Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
#1 2016-02-24 19:57:49
Nicram - 
Użytkownik
- Nicram
- Użytkownik
- Zarejestrowany: 2006-03-28
DDoS - analizowanie kto jest atakowany
Witam
Ostatnio mam jakieś ataki DDoS. Nie wiem czy jest to atak wiele do wielu ale na pewno jest to atak z wielu źródeł, ale czy do jednego ip to niestety nie wiem.
Na routerze działa quagga z bgp i są podpięte dwa łącza. Niestety nie ma żadnego analizatora by ładnie wyłapać ten ruch.
Chciałby np zapuścić tcpdumpa w momencie ataku, ale zanalizować wynik?
z góry dzięki za podpowiedzi.
Offline
#2 2016-02-24 20:20:59
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/urandom
- Zarejestrowany: 2008-01-07
Re: DDoS - analizowanie kto jest atakowany
TCP, UDP czy ICMP?
Ja bym radził Snorta, potrafi dosyć grzecznie logować prosto na konsolę, da się to wrzucić do jakieś bazy albo pliku i analizować na 1000 różnych sposobów regexami.
Podobnie logi każdej usługi, czeszesz same adresy docelowe, sortujesz, potem uniq, i już widać, ile adresów było młóconych, jeśli wynikiem uniq użyjesz do grepowania całego loga, to wyście wc -l pokaże liczbę wystąpień każdego unikalnego adresu docelowego.
Da się to w dosyć prostą pętelkę basha poskładać, a jeśli logi mają iść do SQLa, to to ten potrafi liczbę wyników zawierających warunek wypluć.
Także masz dowolne możliwości, jak podzielisz robotę na zbieranie danych i ich sortowanie oraz analizę.
Jak kiedyś bawiłem się Snortem podłączonym do Mysqla, i do tego BASE - skrypt php do analizowania logów z bazy Snorta, to tam od razu można było wyświetlić różne statystyki.
Tylko dawno to było, obecnie logowanie Snorta do SQL realizuje programik Barnyard2, ale u mnie za bardzo nie chciał działać.
Conieco o Snorcie, w miarę świeże:
https://sourceforge.net/projects/secureideas/files/BASE/
http://computer-outlines.over-blog.com/article-nids-snort-barnyard2-apache2-base-with-ubuntu-14-04-lts-123532107.html
https://snort.org/documents/snort-2-9-8-x-on-ubuntu-12-lts-and-14-lts-and-15
A tu moje wypociny, jak się Barnyard skichał:
https://forum.dug.net.pl/viewtopic.php?id=22977
Ostatnio edytowany przez Jacekalex (2016-02-24 20:23:07)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#3 2016-02-24 20:30:59
Nicram - Użytkownik
- Nicram
- Użytkownik
- Zarejestrowany: 2006-03-28
Re: DDoS - analizowanie kto jest atakowany
[quote=Jacekalex]TCP, UDP czy ICMP?[/quote]
Gdybym to ja dokładnie wiedział :)
[quote=Jacekalex]Ja bym radził Snorta, potrafi dosyć grzecznie logować prosto na konsolę, da się to wrzucić do jakieś bazy albo pliku i analizować na 1000 różnych sposobów regexami.[/quote]
przy próbie instalacji snorta chce mi pół systemu instalować :/
najlepszy byłby jakiś how to, ewentualnie exampel z wykorzystaniem tcpdumpa.
zapisałbym wynik tcpdumpa do pliku powiedzmy z minuty słuchania i taki plik "wygrepował" zliczając ilość połączeń do hosta.
dla inputa można łatwo zrobić netstatem i jego grepować, a tu chodzi konkretnie o forwardowany ruch.
a co powiecie o Iptraf? qrde, byłby wyśmienity ale pokazuje tylko TCP, nie pokazuje połączeń udp ani icmp w zestawieniu i sortowani
Ostatnio edytowany przez Nicram (2016-02-24 20:48:54)
Offline
#4 2016-02-24 21:15:09
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/urandom
- Zarejestrowany: 2008-01-07
Re: DDoS - analizowanie kto jest atakowany
Kod:
tcpdump -i eth0 -nvvv 2>&1 | awk '{print $3}'Pięknie wyświetla adresy docelowe dodając dport po kropce.
