Меня досят уже несколько дней

Alexis · Сообщение **Alexis** » 08 янв 2012, 13:50

Стоит аппаратный фаервол, но это мало помогает. Сервер защищен и хабы работают, только на фаерволе полностью забит максимумом соединений, которые он может пропустить, и пользователи подключиться к хабам не могут. Атака идет на порт хаба. Может кто знает это чучело, которое этим занимается?

лог

Код: Выделить всё

State     	Proto     	Source     	Destination     	Timeout    
SYNACK_S 	TCP 	l2tp_corbina:85.26.241.18:60124 	lan:89.179.246.255:4111 	53
SYNACK_S 	TCP 	l2tp_corbina:109.205.254.50:8483 	lan:89.179.246.255:4111 	53
SYNACK_S 	TCP 	l2tp_corbina:74.178.49.80:3089 	lan:89.179.246.255:4111 	2
SYNACK_S 	TCP 	l2tp_corbina:74.178.49.80:3059 	lan:89.179.246.255:4111 	2
SYNACK_S 	TCP 	l2tp_corbina:93.114.130.69:59249 	lan:89.179.246.255:4111 	4
TCP_OPEN 	TCP 	l2tp_corbina:212.178.10.29:4383 	lan:89.179.246.255:4111 	52
FIN_RCVD 	TCP 	l2tp_corbina:109.96.49.59:2791 	lan:89.179.246.255:4111 	62
SYNACK_S 	TCP 	l2tp_corbina:46.242.28.133:57257 	lan:89.179.246.255:4111 	2
SYNACK_S 	TCP 	l2tp_corbina:188.114.208.178:53375 	lan:89.179.246.255:4111 	53
SYNACK_S 	TCP 	l2tp_corbina:94.26.132.204:64841 	lan:89.179.246.255:4111 	4
SYNACK_S 	TCP 	l2tp_corbina:109.195.68.71:50488 	lan:89.179.246.255:4111 	2
SYNACK_S 	TCP 	l2tp_corbina:79.117.66.236:1694 	lan:89.179.246.255:4111 	2
FIN_RCVD 	TCP 	l2tp_corbina:94.26.141.157:65031 	lan:89.179.246.255:4111 	67
TCP_OPEN 	TCP 	l2tp_corbina:81.198.129.84:51403 	lan:89.179.246.255:4111 	243
SYNACK_S 	TCP 	l2tp_corbina:188.134.28.47:51326 	lan:89.179.246.255:4111 	3
SYNACK_S 	TCP 	l2tp_corbina:95.221.212.117:49732 	lan:89.179.246.255:4111 	3
SYNACK_S 	TCP 	l2tp_corbina:70.162.172.206:3482 	lan:89.179.246.255:4111 	4
FIN_RCVD 	TCP 	l2tp_corbina:87.226.37.36:54052 	lan:89.179.246.255:4111 	60
SYNACK_S 	TCP 	l2tp_corbina:94.26.129.7:4789 	lan:89.179.246.255:4111 	3
TCP_OPEN 	TCP 	l2tp_corbina:93.139.157.251:56121 	lan:89.179.246.255:4111 	25
SYNACK_S 	TCP 	l2tp_corbina:79.117.66.236:1696 	lan:89.179.246.255:4111 	2
SYNACK_S 	TCP 	l2tp_corbina:93.100.229.229:50945 	lan:89.179.246.255:4111 	52
FIN_RCVD 	TCP 	l2tp_corbina:188.134.33.116:62012 	lan:89.179.246.255:4111 	58
SYNACK_S 	TCP 	l2tp_corbina:188.134.28.47:51355 	lan:89.179.246.255:4111 	4
SYNACK_S 	TCP 	l2tp_corbina:91.203.190.2:57997 	lan:89.179.246.255:4111 	3
SYNACK_S 	TCP 	l2tp_corbina:188.65.69.200:65160 	lan:89.179.246.255:4111 	3
FIN_RCVD 	TCP 	l2tp_corbina:86.100.245.222:27635 	lan:89.179.246.255:4111 	73
FIN_RCVD 	TCP 	l2tp_corbina:46.174.92.1:2229 	lan:89.179.246.255:4111 	56
SYNACK_S 	TCP 	l2tp_corbina:188.242.223.147:4609 	lan:89.179.246.255:4111 	3
SYNACK_S 	TCP 	l2tp_corbina:109.96.49.59:2774 	lan:89.179.246.255:4111 	4
FIN_RCVD 	TCP 	l2tp_corbina:79.112.20.88:4406 	lan:89.179.246.255:4111 	60
FIN_RCVD 	TCP 	l2tp_corbina:95.215.57.15:65530 	lan:89.179.246.255:4111 	69
SYNACK_S 	TCP 	l2tp_corbina:188.65.69.198:61391 	lan:89.179.246.255:4111 	3
SYNACK_S 	TCP 	l2tp_corbina:94.26.157.194:52001 	lan:89.179.246.255:4111 	3
SYNACK_S 	TCP 	l2tp_corbina:79.117.66.236:1695 	lan:89.179.246.255:4111 	2
SYNACK_S 	TCP 	l2tp_corbina:94.26.137.131:63101 	lan:89.179.246.255:4111 	53
TCP_OPEN 	TCP 	l2tp_corbina:81.198.129.84:51404 	lan:89.179.246.255:4111 	243
TCP_OPEN 	TCP 	l2tp_corbina:81.198.129.84:51405 	lan:89.179.246.255:4111 	243
SYNACK_S 	TCP 	l2tp_corbina:178.140.218.74:46861 	lan:89.179.246.255:4111 	2
FIN_RCVD 	TCP 	l2tp_corbina:94.26.139.95:52984 	lan:89.179.246.255:4111 	72
SYNACK_S 	TCP 	l2tp_corbina:94.137.32.145:52263 	lan:89.179.246.255:4111 	3
SYNACK_S 	TCP 	l2tp_corbina:79.117.66.236:1693 	lan:89.179.246.255:4111 	2
SYNACK_S 	TCP 	l2tp_corbina:79.117.66.236:1962 	lan:89.179.246.255:4111 	53

