Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
#1 2008-07-02 19:48:28
graczu - Użytkownik
- graczu
- Użytkownik
- Zarejestrowany: 2008-06-09
DDoS jak rozpoznać
Witam ostatniego czasu zaczęły pojawiać się u mnie problemy związane z odpowiednimi aplikacjami które hostuję. I po sprawdzeniu już czy wina leże po stronie operatora czy po stronie sprzętu, doszły mnie słuchy że ktoś się zabawia na moich portach atakami typu DDoS. Którymi rozłącza graczy, bądź nie pozwala dostać się na stronę.
Z tego co wygoglałem mogę to sprawdzić poleceniem tcpdump. Bardzo fajnie pokazuje połączenia etc, ale jak odróżnić które tyczą się DDoS a które nie?.
Z góry dzięki za odpowiedź. (Jak ktoś ma jeszcze rade co z takim delikwentem zrobić, bądź link do jakiegoś sposobu zabezpieczenia się, wdzięczność :))
Offline
#2 2008-07-02 20:39:39
rogos - 
Moderator
- rogos
- Moderator
- Zarejestrowany: 2005-02-12
Re: DDoS jak rozpoznać
http://hakin9.org/prt/view/artykuly.html
wyszukaj "ddos" na stronie i znajdziesz artykuł
[img]http://img88.imageshack.us/img88/1856/imageslg0.png[/img]
Offline
#3 2008-07-02 21:19:11
graczu - Użytkownik
- graczu
- Użytkownik
- Zarejestrowany: 2008-06-09
Re: DDoS jak rozpoznać
Dziękować, kurcze byłem na tej stronie i ominąłem to ehh :)
I jeszcze jedno pytanie zadam.
Kod:
Router <==> PC1
<==> PC2Na routerze przekierowuje port na PC1 poleceniem: iptables -A PREROUTING -t nat -i eth0 -p tcp -d 82.143.190.161 --dport 55901 -j DNAT --to 192.168.1.2:55901
I ludzie z netu ładnie łączą się na serwer który stoi na tym porcie na PC1, ale np z PC1 oraz PC2 poprzez zewnętrzne IP:55901 nie mogę się połączyć na serwer stojący pod tym portem. Jaką regułkę musiałbym dodać bym mógł się łączyć i wewnątrz?.
Offline
#4 2008-07-03 00:24:24
grzegorz.85 - Członek DUG
- grzegorz.85
- Członek DUG
- Skąd: Ostrołęka
- Zarejestrowany: 2007-07-12
- Serwis
Re: DDoS jak rozpoznać
nie wiem, czy dobrze zrozumialem, ale chyba chodzi o to:
iptables -A PREROUTING -t nat -i [b]eth0[/b] -p tcp -d 82.143.190.161 --dport 55901 -j DNAT --to 192.168.1.2:55901[/quote]
Musisz zmienić na odpowiedni interfejs, bo zapewne eth0 to polaczenie z internetem. Zapewne bedzie to eth1...
A nie możesz połączyć się na 192.168.1.2:55901 ?Ostatnio edytowany przez grzegorz.85 (2008-07-03 00:24:50)
Offline
#5 2008-07-03 15:04:41
graczu - Użytkownik
- graczu
- Użytkownik
- Zarejestrowany: 2008-06-09
Re: DDoS jak rozpoznać
[quote=grzegorz.85]nie wiem, czy dobrze zrozumialem, ale chyba chodzi o to:
iptables -A PREROUTING -t nat -i [b]eth0[/b] -p tcp -d 82.143.190.161 --dport 55901 -j DNAT --to 192.168.1.2:55901[/quote]
Musisz zmienić na odpowiedni interfejs, bo zapewne eth0 to polaczenie z internetem. Zapewne bedzie to eth1...
A nie możesz połączyć się na 192.168.1.2:55901 ?[/quote]
Serwer/Router (Jak kto woli to nazywać :))
eth0 = Świat
eth1 = lan 1 (192.168.1.0/24) <==> PC Stacjonarne
eth2 = lan 2 (192.168.2.0/24) <==> AP <==> Lapki
Na 192.168.1.2:55901 tak oczywiście mogę się połączyć.
Ale nie mogę na 82.143.xx.xx:55901 będąc w sieci (192.168.1.4), ludzie z poza sieci oczywiście widzą serwer pod: 82.143.xx.xx:55901.
eth0 tak to jest wyjście na świat, i chcę by pod portem 55901 był widoczny serwer który stoi na 192.168.1.2, i chcę bym wewnątrz sieci go widział pod adresem zewnętrznym 82.143.xx.xx:55901 (Jak i zarówno 192.168.1.2:55901).
Piszę "chcę" mam nadzieje że nikt to nie zrozumie jak jakiegoś rozkazu hehe :)
Offline
#6 2008-07-03 15:30:07
graczu - Użytkownik
- graczu
- Użytkownik
- Zarejestrowany: 2008-06-09
Re: DDoS jak rozpoznać
Ooo :)
Jak dodałem:
iptables -A PREROUTING -t nat -i eth0 -p tcp -d 82.143.190.161 --dport 55901 -j DNAT --to 192.168.1.2:55901
iptables -A PREROUTING -t nat -i eth1 -p tcp -d 82.143.190.161 --dport 55901 -j DNAT --to 192.168.1.2:55901
To zadziałało :) że widzę po lanie i z zewnątrz :)
Szkoda tylko że muszę dodawać dwie regułki :(, ciekawy jestem czy będę widział z 192.168.2.x.
Edit:
Odrazu przepraszam za double post :)
No i z eth2 nie działa czyli 192.168.20/24 (Muszę dodawać an eth2 by zadziałało też)
Nie da się jakoś określić by na wszystkie interfejsy była dodawana ta regułka?
Ostatnio edytowany przez graczu (2008-07-03 15:32:54)
Offline
Informacje debugowania
| Time (s) | Query |
|---|---|
| 0.00022 | SET CHARSET latin2 |
| 0.00006 | SET NAMES latin2 |
| 0.00100 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.141.42.41' WHERE u.id=1 |
| 0.00091 | UPDATE punbb_online SET logged=1732328767 WHERE ident='3.141.42.41' |
| 0.00061 | SELECT * FROM punbb_online WHERE logged<1732328467 |
| 0.00085 | SELECT topic_id FROM punbb_posts WHERE id=94026 |
| 0.00105 | SELECT id FROM punbb_posts WHERE topic_id=11780 ORDER BY posted |
| 0.00096 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=11780 AND t.moved_to IS NULL |
| 0.00016 | SELECT search_for, replace_with FROM punbb_censoring |
| 0.00091 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=11780 ORDER BY p.id LIMIT 0,25 |
| 0.00115 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=11780 |
| Total query time: 0.00788 s | |