Kod:
tcpdump -i eth0 -nvvv 2>&1 | awk '{print $3}'| grep -E -o "([0-9]{1,3}[\.]){3}[0-9]{1,3}"Bardzo grzecznie wypluwa na konsolę docelowe adresy IP.
EDIT:
Kod:
tcpdump -i eth0 -nvvv 2>&1 | awk '{print $3}'| grep -E -o "([0-9]{1,3}[\.]){3}[0-9]{1,3}" >>/tmp/testipDo pliku też ładnie zrzuca same IPki, ale musisz mu dopracować filtr tcpdumpa, żeby pokazywał co trzeba.
Jest też, właśnie mi się przypomniało - [b]Darkstat[/b], wyświetla wyniki przez interfejs WWW, ma statystyki, więc może się nada.
[b]Ntop[/b] chyba też to potrafi, ale wieki całe go nie widziałem.
Ostatnio edytowany przez Jacekalex (2016-02-24 21:36:37)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#5 2016-03-01 05:10:53
zlyZwierz - Moderator
Re: DDoS - analizowanie kto jest atakowany
[quote=Nicram]Witam
Ostatnio mam jakieś ataki DDoS. Nie wiem czy jest to atak wiele do wielu ale na pewno jest to atak z wielu źródeł, ale czy do jednego ip to niestety nie wiem.
Na routerze działa quagga z bgp i są podpięte dwa łącza. Niestety nie ma żadnego analizatora by ładnie wyłapać ten ruch.
Chciałby np zapuścić tcpdumpa w momencie ataku, ale zanalizować wynik?
z góry dzięki za podpowiedzi.[/quote]
Zrób port mirror na switchu którego masz na brzegu sieci, postaw NTOP na jakimś luźnym kompie podpiętym pod mirror.
NTOP pozwoli Ci organoleptycznie ogarnąć co kto gdzie ;)
http://www.ntop.org/
Nie masz switcha na brzegu sieci - kup ;)
[url=http://www.netfix.pro]www.netfix.pro[/url]
Offline
#6 2016-03-01 15:26:09
jurgensen - Użytkownik
- jurgensen
- Użytkownik
- Skąd: Wrocław
- Zarejestrowany: 2010-01-26
Re: DDoS - analizowanie kto jest atakowany
Również zdecydowanie to, co pisze złyZwierz. NTOP może nie jest super stabilnym narzędziem, ale po odpowiednim dostrojeniu sprawuje się naprawde nieźle.
Offline
#7 2016-03-01 18:00:39
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/urandom
- Zarejestrowany: 2008-01-07
Re: DDoS - analizowanie kto jest atakowany
[quote=jurgensen]Również zdecydowanie to, co pisze złyZwierz. NTOP może nie jest super stabilnym narzędziem, ale po odpowiednim dostrojeniu sprawuje się naprawde nieźle.[/quote]
Obaj macie malutkie opóźnienie. ;0
O ile mnie wiadomo, adresy z "lamersko-partyzanckiego" użycia tcpdumpa grzecznie lądują w ipsecie, co było widać w [url=https://forum.dug.net.pl/viewtopic.php?pid=298268#p298268]innym wątku[/url]. XD
Ostatnio edytowany przez Jacekalex (2016-03-01 18:01:01)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#8 2016-03-01 18:22:19
Nicram - Użytkownik
- Nicram
- Użytkownik
- Zarejestrowany: 2006-03-28
Re: DDoS - analizowanie kto jest atakowany
ntop sądzę, że na dniach będzie postawiony a dokładniej ntopng :)
dzięki za sugestie
Offline
#9 2016-03-01 22:09:57
zlyZwierz - Moderator
Re: DDoS - analizowanie kto jest atakowany
[quote=Jacekalex][quote=jurgensen]Również zdecydowanie to, co pisze złyZwierz. NTOP może nie jest super stabilnym narzędziem, ale po odpowiednim dostrojeniu sprawuje się naprawde nieźle.[/quote]
Obaj macie malutkie opóźnienie. ;0
O ile mnie wiadomo, adresy z "lamersko-partyzanckiego" użycia tcpdumpa grzecznie lądują w ipsecie, co było widać w [url=https://forum.dug.net.pl/viewtopic.php?pid=298268#p298268]innym wątku[/url]. XD[/quote]
To jak mierzenie wieloryba suwmiarką.
Da się, ale pomyśl, że można prościej i lepiej.
