- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Все что нужно знать о DDоS-атаках грамотному менеджеру
И как реагировать на "пожар", когда неизвестно, где хранятся "огнетушители
Антон Никонов
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Вынес в отдельный топик.
хранится, но доступа к ней у меня нет, я бывший сотрудник, доступ к натам есть =) просто ещё рас, ковыряться в статистике к примеру я не смогу, в реальном времени ещё бы смог помочь, так как в домовой сети всегда все друг друга знают =) и думаю можно было попытаться получить самого бота для дальнейшего "изучения"
когда флудит, то это сразу видно... могу подсказать как слегка облегчить процесс и попросить наших программеров написать небольшой скриптик помогающий разгребать tcpdump.
но лично от себя могу предложить пятиминутную зарисовку только что сделанную с особой извращенностью на обычном sh под фрей... проверял на 6.x
Ищем синфлудера:
tcpdump -i em0 -c 5000 -n dst port 80|grep "(0)"|grep ": S "|awk -F " " '{print $3,$5}'|awk -F "[.: ]" '{printf "%s.%s.%s.%s %s.%s.%s.%s\n", $1,$2,$3,$4,$6,$7,$8,$9}'|sort|uniq -c|sort -r |more
Cверху будут те кто активно посылали синпакеты на 80 порт какого-то конкретного хоста.
1342 59.10.152.86 x.x.x.x
244 62.175.82.52 x.x.x.x
Если в параметрах tcpdump изменить количество пакетов (опция -c) на более большее, то можно получить и вот так:
4972 59.10.152.86 x.x.x.x
1945 81.174.49.157 x.x.x.x
981 62.175.82.52 x.x.x.x
471 58.147.40.209 x.x.x.x
394 84.84.184.122 x.x.x.x
390 74.72.174.140 x.x.x.x
Время исполнения tcpdump у меня было меньше минуты... в моем случае 20000 пакетов засосало очень быстро. Сортировка и подсчет совпадений производится по паре src ip/dst ip, что поднимает в выводе тех кто слал много син пакетов.
Аналогично можем выяснить адрес цели:
tcpdump -i em0 -c 5000 -n dst port 80|grep "(0)"|grep ": S "|awk -F " " '{print $3,$5}'|awk -F "[.: ]" '{printf "%s.%s.%s.%s\n", $6,$7,$8,$9}'|sort|uniq -c|sort -r |more
естественно выдаваемую информацию надо перевроверять, а то может показаться что абоненты флудят хосты яндекса, гугля и т.д... первый пример выдает более корректно.
pps. за отжыг с sh и awk прошу простить... сплю...
Жаль не могу добавить отзыв:(
Господа модераторы, прикрепите пожалуйста топик, он многим пригодится.
tcpdump |grep "(0)"|grep ": S " экономнее заменить на tcpdump 'tcp[13] & 0xff = 2'
tcpdump |grep "(0)"|grep ": S " экономнее заменить на tcpdump 'tcp[13] & 0xff = 2'
ключевой момент:
ещёб эту инфу добавить на сам сайт http://stopddos.ru/
Zaqwr, Присоединяюсь, многим будет полезно, kostich, спасибо :)
может конечно оффтоп(сразу приношу свои извинения 🚬 ) но я предпочитаю использовать mod_evasive для apache. Достаточно эффективная и очень полезная штука.
http://www.opennet.ru/prog/info/1894.shtml.
Я думаю, Вам стоит посмотреть в эту сторону.
может конечно оффтоп(сразу приношу свои извинения 🚬 ) но я предпочитаю использовать mod_evasive для apache.
Это несколько разные методы. tcpdump ловит флудеров в большой сети без привязки к конкретному сайту - то есть на выходе из сети, mod_evasive ловит флудеров на конкретном сайте.
Для Linux:
tcpdump -i eth0 -c 5000 -n dst port 80|grep "(0)"|grep ": S "|awk -F " " '{print $3,$5}'|awk -F "[.: ]" '{printf "%s.%s.%s.%s %s.%s.%s.%s\n", $1,$2,$3,$4,$6,$7,$8,$9}'|sort|uniq -c|sort -n -r |moreЭто несколько разные методы. tcpdump ловит флудеров в большой сети без привязки к конкретному сайту - то есть на выходе из сети
в маленькой сети...
Это несколько разные методы. tcpdump ловит флудеров в большой сети без привязки к конкретному сайту - то есть на выходе из сети, mod_evasive ловит флудеров на конкретном сайте.
вы не правы, все зависит от конфигурации, можно включать модуль для отдельных виртаульных хостов, можно и глобально.