DDoS как узнать мощность и кол-во атакующих

1

tmt

31 октября 2012, 06:02

8366

Доброе утро, вторые сутки на мой ресурс идет DDoS-атака, как узнать силу атаки и кол-во атакующих?

Хостер скинул

Top 10 Src IP Addr ordered by bytes:

Date first seen Duration Proto Src IP Addr Flows(%) Packets(%) Bytes(%) pps bps bpp

2012-10-30 11:14:00.189 506.828 any 95.107.49.67 1029( 8.0) 4006( 7.5) 817398( 8.0) 7 12902 204

2012-10-30 11:14:00.935 508.733 any 85.143.32.200 367( 2.9) 1628( 3.0) 466868( 4.6) 3 7341 286

2012-10-30 11:14:00.145 506.981 any 188.93.111.3 849( 6.6) 2635( 4.9) 412563( 4.0) 5 6510 156

2012-10-30 11:14:01.219 508.515 any 85.234.37.64 532( 4.2) 1957( 3.7) 359226( 3.5) 3 5651 183

2012-10-30 11:14:00.246 505.276 any 86.110.96.2 579( 4.5) 1904( 3.6) 357725( 3.5) 3 5663 187

2012-10-30 11:14:02.011 489.498 any 77.243.8.159 418( 3.3) 1625( 3.0) 342239( 3.3) 3 5593 210

2012-10-30 11:14:03.901 492.222 any 85.142.156.130 446( 3.5) 1456( 2.7) 325909( 3.2) 2 5296 223

2012-10-30 11:14:02.192 507.687 any 195.211.205.242 406( 3.2) 1316( 2.5) 298922( 2.9) 2 4710 227

2012-10-30 11:14:05.382 504.451 any 89.232.109.226 477( 3.7) 1768( 3.3) 266110( 2.6) 3 4220 150

2012-10-30 11:14:01.233 506.294 any 92.241.98.194 301( 2.4) 1150( 2.1) 263782( 2.6) 2 4168 229



Summary: total flows: 12785, total bytes: 10.2 M, total packets: 53569, avg bps: 160542, avg pps: 105, avg bpp: 190

Time window: 2012-10-30 11:14:00 - 2012-10-30 11:22:29

Total flows processed: 32776895, Blocks skipped: 0, Bytes read: 1573291212

Sys: 5.817s flows/second: 5633952.8 Wall: 5.853s flows/second: 5599237.5 

Top 10 Dst IP Addr ordered by bytes:

Date first seen Duration Proto Dst IP Addr Flows(%) Packets(%) Bytes(%) pps bps bpp

2012-10-30 11:14:00.197 507.120 any 95.107.49.67 1099( 7.1) 3751( 6.4) 2.1 M( 5.5) 7 32897 555

2012-10-30 11:14:00.145 507.437 any 188.93.111.3 936( 6.0) 3064( 5.2) 2.1 M( 5.5) 6 32722 677

2012-10-30 11:14:02.292 465.292 any 94.137.47.34 233( 1.5) 1535( 2.6) 1.5 M( 4.0) 3 26061 987

2012-10-30 11:14:01.963 508.005 any 85.234.37.64 588( 3.8) 2266( 3.8) 1.3 M( 3.5) 4 20972 587

2012-10-30 11:14:01.468 496.691 any 86.110.96.2 701( 4.5) 2157( 3.7) 1.3 M( 3.5) 4 21370 615

2012-10-30 11:14:00.169 499.559 any 85.143.32.200 482( 3.1) 1948( 3.3) 1.2 M( 3.2) 3 19301 618

2012-10-30 11:14:05.418 504.317 any 89.232.109.226 531( 3.4) 1718( 2.9) 1.2 M( 3.2) 3 18986 696

2012-10-30 11:14:07.369 494.116 any 95.188.245.248 194( 1.3) 1193( 2.0) 1.2 M( 3.1) 2 19155 991

2012-10-30 11:14:19.715 489.929 any 85.142.156.110 293( 1.9) 1680( 2.8) 1.2 M( 3.1) 3 18945 690

2012-10-30 11:14:04.286 493.163 any 80.89.133.25 209( 1.3) 1138( 1.9) 1.0 M( 2.7) 2 16408 888



Summary: total flows: 15503, total bytes: 38.0 M, total packets: 58964, avg bps: 595743, avg pps: 115, avg bpp: 643

Time window: 2012-10-30 11:14:00 - 2012-10-30 11:22:29

Total flows processed: 32776895, Blocks skipped: 0, Bytes read: 1573291212

Sys: 5.584s flows/second: 5869721.6 Wall: 5.602s flows/second: 5850067.9

Я нуб в администрировании серверов, стоит ISPMan.. А вчера пытался поставить mod_evasive + firewall но походу ничего не вышло.

---------- Добавлено 31.10.2012 в 10:06 ----------

А еще как узнать куда именно нацелена атака? на апач там или БД, а мб еще куда..