A, zapomniałem ego nie kazało.. ;)
[url=http://www.netfix.pro]www.netfix.pro[/url]
Offline
#10 2016-03-01 22:11:59
Nicram - Użytkownik
- Nicram
- Użytkownik
- Zarejestrowany: 2006-03-28
Re: DDoS - analizowanie kto jest atakowany
[quote=zlyZwierz]To jak mierzenie wieloryba suwmiarką.
Da się, ale pomyśl, że można prościej i lepiej.
A, zapomniałem ego nie kazało.. ;)[/quote]
Prościej i lepiej? co masz na myśli?
Offline
#11 2016-03-01 22:17:04
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/urandom
- Zarejestrowany: 2008-01-07
Re: DDoS - analizowanie kto jest atakowany
[quote=zlyZwierz][quote=Jacekalex][quote=jurgensen]Również zdecydowanie to, co pisze złyZwierz. NTOP może nie jest super stabilnym narzędziem, ale po odpowiednim dostrojeniu sprawuje się naprawde nieźle.[/quote]
Obaj macie malutkie opóźnienie. ;0
O ile mnie wiadomo, adresy z "lamersko-partyzanckiego" użycia tcpdumpa grzecznie lądują w ipsecie, co było widać w [url=https://forum.dug.net.pl/viewtopic.php?pid=298268#p298268]innym wątku[/url]. XD[/quote]
To jak mierzenie wieloryba suwmiarką.
Da się, ale pomyśl, że można prościej i lepiej.
A, zapomniałem ego nie kazało.. ;)[/quote]
Może i wieloryba suwmiarką, jednak w Ntopie można sobie pooglądać, a z różnych Snortów czy Tcpdumpów można wyczesać adresy prosto do Ipseta,
jak to ładnie oskrypcisz, to będzie robiło się samo, nie trzeba się tym wtedy za bardzo opiekować.
Z resztą do Snorta były (i nawet są) dwa sympatyczne narzędzia, Snortsam i Guardian.pl, ale ostatnio Snort na różne sposoby stara się zakończyć z nimi znajomość, dlatego integracja Snorta z FW wymaga troszkę gimnastyki.
Pozdro
Ostatnio edytowany przez Jacekalex (2016-03-01 22:26:20)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#12 2016-03-01 22:25:23
zlyZwierz - Moderator
Re: DDoS - analizowanie kto jest atakowany
Da się i NTOP oskryptować.
http://www.ntop.org/ntopng/scripting-ntopng-with-lua/
http://lists.ntop.org/pipermail/ntop/2014-May/017789.html
https://github.com/xtao/ntopng/tree/master/scripts/lua/examples
http://www.wuerth-phoenix.com/fileadmin/NetEye_Conference_2014/Presentations/14.00-14.30_LucaDeri.pdf
[url=http://www.netfix.pro]www.netfix.pro[/url]
Offline
#13 2016-03-01 22:30:48
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/urandom
- Zarejestrowany: 2008-01-07
Re: DDoS - analizowanie kto jest atakowany
[quote=zlyZwierz]Da się i NTOP oskryptować.
http://www.ntop.org/ntopng/scripting-ntopng-with-lua/
http://lists.ntop.org/pipermail/ntop/2014-May/017789.html
https://github.com/xtao/ntopng/tree/master/scripts/lua/examples
http://www.wuerth-phoenix.com/fileadmin/NetEye_Conference_2014/Presentations/14.00-14.30_LucaDeri.pdf[/quote]
Oczywiście, ze się da, ale jeśli już pakujesz się w jakieś skryptolenie, to nie ma wielkiej różnicy, co tam pluje adresami do skrypta, Snort, Tcpdump, Suricata czy Ntop albo Ngrep.
Snortokształtne sniffery mają tą zaletę, że można w nich stosować różne zestawy reguł pozwalające rozpoznać różne klasy ataków, podczas, gdy oskryptolony tcpdump czy ntop to jest tak ślepa śrutówka, która wali na oślep.
Nawiasem pisząc, sam poczciwy netfilter sam ma dość zabawek na ataki DOS/DDOS.
Ale też jest troszkę zabawy z prawidłową konfiguracją.
Ostatnio edytowany przez Jacekalex (2016-03-01 22:42:13)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#14 2016-03-01 22:37:45
zlyZwierz - Moderator
Re: DDoS - analizowanie kto jest atakowany
Ja tam wolę ;), ale niech sobie Marcin sam oceni, co Mu pasuje :)
Myślę, że jako ISP (a tym pewnie się zajmuje) mało interesuje go co to za atak, po co i dlaczego.