Кто-нибудь может помочь?

Alexis · Сообщение **Alexis** » 09 янв 2012, 00:44

Видит бог я до последнего не хотел применять тяжелую артиллерию, но человек не понимает куда он вляпался. Анонимность в интернете тебя не спасет от магического проклятья. Ты нарушил работу моих хабов, а я нарушу здоровье твоего тела. Твои руки будут гнить и ты уже не сможешь никому творить свое зло. ЛУЧШЕ БЫ НЕ РОДИТЬСЯ ЭТОМУ ЧЕЛОВЕКУ

P.S. Не редактировать!

mariner · Сообщение **mariner** » 09 янв 2012, 02:00

Ну расскажи же, что за пупсик на тебя напал.

DedjeL · Сообщение **DedjeL** » 09 янв 2012, 10:05

смени 4111 на любой другой и масс кинь своим юзерам и все

Delion · Сообщение **Delion** » 09 янв 2012, 13:11

Которые зайти не могут? Гениальная идея.

Meloun · Сообщение **Meloun** » 09 янв 2012, 13:41

Если аппаратный фаервол позволяет, попробуйте сделать ограничение не максимального количества коннектов на порт, а ограничить количество подключений с удаленного IP скажем равным 2-4 коннектам.

Если атака методом CTM, то еще решение это доработка кода хаба таким образом чтобы при подключении клиента сразу анализировались данные которые он шлет в сокет и при обнаружении чего-то подобного "$MyNick Vasia" клиент сразу дропался дабы освободить лишний коннект. Вообще идеальное решение это совместная работа хаба и фаервола, когда хаб вычислив IP с которых идет атака сразу заносил из в запрещающие правила фаервола на какое-то время...

Кстати в новых версиях StrongDC появилась интересная фича в команде $Lock отправляемой клиентом другому клиенту при CTM, оттуда можно узнать адрес хаба на котором клиент получил команду CTM Вот читайте тут спецификацию: http://mydc.ru/index.html?showtopic=509 ... st&p=41616 (см. расширение $Lock)

Так что теперь некоторые "агрессивные" админы хабов могут встрять...

Вечный

Хорошо написал, но есть пара вопросов. Даже три.

