Задача несколько более глобальна чем просто промониторить трафик на одном сервере, нужен инструмент который смотрит за всеми серверами а действия по факту аномалии применяет на основном шлюзе, к аномалиям на начальном этапе нужно отнести элементарные вещи:
-- резкое увеличение син пакетов
-- резкое увеличение udp трафика
более тонко смотрим:
-- скачки трафика на 80 порт
Задача стоит своевременно среагировать на DDos причём в автоматическом режиме.
Сейчас я могу в ручном режиме перекинуть атакуемый IP во второе включение и на тамошнем шлюзе уже извращаться над этим трафиком так как мне нужно при этом не затрагивая весь остальной траф который остался в основном включении, но хочется и нужно это дело автоматизировать, и я уверен что на вооружении многоуважаемых админов есть инструменты которые после определённой обработки молотком зубилом и какой то матерью, способны делать то что нужно мне.
babiy добавил 04.12.2011 в 14:00
Следить нужно именно за серверами хостинг компании, но не только шеред хостинга
babiy добавил 04.12.2011 в 14:12
Задача проста, защитить сервера в своих стойках.
В идеале хочется получить некий аналог Cisco Guard (сразу говорю АНАЛОГ), я конечно же понимаю что аппаратные средства есть аппаратные, но ни что не мешает во втором резервном включении куда будет отправлятся аномальный трафик настроить фильтра причём не только на базе одного сервера и можно поставить и больше серверов друг за другом и в каждом настроить свои фильтра (это как пример) я понимаю что при большой и умной атаке это не спасёт, ну по крайней мере часть атак могут пройти практически незаметно.
а под nagios есть что то подобное?
и по поводу Snort кто ни будь использует, что то можете сказать по нему?
Посмотрите что покажет вывод этой команды:
netstat -n -t | grep SYN_RECV | wc -l
А если пароль нужно не сменить а сбросить (в случае если забыли) то так
Шнурок на входе гигабит (сделали на время атаки) но железки все (шлюз свитч) на 100 ку и тут уже тяжковато но подкрутив те правила что я писал в первом посте более и менее жить легче стало, тупит конечно но всё же работает более сносно.
Сейчас постараюсь собрать пакеты что бы показать (пока атаки нет но думаю проявятся снова так как сегодня с 11 по мск она продолжалась с перерывами на 15 -20 минут для смены атакуемомго обьекта)
как то так:
[ATTACH]100131[/ATTACH]
это шлюз и ОС тут стоит Centos (имеется ввиду то на чём я бьюсь с атакой) идёт она на ВДС тоже с Centos
80 мбит аттака
та я в данный момент на по ддос а про то что бы он не мешал другим клиентам , я не собираюсь менять маршруты в момент атаки (ну кроме возможно blackhole community) мне изначально нужно траф к одним клиентам пустить в одну дырку а к другим в другую вот и всё (но при этом я не могу использовать большие сети ) так как клиентов которые должны быть изолированы не много.
Ну так весь мир и пусть себе фильтрует /24 /23 а вот роутер аплинка моего ведь может принят и меньшие префиксы и не анонсировать их в мир, так как именно ему нужно что то завернуть на один порт а что то на другой а его аплинку весь траф моих сетей передать ему, разве не так?
С доисторическим дебианом сломать Вас только вопрос времени, обновляться не пробовали?
apt-get update
apt-get upgrade
и SSH по умолчанию защищён от подбора пароля (/etc/hosts.deny - хранятся апи тех кто переусердствовал в подборе пароля)