Interesuje go raczej cel ataku i wolumen - po to żeby wiedzieć, czy go olać, czy dodać do bgp blackhole.
[url=http://www.netfix.pro]www.netfix.pro[/url]
Offline
#15 2016-03-01 22:47:56
zlyZwierz - Moderator
Re: DDoS - analizowanie kto jest atakowany
[quote=Jacekalex]Nawiasem pisząc, sam poczciwy netfilter sam ma dość zabawek na ataki DOS/DDOS.
Ale też jest troszkę zabawy z prawidłową konfiguracją.[/quote]
Bez sensu, to jak zatykać odkręcony kran palcem w nadzieji, że przestanie pryskać z niego woda.
Są inne narzędzia do tego :)
[url=http://www.netfix.pro]www.netfix.pro[/url]
Offline
#16 2016-03-01 22:47:58
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/urandom
- Zarejestrowany: 2008-01-07
Re: DDoS - analizowanie kto jest atakowany
[quote=zlyZwierz]Ja tam wolę ;), ale niech sobie Marcin sam oceni, co Mu pasuje :)
Myślę, że jako ISP (a tym pewnie się zajmuje) mało interesuje go co to za atak, po co i dlaczego.
Interesuje go raczej cel ataku i wolumen - po to żeby wiedzieć, czy go olać, czy dodać do bgp blackhole.[/quote]
Postaw sobie gdzieś na necie serwer gier albo TSa, i spróbuj na nim trochę zarobić, to się osobiście dokształcisz w roli "Marcina". :D
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#17 2016-03-01 22:48:34
Nicram - Użytkownik
- Nicram
- Użytkownik
- Zarejestrowany: 2006-03-28
Re: DDoS - analizowanie kto jest atakowany
[quote=zlyZwierz]Ja tam wolę ;), ale niech sobie Marcin sam oceni, co Mu pasuje :)
Myślę, że jako ISP (a tym pewnie się zajmuje) mało interesuje go co to za atak, po co i dlaczego.
Interesuje go raczej cel ataku i wolumen - po to żeby wiedzieć, czy go olać, czy dodać do bgp blackhole.[/quote]
Tak, dokładnie tak jest.
W związku z tym, że quagga na linuksie podczas ataku trochę "przysiadała", miałem overrun i dropy na sieciówkach a pakietów było max 250k-300k/s (tak pokazywało cacti, a czy to prawidłowa wartość to nie wiem). w tym momencie łącza od dostawców nie wzrastały na 100% a raczej spadały z i pinga robiła się szatkownica, w tym czasie zrywało sesje bgp i quagga kręciła, kiedy znów sesja się nawiązała quagga znów liczyła itd. efektem była degradacja łącza, w cacti statysyka pakietów 4-5x większa niż normalnie.
zainstalowałem sobie nawet ntopa z repozytoriów, żeby mieć podgląd i nie grepować tcpdumpa, ale w momencie ataku jak go odpaliłem to wszystkie procki 100%, load w górę, nawet nie mogłem zalogować się do ntopa. po prostu maszyna się zamuliła.
Boss postanowił zakupić coś konkretniejszego by przy takim ruchu się nudził :) czyli routerek cisco.
i tu się jeszcze zastanawiam, czy zrobić NetFlow z interfejsów od dostawców i ntopng czy raczej mirror portów i też zbierać ntopem.
ale zanim maszynka przyjedzie, niestety nie stać nas na zakup takiego nowego :/ a na ebay jest taniej, muszę radzić sobie z tym co mam, czyli tcpdup i grep.
Ostatnio edytowany przez Nicram (2016-03-01 22:53:14)
Offline
#18 2016-03-01 22:52:55
zlyZwierz - Moderator
Re: DDoS - analizowanie kto jest atakowany
Ile macie tego ruchu w sumie, a ile pps podczas ataku?
Jaka maszynka i z jaką konfiguracj a tam stoi?
Czemu quagga (jak to kiedyś kolega papisał "kurwagga") a nie bird ?