1) Как, ограничивая подключения, можно сделать популярный хаб?
2) Кто будет дорабатывать код хаба? Я не ставлю под сомнение квалификацию Алексиса, но все-таки сомневаюсь, что он будет дорабатывать код.
3) У нас много кто пользуется стронгом? Особенно спамящие "админы"?

DedjeL · Сообщение **DedjeL** » 09 янв 2012, 14:09

Delion писал(а):смени 4111 на любой другой и масс кинь своим юзерам и все
Которые зайти не могут? Гениальная идея.

я просто не посматрел что он написал что люди зайти не могут ... ну тогда вариант менять порт и поднимать хаб заново ну проотив досс атак не приема хоть башкой бейся об стену сам страдаю постоянно так я держатель скандального хаба ...... вы тогда выложите сами команды в иптаблес и проги названия ну весь арсенал против досс атак и мы не станем разводить темы чо да почему и как ....

Meloun · Сообщение **Meloun** » 09 янв 2012, 14:11

Отвечаю на вопросы.

1) Ограничиваются подключения не "НА", а "С" IP. Т.е. не destination IP а source IP, т.е. количество коннектов с IP удалённой стороны. На популярности хаба и общем числе пользователей это никак не отразится...

2) Нужда заставит доработает. Более того я честно удивлён, "Дырка" в протоколе известна уже давно, используется в основном для атаки на хабы, отчего авторы хабов не предусмотрели защиту от таких атак, ограничивщись лишь контролем соответствия IP клиента и IP передаваемой в команде. Ведь атаковать могут и сами администраторы хабов.

3) Стронгом пользуется чуть ли не 3-ть пользователей (у меня по крайней мере так), более того много других клиентов базируется на исходниках стронга (напр. флайлинк), т.е рано или поздно эта фича попадет и туда. "Спамящим админам" как бы не обязательно использовать стронг, для атаки используются другие пользователи хаба (почитайте как вообще организуется атака СТМ). Фактически достаточно, чтобы хоть один пользователь нечестного хаба сидел через стронг, уже можно будет вычислить.

Надеюсь что объяснения более понятны стали.

DedjeL · Сообщение **DedjeL** » 09 янв 2012, 14:14

вот темка про линукс клиенты

в будующем примерно новые будут создаваться на подобии флая или стронга ..но тока на линукс типо валкнута или елискалт ????

я давно хотел спросить про клиенты но не было возможности тут прописать

mariner · Сообщение **mariner** » 09 янв 2012, 14:19

проотив досс атак не приема хоть башкой бейся об стену

Если меньше биться, то и прием найдешь. Они реально есть, но это лишь полумеры, т.к. проблема кроется в самом протоколе TCP/UDP. Оставляя сервис на этих протоколах ты сам попадаешь в группу риска.

1) Ограничиваются подключения не "НА", а "С" IP. Т.е. не destination IP а source IP, т.е. количество коннектов с IP удалённой стороны. На популярности хаба и общем числе пользователей это никак не отразится...

У многих провайдеров до сих пор NAT. Как собираешься это обходить?

типо валкнута

Закопай его. В данный момент актуальны EiskaltDCpp, FreeDC, LinuxDCpp

Но вообще тут вопрос - какой именно DDoS. Думается в данном случае имеет SynFlood, поправьте, если не прав.

Вечный

Я, в общем, догадываюсь, как организовывается CTM. И даже представляю, как оно нейтрализуется. Не всегда, конечно, но тут уж больше аппаратные проблемы, чем человеческие...

Это все же больше социальная проблема. Разве уверенные в себе успешные люди будут кого-то ддосить? Пионеры только.

DedjeL · Сообщение **DedjeL** » 09 янв 2012, 14:23

про ссун флоод я и говорю может вы выложите настройки ип таблес сюда в форум для общего пользования ?

mariner · Сообщение **mariner** » 09 янв 2012, 14:25

Ты же на нас в МВД собрался писать. Зачем помогать такому редиске?

Meloun, а как ты смотришь на то, чтобы использовать хаб в связке с ipset (или netgraph в твоем случае)?

