babiy

только вот и так не высокая их репутация может сильно упасть если данной уязвимостью воспользуются более масштабно чем сейчас эти точечные случаи

Подтверждаю, вчера вечером был такой инцидент.

babiy добавил 19.10.2011 в 19:57

ware:
Потому что внедрили, не понравилась, а менять тяжеловато - клиенты уже привыкли. В любом случае на новых серверах уже можно отказываться от их решений. По крайней мере, многие хостеры отказали от недоVDSmanager в пользу HyperVM , ну некоторые еще на SolumVM переходят.



ЗЫ: а директор ISPsystem читает тему и молчит :D

что то на их форуме нет уже этой темки)

А Вы не допускаете что то что произошло сегодня может показаться ничем по сравнению с тем что может произойти дальше?

Ведь по пустякам наверное бы не сняли с делегирования домен хостинг компании, по крайней мере я не помню таких прицидентов, клиентские домены, да это бывало, ну а что бы домен хостера .... по моему Вам стоит подготовится к беседе с инициаторами сего дияния

Мы ещё молоды и зелены))) и для нас 1460 pps повышенный показатель, ну а то что работать нужно рационально а не фатально это конечно же Вы правы.

та нет это был ботнет но как я понимаю (может и ошибаюсь) большинство из апи адресов делали по 700-2000 запросов, ну а то что загрубил лимит коннектов то конечно же помучал немного клиентов, то что атака была подтвердило письмо с ДЦ

да атака не большая, но была, а на предмет Barfя конечно же буду его детально изучать и применять.

После некоторой пляски с бубном вокруг DDoS-Deflate оставил его на ночь, нагрузить сервер атака так и не смогла, утром забанено было примерно 1200 адресов, ну и была пара тикетов от пользователей которые попали под бан, скажем так как самая простая мера выживания в условии атаки (небольшой) этот скрипт имеет право на жизнь, но только не в том состоянии в котором он поставляется, в целом же согласен с утверждением более детального изучения поведения бота, постараюсь используя все приведённые здесь советы собрать более универсальный скрипт который бы мог применять как критические меры (как применённый мною ночью скрипт) так и более разумные с анализом сигнатур , в зависимости от интенсивности атаки.

Всем кто участвовал в обсуждении огромное спасибо, Ваши советы в комплексе оказались довольно эффективными, а главное дали чёткий толчёк к вектору движения для защиты своих серверов от слабых ддос атак.

Если кому то интересен усовершенствованный (громко сказано)))) просто подправленный скрипт DDoS-Deflate я готов поделится, ну а если у кого то есть желание поработать совместно над разработкой более совершенного скрипта для защиты от слабых ддос атак , буду рад поработать в команде.

А может как вариант оставить для выборки netstat только 80 порт (в большинстве случаев те атаки от которых мы спасёмся этим скриптом направлены именно туда) или я не прав?

к стати избавился и от второго недостатка в виде бана подитоживаний netstata изменив основной запрос в скрипте ddos.sh c

netstat -ntu | awk '{print $5}'  | cut -d: -f1 | sort | uniq -c | sort -nr > $BAD_IP_LIST

на такой

netstat -ntu | awk '{print $5}' |grep -oE '[0-9]{1,}\.[0-9]{1,}\.[0-9]{1,}\.[0-9]{1,}' | cut -d: -f1 | sort | uniq -c | sort -nr > $BAD_IP_LIST

ппц какой то))) ***91; это левая квадратная скобка а ***93; правая

Поставил deflate , правда пришлось чуть доработать скриптик сам, так как в базовом состоянии он забил на запись в inore.ip.list и забанил всё таки апи сервера)

теперь маленький вопросик к опытным товарищам, с какого количества конектов стоит банит апи адреса, я поставил 40 но проверив на своих других серверах выборку netstat даже на одном высокопосещаемом я не нашёл там цифры превышающей 20 конектов, и ещё вопросик где можно найти апи адреса поисковых ботов яши и гугля?

babiy добавил 09.10.2011 в 23:35

это понятно, но мы пока спасаемся от мелкого ddosa

babiy добавил 09.10.2011 в 23:42

Поделюсь про доработку deflate

и так в /usr/local/ddos/ddos.conf после строки

IGNORE_IP_LIST="/usr/local/ddos/ignore.ip.list"

добавляем строку

IGNOREDS_LIST="/usr/local/ddos/ignoreds.list"

соответственно создаём этот файлик и в него вносим то что банить нельзя!

теперь в самом скрипте /usr/local/ddos/ddos.sh после секции

IGNORE_BAN=`grep -c $CURR_LINE_IP $IGNORE_IP_LIST`

                if [ $IGNORE_BAN -ge 1 ]; then

                        continue

                fi

добавим ещё одну секцию

IGNOREDS_BAN=`grep -c $CURR_LINE_IP $IGNOREDS_LIST`

                if [ $IGNOREDS_BAN -ge 1 ]; then

                        continue

                fi

в результате белый список начинает работать нормально.

babiy добавил 09.10.2011 в 23:52

ещё к минусам этого скрипта можно отнести забивание в таблицу фильтрации таких вот записей

DROP       all  --  0.0.10.73            0.0.0.0/0

DROP       all  --  0.0.6.110            0.0.0.0/0

DROP       all  --  0.0.6.146            0.0.0.0/0

как я понимаю это подитог в выводе netstat который этот скриптик за одно со всем выводом вносит в бан, ну как это побороть я пока не знаю)

это я знаю, просто мне кажется что банить их будет надёжнее

Звонок в скайп всегда может ускорить процесс решения проблемы, тикет отвечен.

babiy добавил 09.10.2011 в 12:30

Да, покупка дополнительного места возможна, цена 25 рублей в месяц за 500 мегабайт