[url=http://www.netfix.pro]www.netfix.pro[/url]
Offline
#19 2016-03-01 22:56:07
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/urandom
- Zarejestrowany: 2008-01-07
Re: DDoS - analizowanie kto jest atakowany
Czemu quagga (jak to kiedyś kolega papisał "kurwagga") a nie bird ?[/quote]
Albo Openbgpd razem z całym systemem, firewallem PF i śliczną zabawką - PFsync.
Zdaje się, że Cisco ani Juniper nic lepszego od OpenBSD w tych swoich gratach nie mają.Ostatnio edytowany przez Jacekalex (2016-03-01 22:57:37)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#20 2016-03-01 23:02:19
Nicram - Użytkownik
- Nicram
- Użytkownik
- Zarejestrowany: 2006-03-28
Re: DDoS - analizowanie kto jest atakowany
[quote=zlyZwierz]Ile macie tego ruchu w sumie, a ile pps podczas ataku?
Jaka maszynka i z jaką konfiguracj a tam stoi?
Czemu quagga (jak to kiedyś kolega papisał "kurwagga") a nie bird ?[/quote]
Czemu quagga, bo z bgp swojego czasu uczyłem się na cisco a w quaga ma identyczne komendy i tak postawiłem, już nie szukałem innych rozwiazań
w sumie w godzinach sztczytu 1G (2x500), w tej chwili mam nie wiele ponad 800Mb i około 80kpps oczywiście ruchu przychodzącego a podczas ataku pokazuje około 200kpps
maszynka 2 proc Quad
Intel(R) Xeon(R) CPU E5345 @ 2.33GHz
8MB Ram
03:00.0 Ethernet controller: Broadcom Corporation NetXtreme II BCM5708 Gigabit Ethernet (rev 12)
05:00.0 Ethernet controller: Broadcom Corporation NetXtreme II BCM5708 Gigabit Ethernet (rev 12)
0b:00.0 Ethernet controller: Intel Corporation 82571EB Gigabit Ethernet Controller (rev 06)
0b:00.1 Ethernet controller: Intel Corporation 82571EB Gigabit Ethernet Controller (rev 06)
13:00.0 Ethernet controller: Intel Corporation 82576 Gigabit Network Connection (rev 01)
13:00.1 Ethernet controller: Intel Corporation 82576 Gigabit Network Connection (rev 01)
Na pokładzie debian 7, w sumie stawiane jakieś pół roku temu.
trochę tuningu
Kod:
#sysctl.conf
net.ipv4.conf.default.rp_filter=0
net.ipv4.conf.all.rp_filter=0
net.ipv4.ip_forward=1
net.nf_conntrack_max = 2097152
net.ipv4.netfilter.ip_conntrack_max = 2097152
net.ipv4.conf.all.arp_filter = 1
net.ipv4.conf.default.arp_filter = 1
net.ipv4.conf.all.arp_ignore = 2
net.ipv4.conf.default.arp_ignore = 2
#net.ipv4.ip_early_demux = 0
/sbin/ethtool -K eth0 tso off
##/sbin/ethtool -K eth0 ufo off
/sbin/ethtool -K eth0 tx off
/sbin/ethtool -K eth0 rx off
/sbin/ethtool -K eth0 gro off
/sbin/ethtool -K eth0 gso off
/sbin/ethtool -G eth0 rx 4096 tx 4096
/sbin/ethtool -C eth0 rx-usecs 512
/sbin/ethtool -A eth0 autoneg off rx off tx off
/sbin/ethtool -K eth1 tso off
#/sbin/ethtool -K eth1 ufo off
/sbin/ethtool -K eth1 tx off
/sbin/ethtool -K eth1 rx off
/sbin/ethtool -K eth1 gro off
/sbin/ethtool -K eth1 gso off
/sbin/ethtool -G eth1 rx 4096 tx 4096
/sbin/ethtool -C eth1 rx-usecs 512
/sbin/ethtool -A eth1 autoneg off rx off tx off
/sbin/ethtool -K eth2 tso off
#/sbin/ethtool -K eth2 ufo off
/sbin/ethtool -K eth2 tx off
/sbin/ethtool -K eth2 rx off
/sbin/ethtool -K eth2 gro off
/sbin/ethtool -K eth2 gso off
/sbin/ethtool -G eth2 rx 4096 tx 4096
/sbin/ethtool -C eth2 rx-usecs 512
/sbin/ethtool -A eth2 autoneg off rx off tx off
/sbin/ethtool -K eth3 tso off
#/sbin/ethtool -K eth3 ufo off
/sbin/ethtool -K eth3 tx off
/sbin/ethtool -K eth3 rx off
/sbin/ethtool -K eth3 gro off
