Симферопольский Форум: Защита от простого Ddos - Симферопольский Форум

Перейти к содержимому

Внимание! Для всех новых пользователей введена премодерация сообщений и тем.
Страница 1 из 1
  • Вы не можете создать новую тему
  • Вы не можете ответить в тему

Защита от простого Ddos надо настроить ubuntu server

#1 Пользователь онлайн   Aquarius 

  • Живу здесь
  • PipPipPipPipPip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Старая гвардия
  • Сообщений: 2 346
  • Регистрация: 15 сентября 10
  • ГородСимферополь
  • Страна:  

Отправлено 04 ноября 2011 - 14:35

Подскажите, кто у нас умеет сделать несложную настройку ubuntu server От ddos + показать инструменты для анализа что происходит в случае атаки для определения ее типа и возможных вариантов действия.


#2 Пользователь офлайн   GerinG 

  • Zero tolerance
  • Перейти к галерее
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Модераторы
  • Сообщений: 2 587
  • Регистрация: 14 сентября 10
  • ГородСимферополь и район
  • Страна:  

Отправлено 04 ноября 2011 - 15:59

Просмотр сообщенияAquarius сказал:

несложную настройку ubuntu server От ddos



Домашний хостинг? В таком случае или не париться или убрать слово "несложная ". Любой мало-мальски грамотный DDoS положит Убунту, настроенную на коленке.

Или для саморазвития? Тогда совершенно другая песня. Начинать я бы стал с литературки и профильных форумов для въезжания в общую тему. Потом только настройка.

Воля - это такой нематериальный актив, с помощью которого можно послать на *уй любую объективную реальность.

#3 Пользователь онлайн   Aquarius 

  • Живу здесь
  • PipPipPipPipPip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Старая гвардия
  • Сообщений: 2 346
  • Регистрация: 15 сентября 10
  • ГородСимферополь
  • Страна:  

Отправлено 05 ноября 2011 - 12:01

хостинг не домашний.
но убунта настроена на коленке.

Цитата

убрать слово "несложная "

ну если можно настроить от нормального ддоса то я буду только рад.
Вопрос к кому обратиться для правильной настройки.


#4 Гость_bred_*

  • Группа: Гости

Отправлено 05 ноября 2011 - 12:39

Просмотр сообщенияGerinG (04 ноября 2011 - 15:59) писал:

Любой мало-мальски грамотный DDoS положит Убунту, настроенную на коленке.

а мало-мальски грамотный - это какой? (сорри за неграмотность вопроса, если что, но никогда не ддосил никого))
Я как помню, в низкоуровневых стенках были настройки банить ИП, если в течение стольки-то секунд от него приходит столько-то запросов (забыл числа - толь по 3 запроса в секунду, толь что, но это настраиваемо)
Грамотность состоит в том, что подобного нет?


#5 Пользователь офлайн   Eugene 

  • Юджин
  • PipPipPipPipPip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Старая гвардия
  • Сообщений: 1 653
  • Регистрация: 16 сентября 10
  • ГородСимферополь

Отправлено 05 ноября 2011 - 12:46

http://habrahabr.ru/tag/ddos/

Жизнь - вечная борьба: до обеда с голодом, после обеда со сном.

Поблагодарили: 1

#6 Пользователь офлайн   GerinG 

  • Zero tolerance
  • Перейти к галерее
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Модераторы
  • Сообщений: 2 587
  • Регистрация: 14 сентября 10
  • ГородСимферополь и район
  • Страна:  

Отправлено 06 ноября 2011 - 19:27

Eugene, лучше ссылки и придумать сложно...

Воля - это такой нематериальный актив, с помощью которого можно послать на *уй любую объективную реальность.

#7 Пользователь офлайн   GerinG 

  • Zero tolerance
  • Перейти к галерее
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Модераторы
  • Сообщений: 2 587
  • Регистрация: 14 сентября 10
  • ГородСимферополь и район
  • Страна:  

Отправлено 06 ноября 2011 - 19:31

bred, я не большой специалист по DoS или DDoS атакам, поэтому могу сказать одно - низкоуровневая стенка с баном ИПов хорошо работает только при атаке флудом, то есть забиванием канала запросами. От атаки второго уровня или ошибок системы она не спасет никак, имхо

Воля - это такой нематериальный актив, с помощью которого можно послать на *уй любую объективную реальность.

#8 Пользователь онлайн   Aquarius 

  • Живу здесь
  • PipPipPipPipPip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Старая гвардия
  • Сообщений: 2 346
  • Регистрация: 15 сентября 10
  • ГородСимферополь
  • Страна:  

Отправлено 07 ноября 2011 - 10:51

спасибо за ссылки! Но еще больше хочется пообщаться со специалистом, если такой в Крыму имеется и захочет пообщаться :)


#9 Пользователь офлайн   a0xff 

  • Живу здесь
  • PipPipPipPipPip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Старая гвардия
  • Сообщений: 2 473
  • Регистрация: 27 сентября 10
  • Городsimferopol
  • Страна:  

Отправлено 07 ноября 2011 - 11:54

задачу бы подробнее описали. какой сервис то атакуют хотя бы... а то решений много, разные. можешь в личку написать например


#10 Гость_bred_*

  • Группа: Гости

Отправлено 07 ноября 2011 - 12:58

спасибо, начал загружаться )
жаль, попробовать не на чем - корпсеть не допустит..


