012-08-22 16:02:20

  djjanek - Użytkownik

djjanek
Użytkownik
Skąd: whereis
Zarejestrowany: 2007-11-15
Serwis

Re: Program do zapisywania logow z ataków DDoS

A czy w nie masz gdzieś na początku w regułach żeby pozwalał z podobnej sieci się łączyć?

IPTABLES sprawdza po kolei regułę i jak dopasuje to kończy dalszego sprawdzania.

Offline

 

#11  2012-08-22 16:49:22

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Program do zapisywania logow z ataków DDoS

Banowanie adresów w iptables - kiedy większosć ataków ddos i tak idzie w postaci udp ze spoofowanych adresów, to ciężka strata czasu.

Do wycinania adresów jest ipset, ten potrafi w jednej tablicy trzymać nawet 65535 adresów, a w firewallu jedna tablica ipseta = jedna regułka.

Do tego dopasować regułami hashlimit, connlimit i recent - ile polączeń może pojedynczy pacjent zrobić do serwera, tak, żeby miśĸów nie uwalać, ale ataki owszem.

To zawsze można zrobić, i serwerek już będzie nieźle zabezpieczony przed włamaniem.
Możan też wykorzystać rozmaite blacklisty, w tym dynamicznie tworzoną przez denyhosts.

Skuteczność blacklist też jest umiarkowana, ale istnieje.

A tu conieco o iptables:
http://pl.wikibooks.org/wiki/Sieci_w_Linuksie/Netfilter

Ostatnio edytowany przez Jacekalex (2012-08-22 16:51:34)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#12  2012-08-22 16:54:44

  djjanek - Użytkownik

djjanek
Użytkownik
Skąd: whereis
Zarejestrowany: 2007-11-15
Serwis

Re: Program do zapisywania logow z ataków DDoS

Blokowanie adresów na DDoS jest bez sensu, bo i tak wysysa łącze. Aby tego nie było to blokować musi ISP.

Offline

 

#13  2012-08-22 18:09:00

  Koshei - Użytkownik

Koshei
Użytkownik
Zarejestrowany: 2012-07-26

Re: Program do zapisywania logow z ataków DDoS

[quote=djjanek]A czy w nie masz gdzieś na początku w regułach żeby pozwalał z podobnej sieci się łączyć?

IPTABLES sprawdza po kolei regułę i jak dopasuje to kończy dalszego sprawdzania.[/quote]
Wydaje mi się, że nie... mam dodane do wyjątków tylko adresy z serwerowni czyli z francji a załóżmy próbuję dodać do iptables powyzszymi regulami adres znajdujący sie w Rumunii czy tez w Rosjii i coś chyba nie trybi jak powinno powniewaz mozna sie polaczyc nadal na serwer z tych adresow.

Offline

 

#14  2012-08-22 18:31:54

  djjanek - Użytkownik

djjanek
Użytkownik
Skąd: whereis
Zarejestrowany: 2007-11-15
Serwis

Re: Program do zapisywania logow z ataków DDoS

Łatwo można sprawdzić:

Kod:

iptables -n -L INPUT | grep 31.

Offline

 

#15  2012-08-29 15:12:23

  Koshei - Użytkownik

Koshei
Użytkownik
Zarejestrowany: 2012-07-26

Re: Program do zapisywania logow z ataków DDoS

Wpisalem i nic sie nie dzieje. Co daje owa komenda?

Offline

 

#16  2012-08-29 16:15:37

  djjanek - Użytkownik

djjanek
Użytkownik
Skąd: whereis
Zarejestrowany: 2007-11-15
Serwis

Re: Program do zapisywania logow z ataków DDoS

POkazuje wszystkie reguły w iptables dla INPUT któe mają w sobie 31.
Maiło to pokazac czy są jakieś reguły w iptables które blokują IP zaczynające się od 31.

A mnie zastanawia z jakiego IP się łączyłeś, a to można sprawdzić w taki sposób że jak się zalogujesz na serwer to jak wydasz komendę who to pokaże Tobie kto jest zalogowany i na końcu będzie z jakiego IP.

Offline

 

#17  2012-08-29 19:32:28

  Koshei - Użytkownik

Koshei
Użytkownik
Zarejestrowany: 2012-07-26

Re: Program do zapisywania logow z ataków DDoS

Połączylem sie z serwerem poprzez proxy korzystajac z tego IP: 95.141.193.47

Nastepnie wpisalem regulke do iptables:

Kod:

iptables -A INPUT -s 95.141.193.47 -j DROP
iptables -A FORWARD -s 95.141.193.47 -j DROP
iptables -A INPUT -d 95.141.193.47 -j DROP
iptables -A FORWARD -d 95.141.193.47 -j DROP

Rozlaczylem sie z serwera z tego ip i polaczylem ponownie bez najmniejszych problemow. W czym problem tkwi to nie mam pojecia.