822

Andreyka

31 октября 2012, 06:39

#1

Для начала netstat

Не стоит плодить сущности без необходимости

T

1

tmt

31 октября 2012, 06:54

#2

netstat выдает очееень больше кол-во строк, но вроде как все site:http

tcp        0      0 site.ru:http             mail.sfugntu.ru:60914       TIME_WAIT

tcp     1037      0 site.ru:http             static-46-187-11-36.c:63545 ESTABLISHED

tcp        0      0 site.ru:http             176.192.24.85:62752         TIME_WAIT

tcp        0      0 site.ru:http             static-137-78.pppoe.t:33512 ESTABLISHED

tcp        0      0 site.ru:http             ssga.ru:4281                ESTABLISHED

tcp        0    256 site.ru:http             mail.sfugntu.ru:50917       ESTABLISHED

tcp     1204      0 site.ru:http             mail.vlgafc.ru:25182        ESTABLISHED

tcp        0      0 site.ru:http             226.109.232.89.in-add:40511 TIME_WAIT

tcp        0      0 site.ru:http             46.61.139.226:51981         TIME_WAIT

tcp        0      0 site.ru:http             176.192.24.85:64043         TIME_WAIT

tcp        0      0 site.ru:http             static-46-187-11-36.c:63537 TIME_WAIT

tcp        0      0 site.ru:http             46.61.139.226:38414         TIME_WAIT

tcp        0      1 site.ru:http             m212-96-64-179.cust.t:14792 LAST_ACK

tcp        0      0 site.ru:http             mail.vlgafc.ru:21327        TIME_WAIT

tcp        0      0 site.ru:http             176.192.24.85:62767         TIME_WAIT

tcp        0      0 site.ru:http             176.192.24.85:64556         TIME_WAIT

Active UNIX domain sockets (w/o servers)

Proto RefCnt Flags       Type       State         I-Node Path

unix  12     [ ]         DGRAM                    2385807361 /dev/log

unix  2      [ ]         DGRAM                    2385804091 @/org/kernel/udev/udevd

unix  2      [ ]         DGRAM                    2415225939

unix  3      [ ]         STREAM     CONNECTED     2411104885 /var/lib/mysql/mysql.sock

unix  3      [ ]         STREAM     CONNECTED     2411104884

unix  2      [ ]         DGRAM                    2385817411

unix  2      [ ]         DGRAM                    2385815286

unix  2      [ ]         DGRAM                    2385815183

unix  2      [ ]         DGRAM                    2385813032

unix  2      [ ]         DGRAM                    2385810665

unix  2      [ ]         DGRAM                    2385810155

unix  3      [ ]         STREAM     CONNECTED     2385810024

unix  3      [ ]         STREAM     CONNECTED     2385810023

unix  2      [ ]         DGRAM                    2385810017

unix  2      [ ]         DGRAM                    2385807571

unix  2      [ ]         DGRAM                    2385807413

unix  3      [ ]         DGRAM                    2385804095

unix  3      [ ]         DGRAM                    2385804094

---------- Добавлено 31.10.2012 в 10:55 ----------

site:musql тоже проскакивают

***91; ***93; - квадратные скобки

388

zexis

31 октября 2012, 09:12

#3

Закрыть 80-й порт

iptables -A INPUT -p tcp --dport 80 -j DROP

потом посомтреть на сколько увеличатся счетчики пакетов и байт этого правила через минуту

iptables -L -n -v

Могу вам бесплатно посмотреть силу атаки, если дадите доступ.

ICQ#: 16993восемь679

Успешный сайт для Google Все что нужно знать Как заказать рекламу у

[Удален]

31 октября 2012, 10:45

#4

tmt, как с вами связаться можно?

523

Den73

31 октября 2012, 12:42

#5

vnstat -l и кол запросов в access.log за минуту.

---------- Добавлено 31.10.2012 в 16:58 ----------

Mentoc:
tmt, как с вами связаться можно?

😮 вы его асю не видите?

[Удален]

31 октября 2012, 13:06

#6

Den73:
😮 вы его асю не видите?

Нет, не вижу

523

Den73

31 октября 2012, 13:07

#7

Mentoc:
Нет, не вижу

печально...

K5

209

kgtu5

31 октября 2012, 13:36

#8

Могу помочь...

аська 45два48499два записки на работе (http://memoryhigh.ru) помогу с сайтом, удалю вирусы, настрою впс -> отзывы ТУТ (/ru/forum/836248) и ТАМ (http://www.maultalk.com/topic140187.html) !!!всегда проверяйте данные людей, которые сами пишут вам в аську или скайп!!!

822

Andreyka

31 октября 2012, 13:38

#9

Ну вот посчитайте строки и будете знать силу атаки

M

278

myhand

31 октября 2012, 14:20

#10

Andreyka:
Ну вот посчитайте строки и будете знать силу атаки

А не проще человека не мучать и ткнуть его в его собственный пост? 🍿

ТС, все написано в диагностике, которую вам прислали. Интервалы времени, число пакетов, объем и т.п. Поделите одно на другое - получите усредненные характеристики трафика (напр., pps - packets per second).

Не резон обращаться к тутошним гуру, которые читать не умеют... Или в прочитанном не разбираются ;)

Абонементное сопровождение серверов (Debian) Отправить личное сообщение (), написать письмо ().

NetPromoter выпускает вторую версию Яндекс запустил Яндекс.Коннект Продавцы Яндекс Маркета получили

Переиграть и победить: как анализировать конкурентов для продвижения сайта

Дзен реализовал для авторов возможность вывода денег через СПБ