#11 Пользователь онлайн   Aquarius 

  • Живу здесь
  • PipPipPipPipPip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Старая гвардия
  • Сообщений: 2 346
  • Регистрация: 15 сентября 10
  • ГородСимферополь
  • Страна:  

Отправлено 07 ноября 2011 - 12:59

пока собственно никакой, но было что-то похожее. на какой сервис даже не скажу точно. поэтому интересна превентивная защита ну и заранее знать инструменты чтобы отследить на какой хоть сервис.
Или универсального ничего нельзя сделать и обращаться к спецам только когда уже будет реальная атака?
И спецов искать живьем или он-лайн сервисы подойдут? НА которые можно перенаправлять домен чтобы они выступали проксей?


#12 Пользователь офлайн   a0xff 

  • Живу здесь
  • PipPipPipPipPip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Старая гвардия
  • Сообщений: 2 473
  • Регистрация: 27 сентября 10
  • Городsimferopol
  • Страна:  

Отправлено 07 ноября 2011 - 13:10

Константин, Вы обсудаете сейчас сферическую атаку в вакууме. На практике никакой универсальной защиты никто не сделает. Даже простой http сервис можно накрыть почти десятком способов и диагностироваться атака будет во всех случаях по разному.
Например можно тупо убить канал сервера icmp трафиком(отсекаем его где-нить по пути), можно убить сервер нагрузкой, очень активно делая запросы поиска(у многих сейчас ограничение на повторный поиск), можно убить http сервер простыми get запросами, может еще никто нас не ддосит, а просто проект вырос и нужно искать решение этого...
По способам диагностики- как правило в том же логе http сервера явно видны вредоносные запросы. иногда они даже от одного конкретного адреса


#13 Пользователь офлайн   SlavaD 

  • Живу здесь
  • PipPipPipPipPip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Технический администратор
  • Сообщений: 1 372
  • Регистрация: 16 сентября 10
  • Страна:  

Отправлено 07 ноября 2011 - 18:00

Отбиться от DDoS далеко не простая задача, и зачастую отличить атакующего, от обычного пользователя, оказывается весьма сложно. То есть профессиональная атака будет подстроена под множество нормальных обращений, при чем нормальных обращений с разных IP.

Соответственно, первое, что мы должны сделать, это создать максимальный запас по "мощности". Путей тут 2, это тупое увеличение производительности железа/каналов и тщательное конфигурирование системы и приложений. Например системными средствами закрыть все лишние порты правилом DROP (речь идет о Linux) или DENY, если мы хотим делать вид, что на этом порту ничего не висит, во время атаки правило DROP можно сменить на TARPIT. Conntrack желательно выключить, для IP находящегося в зоне риска (разумеется NAT на этом IP перестанет работать). Приложения тоже тщательно оттюнить, выставив минимально необходимые значения timeout. Тот же apache по возможности прикрыть при помощи nginx. Почту распределить на несколько MX серверов и в случае атаки принимать ее только от свободных на данный момент узлов.

Если атака началась и запаса "мощности" не хватило, начинать анализировать структуру атаки. В силу причин указанных вначале, универсальных средств здесь нет. tcpdump+мозг помогут понять, что происходит и заткнуть проблему.

Собственно есть еще метод, далеко не всегда применимый, но упомянуть стоит. Делаем наоборот, не врагов ищем, а закрываем доступ всем и открываем, только определенной группе, разумеется у вас должно быть средство, как эту группу вычленить.


Поблагодарили: 1

#14 Пользователь онлайн   Aquarius 

  • Живу здесь
  • PipPipPipPipPip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Старая гвардия
  • Сообщений: 2 346
  • Регистрация: 15 сентября 10
  • ГородСимферополь
  • Страна:  

Отправлено 07 ноября 2011 - 18:25

SlavaD, большое спасибо за инфу.


#15 Пользователь офлайн   Eugene 

  • Юджин
  • PipPipPipPipPip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Старая гвардия
  • Сообщений: 1 653
  • Регистрация: 16 сентября 10
  • ГородСимферополь

Отправлено 24 ноября 2011 - 00:54

фраза "хватит досить"
на украинском языке теряет смысл :)

Жизнь - вечная борьба: до обеда с голодом, после обеда со сном.

Поблагодарили: 1

Поделиться темой:


Страница 1 из 1
  • Вы не можете создать новую тему
  • Вы не можете ответить в тему

1 человек читают эту тему
0 пользователей, 1 гостей, 0 скрытых пользователей