/sbin/ethtool -K eth3 gso off
/sbin/ethtool -G eth3 rx 4096 tx 4096
/sbin/ethtool -C eth3 rx-usecs 512
/sbin/ethtool -A eth3 autoneg off rx off tx off
#Broadcom
/sbin/ethtool -K eth4 tso off
/sbin/ethtool -K eth4 tx off
/sbin/ethtool -K eth4 rx off
/sbin/ethtool -K eth4 gro off
/sbin/ethtool -K eth4 gso off
/sbin/ethtool -G eth4 rx 2040 tx 255
/sbin/ethtool -A eth4 autoneg off rx off tx off
/sbin/ethtool -K eth5 tso off
/sbin/ethtool -K eth5 tx off
/sbin/ethtool -K eth5 rx off
/sbin/ethtool -K eth5 gro off
/sbin/ethtool -K eth5 gso off
/sbin/ethtool -G eth5 rx 2040 tx 255
/sbin/ethtool -A eth5 autoneg off rx off tx off
eth0 Link encap:Ethernet HWaddr 6c:2:05:ae
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:296252751025 errors:1 dropped:0 overruns:76911784 frame:1
TX packets:215436781006 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:359700616223530 (327.1 TiB) TX bytes:54134081880607 (49.2 TiB)
Memory:fdfe0000-fe000000
eth2 Link encap:Ethernet HWaddr 00:15c:82
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:316617598257 errors:529 dropped:642184271 overruns:0 frame:529
TX packets:201321612131 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:358208133699531 (325.7 TiB) TX bytes:56228135565626 (51.1 TiB)
Interrupt:16 Memory:fcee0000-fcf00000
eth3 Link encap:Ethernet HWaddr 00:1bc
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:413071662891 errors:0 dropped:3702565 overruns:0 frame:0
TX packets:599204203356 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:112292849156785 (102.1 TiB) TX bytes:697954134758598 (634.7 TiB)
Interrupt:17 Memory:fcea0000-fcec0000eth0 (fiber) i eth2 dostawcy, eth3 wewnętrzna
Ostatnio edytowany przez Nicram (2016-03-01 23:07:35)
Offline
#21 2016-03-01 23:07:23
zlyZwierz - Moderator
Re: DDoS - analizowanie kto jest atakowany
[quote=Jacekalex]
Czemu quagga (jak to kiedyś kolega papisał "kurwagga") a nie bird ?[/quote]
Albo Openbgpd razem z całym systemem, firewallem PF i śliczną zabawką - PFsync.
Zdaje się, że Cisco ani Juniper nic lepszego od OpenBSD w tych swoich gratach nie mają.[/quote]
Tak, niech teraz uczy się OpenBSD ;), jak całe życie na linuxie :)
W międzyczasie trenując skalowalnośc na żywym organizmie - w dodatku pewnie nie jego, tylko pracodawcy :)
[url=http://www.netfix.pro]www.netfix.pro[/url]
Offline
#22 2016-03-01 23:12:01
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/urandom
- Zarejestrowany: 2008-01-07
Re: DDoS - analizowanie kto jest atakowany
Tak, niech teraz uczy się OpenBSD ;) jak całe życie na linuxie :)[/quote]
Przesadzasz, wcale nie jest taki straszny.
Jak ktoś opanował netfiltera, to PF, to dla niego zabawa, a system i tak mocno łatwiejszy, niż konfiguracja Junipera czy Cisco, w których też standardowego Linuxa nie znajdziesz.
Ja bym się zastanowił nad kartami WAN (do ISP) - czy tam 10Gbit nie wsadzić, jeśli jest taka możliwość.Ostatnio edytowany przez Jacekalex (2016-03-01 23:14:18)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#23 2016-03-01 23:20:42
zlyZwierz - Moderator
Re: DDoS - analizowanie kto jest atakowany
E5345 to już zabytek, przeskakiwanie na kerzem (cisco) to też pewne ryzyko - Cisco nie wyeliminuje zatkanej rury (a do takiej sytuacji prowadzi nieuchronnie ddos).
Musiałbyś wdrożyć blackholing bgp, przy udziale dodatkowych narzędzi.
