Вернуться   Форум об интернет-маркетинге > Сайтостроение > Администрирование серверов

Ответ
 
Опции темы
Старый 12.04.2010, 15:25   #1
Абитуриент
 
Регистрация: 12.04.2010
Сообщений: 1
Репутация: 10

По умолчанию Как определить тип Ддоса?

Наблюдая следующую картину: пропускная способность канала забивается на 100%. Невероятный расход трафика, под 500-1000 Гигабайт за сутки.
Примерно такое соотношение:
Исходищий: 500-1000ГБ.
Входящий: 50-100ГБ.
Смотрел логи обращений к сайтам, там никаких посторонних записей, которые могли бы объяснить такой расход трафика нет. В среднем по логам 5-10 обращений к сайтам в минуту. Значит http ддос отпадает.

Возможно это ICMP-флуд, SYN-флуд, UPD-флуд, как это можно проверить? И как проверить, ддос ли это вообще?
skonles вне форума   Ответить с цитированием

Реклама
Старый 12.04.2010, 15:31   #2
zexis
Академик
 
Аватар для zexis
 
Регистрация: 09.08.2005
Сообщений: 3,515
Репутация: 582729

По умолчанию Ответ: Как определить тип Ддоса?

Можете ли зайти на сервер по SSH?
При таком большом трафике это будет сложно.
Придется либо ехать в ДЦ, либо подключаться удаленно через kvm.

1)
Запретите серверу реагировать на icmp запросы.
Веб серверу icmp не нужно.
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all

2)
посмотрите список текущих конектов к серверу.
netstat -n|less
Нет ли там множества коннектов с одних и тех же IP адресов ?
Нет ли там слишком большого количества коннектов в одном и том же состоянии ?
Какое общее число коннектов?
netstat -n|wc

3)
посмотрите статистику трафика сетевых интерфейсов
sar -l |less

4)
Заодно посмотрите
top
vmstat 2
server-status/

Последний раз редактировалось zexis; 12.04.2010 в 15:58..
zexis вне форума   Ответить с цитированием
Старый 12.04.2010, 16:07   #3
myhand
Академик
 
Регистрация: 16.09.2009
Сообщений: 4,873
Репутация: 138734

По умолчанию Ответ: Как определить тип Ддоса?

Цитата:
Сообщение от zexis Посмотреть сообщение
1)
Запретите серверу реагировать на icmp запросы.
Веб серверу icmp не нужно.
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all
Глупость какая. Нужен, конечно. Ограничить приемлемой частотой запросов - не более.

То, что Вы пишете - никак от ICMP флуда не спасет. Канал как был забит входящими пакетами - так и останется.

Что касается вопроса ТС - вполне разумный трафик для сайта с медиа-контентом. Может Вы просто не логгируете обращение к нестатическим файлам? Может хотлинкинг?
__________________
Абонементное сопровождение серверов (Debian)
Отправить личное сообщение,
написать письмо.
myhand вне форума   Ответить с цитированием
Старый 12.04.2010, 16:45   #4
stack
{архитектор добра}
 
Регистрация: 16.01.2008
Сообщений: 201
Репутация: 11167

По умолчанию Ответ: Как определить тип Ддоса?

Цитата:
Примерно такое соотношение:
Исходищий: 500-1000ГБ.
Входящий: 50-100ГБ.
По симптомам это ICMP флуд, единственное решение:
1)Увеличение канала
2)Отключение ответа на ICMP пакеты со стороны сервера


Также понять точно какая это атака, можно сняв дамп сетевой активности командой:

Цитата:
tcpdump -i eth0
Где eth0 - сетевой интерфейс.
__________________
Качественный хостинг Unlimits Telecom (ООО "БизнесТелеКом").
Официальный Twitter канал.
Ознакомиться с нашими услугами можно в этом топике.
stack вне форума   Ответить с цитированием
Ответ




Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Текущее время: 14:38. Часовой пояс GMT +4.

Регистрация Справка Календарь Поддержка Все разделы прочитаны