Offline

 

#18  2012-08-29 19:58:46

  djjanek - Użytkownik

djjanek
Użytkownik
Skąd: whereis
Zarejestrowany: 2007-11-15
Serwis

Re: Program do zapisywania logow z ataków DDoS

nie wiem ale coś masz nie tak z firewall bo mi jak wydałem coś takiego:

Kod:

iptables -A INPUT -s 192.168.160.1 -j DROP

to od razy wylogowało a byłem zalogowany poprzez:

Kod:

root@debian:~# who
root     pts/0        2012-08-29 19:53 (192.168.160.1)

EDIT:

Zastosuj zamiast -A -I czyli:

Kod:

iptables -I INPUT -s 192.168.160.1 -j DROP

Ostatnio edytowany przez djjanek (2012-08-29 20:03:21)

Offline

 

#19  2012-08-29 20:09:40

  Koshei - Użytkownik

Koshei
Użytkownik
Zarejestrowany: 2012-07-26

Re: Program do zapisywania logow z ataków DDoS

Poprzez -I dziala :) i dopasowac to we wszystkich czterech linijkach kodu?
czyli wygladaloby to wtedy tak:

Kod:

iptables -I INPUT -s 95.141.193.47 -j DROP
iptables -I FORWARD -s 95.141.193.47 -j DROP
iptables -I INPUT -d 95.141.193.47 -j DROP
iptables -I FORWARD -d 95.141.193.47 -j DROP

I bedzie dobrze?

Offline

 

#20  2012-08-29 20:15:07

  djjanek - Użytkownik

djjanek
Użytkownik
Skąd: whereis
Zarejestrowany: 2007-11-15
Serwis

Re: Program do zapisywania logow z ataków DDoS

Tak ale chociaż wiesz dlaczego działa? Jaka jest róźnica pomiędzy -A a -I?

Offline

 

#21  2012-08-29 20:25:06

  Koshei - Użytkownik

Koshei
Użytkownik
Zarejestrowany: 2012-07-26

Re: Program do zapisywania logow z ataków DDoS

Niestety nie wiem jaka jest roznica mieczy -A a -I

Pozatym jeszcze jedno pytanko, jak wyciac zalozmy dany zakres ip?

Offline

 

#22  2012-08-29 20:30:10

  djjanek - Użytkownik

djjanek
Użytkownik
Skąd: whereis
Zarejestrowany: 2007-11-15
Serwis

Re: Program do zapisywania logow z ataków DDoS

-I wkłada regułe na sam poczatek, więc jak teraz działa to musisz mieć regułe która pozwala na komunikację. -A natopmist dodaję do końca reguł.

Polecam

Kod:

man iptables

Zakres IP dajesz poprzez wskazanie podciesic np:

192.168.0.0-192.168.0.254 - podaj IP 192.168.0.0/24

Ostatnio edytowany przez djjanek (2012-08-29 20:30:42)

Offline

 

#23  2012-08-30 10:31:59

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Program do zapisywania logow z ataków DDoS

[quote=djjanek]......

Polecam

Kod:

man iptables

[/quote]
[quote=Jacekalex]........

A tu conieco o iptables:
http://pl.wikibooks.org/wiki/Sieci_w_Linuksie/Netfilter[/quote]
Nie wiem, po kiego polecasz mana, skoro w tym wątku jest sznurek do polskiego wyjaśnienia zawartości tegoż mana.

@dijanek

Tu raczej problem jest nie z dokumentacją, tylko umiejętnoscią praktycznego czytania tejże dokumentacji z należytą starannością
i zrozumieniem. ;)

Pozdrawiam
;-)

Ostatnio edytowany przez Jacekalex (2012-08-30 10:33:11)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#24  2012-08-30 13:33:19

  djjanek - Użytkownik

djjanek
Użytkownik
Skąd: whereis
Zarejestrowany: 2007-11-15
Serwis

Re: Program do zapisywania logow z ataków DDoS

@Jacekalex ja bym nawet powiedzial ze brak podstaw, w erze internetu kazdy jest administratorem do czasu awarii :)

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
To nie jest tylko forum, to nasza mała ojczyzna ;-)

[ Generated in 0.012 seconds, 11 queries executed ]

Informacje debugowania

Time (s) Query
0.00010 SET CHARSET latin2
0.00004 SET NAMES latin2
0.00060 SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.141.46.248' WHERE u.id=1
0.00097 REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.141.46.248', 1732345048)
0.00025 SELECT * FROM punbb_online WHERE logged<1732344748
0.00076 SELECT topic_id FROM punbb_posts WHERE id=210011
0.00242 SELECT id FROM punbb_posts WHERE topic_id=21748 ORDER BY posted
0.00056 SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=21748 AND t.moved_to IS NULL
0.00006 SELECT search_for, replace_with FROM punbb_censoring
0.00194 SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=21748 ORDER BY p.id LIMIT 0,25
0.00086 UPDATE punbb_topics SET num_views=num_views+1 WHERE id=21748
Total query time: 0.00856 s