Zamiast zabytkowego E5345 (stare delle 1950/2950 i inne zabytki z 2008r ;) ) Można zapodać coś takiego: http://allegro.pl/serwer-intelxeon-3-50ghz-16gb-3u-2x500gb-3ware-i6006138882.html
Dla tej wielkości ISP dwa koła to jak splunąć, a z pewnością ogarniesz na tym te 200 kpps.
Dodatkowo zrezygnowąłbym z broadcomów całkowicie, a ruch zostawił na intelu82576/82599.
Szef ma konto na ispforum - niech rzuci okiem: https://ispforum.pl/index.php?topic=12966.0
PS
U mnie taki ruch to norma:
http://imgur.com/a/BsAii
model name : Intel(R) Xeon(R) CPU E5-1620 v2 @ 3.70GHz
02:00.0 Ethernet controller: Intel Corporation 82599EB 10-Gigabit SFI/SFP+ Network Connection (rev 01)
Kolejek brak, tylko NAT i FIREWALL+BGP+OSPF
Kolejki na rozproszonych koncentratorach.
[url=http://www.netfix.pro]www.netfix.pro[/url]
Offline
#24 2016-03-01 23:26:40
Nicram - Użytkownik
- Nicram
- Użytkownik
- Zarejestrowany: 2006-03-28
Re: DDoS - analizowanie kto jest atakowany
[quote=zlyZwierz]E5345 to już zabytek, przeskakiwanie na kerzem (cisco) to też pewne ryzyko - Cisco nie wyeliminuje zatkanej rury (a do takiej sytuacji prowadzi nieuchronnie ddos).
Musiałbyś wdrożyć blackholing bgp, przy udziale dodatkowych narzędzi.
Zamiast zabytkowego E5345 (stare delle 1950/2950 i inne zabytki z 2008r ;) ) Można zapodać coś takiego: http://allegro.pl/serwer-intelxeon-3-50ghz-16gb-3u-2x500gb-3ware-i6006138882.html
Dla tej wielkości ISP dwa koła to jak splunąć, a z pewnością ogarniesz na tym te 200 kpps.
Szef ma konto na ispforum - niech rzuci okiem: https://ispforum.pl/index.php?topic=12966.0[/quote]
Wiem, cisco nie wyeliminuje zapchanej rurki ale przynajmniej sam w sobie się nie zatka :) wiem, że ten sprzęt co teraz nie jest najnowszy, ale taki był też za jakieś 2k a może i więcej kupowany, nie wiem, osobiście nie ja płaciłem.
wdrożenie blackholing obowiązkowe tak na wczoraj :) przy udziale ntop (trochę skryptowania) albo przy użyciu WanGuarda.
aczkolwiek długo byliśmy "omijani" przez DDoS
oj, chyba nie ma konta na ispforum. a o czym w tym wątku?
Ostatnio edytowany przez Nicram (2016-03-01 23:28:17)
Offline
#25 2016-03-01 23:30:55
zlyZwierz - Moderator
Re: DDoS - analizowanie kto jest atakowany
Ma ;)
Paw. Je.
Data rejestracji:
Marzec 18, 2014, 10:32:07
Czas lokalny:
Marzec 01, 2016, 23:34:31
Ostatnio aktywny:
Kwiecień 29, 2015, 20:23:31
Wątek: Wykrywanie DDOSow na MT (Przeczytany 1212 razy)
[url=http://www.netfix.pro]www.netfix.pro[/url]
Offline
Informacje debugowania
| Time (s) | Query |
|---|---|
| 0.00011 | SET CHARSET latin2 |
| 0.00005 | SET NAMES latin2 |
| 0.00137 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='52.15.72.229' WHERE u.id=1 |
| 0.00070 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '52.15.72.229', 1732429462) |
| 0.00053 | SELECT * FROM punbb_online WHERE logged<1732429162 |
| 0.00043 | SELECT topic_id FROM punbb_posts WHERE id=298400 |
| 0.00006 | SELECT id FROM punbb_posts WHERE topic_id=28310 ORDER BY posted |
| 0.00047 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=28310 AND t.moved_to IS NULL |
| 0.00006 | SELECT search_for, replace_with FROM punbb_censoring |
| 0.00117 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=28310 ORDER BY p.id LIMIT 0,25 |
| 0.00118 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=28310 |
| Total query time: 0.00613 s | |