Saymon · Сообщение **Saymon** » 09 янв 2012, 14:27

И да, подумал бы. За какие такие заслуги могут тебя ддосить? За просто так я думаю оно нафиг никому не нужно.

DedjeL · Сообщение **DedjeL** » 09 янв 2012, 14:29

mariner писал(а):Ты же на нас в МВД собрался писать. Зачем помогать такому редиске?

я передумал простите

Вечный

И ддосят ли тебя. Или ты так, понятия путаешь?

DedjeL · Сообщение **DedjeL** » 09 янв 2012, 14:30

скриншоты я не магу показать

Meloun · Сообщение **Meloun** » 09 янв 2012, 14:31

mariner писал(а):У многих провайдеров до сих пор NAT. Как собираешься это обходить?

На время атаки это самый простой и один из действенных способов защиты. Чем-то приходится жертвовать. Более того правила фаервола можно написать так, что некоторые подсети провайдеров, которые мапятся через НАТ можно не лимитировать. Тут уже всё зависит от "прокладки"

Вечный писал(а):Это все же больше социальная проблема. Разве уверенные в себе успешные люди будут кого-то ддосить? Пионеры только.

Один такой "пионер" может здорово поднасрать "уверенным в себе". Защищаться от "убогих" надо всегда, в эру информационных технологий любое "чмо" мнит себя суперменом в интернетах...

Saymon · Сообщение **Saymon** » 09 янв 2012, 14:32

DedjeL писал(а):я передумал простите

Хм. Я так понимаю, ты и есть тот самый Трансформерс? После своих срачей ты просишь ещё помощи у нас? Марш гуглить!

Вечный

Не пускайте детей в интернет. От детей интернет тупеет.

Защищаться от "убогих" надо всегда

Согласен. Приведу несколько не тематический пример. Научились же жить с терроризмом. В Москве теперь пакет не поставишь дальше, чем в 10 сантиметрах от себя, спрашивают: это ваш?

Это я к чему? К тому, что защита проще, чем кажется.

Meloun · Сообщение **Meloun** » 09 янв 2012, 14:44

mariner писал(а): Meloun, а как ты смотришь на то, чтобы использовать хаб в связке с ipset (или netgraph в твоем случае)?

На своём хабе я уже реализовал "вызов функций API" которые срабатывают при обнаружений всех известных мне в настоящий момент методов "загнуть" хаб. Там нечто вроде событийно-вероятностной системы работает представленных в виде уравнений с настраиваемыми коэффициентами. Однако еще не разрабатывал "связку" между фаерволом и хабом, пока только хаб просто логирует попытки атак и одновременно я опытным путем подбираю оптимальные коэффициенты. В моём случае юзается фаервол ipfw вынесенный на машину-бордер, связку планирую делать в виде скрипта на бордере который будет вызываться через syslogd, парсить сообщения логов и добавлять IP в таблицу запрещенных. Соответственно передача сообщений между машиной с хабом и машиной с фаерволом посредством штатного syslogd.

Как-то так.

mariner · Сообщение **mariner** » 09 янв 2012, 15:10

ipfw

А уверен, что это эффективно? Просто вот банально в линуксах iptables не советуюется юзать при большом кол-ве айпи, и стоит юзать ipset. В bsd для аналогичной функции по имее служит нетграф.

Meloun · Сообщение **Meloun** » 09 янв 2012, 15:10

Логи срабатываний (система еще на этапе обучения):

Код: Выделить всё

[2012-01-05 23:08:34] Flood protocol messages from: 83.90.xxx.xxx:52167
[2012-01-05 23:09:36] User xxxxx flooding DC protocol command Type 4 (1-SR, 2-Srch,Info, 3-Connect, 4-Other) from: 83.90.xxx.xxx:52359
[2012-01-06 20:05:25] DoS attack detected from: 94.242.xxx.xxx
[2012-01-08 20:22:57] User xxxxx flooding DC protocol command Type 3 (1-SR, 2-Srch,Info, 3-Connect, 4-Other) from: 10.171.xxx.xxx:59922
[2012-01-08 21:56:49] User xxxxxx flooding DC protocol command Type 2 (1-SR, 2-Srch,Info, 3-Connect, 4-Other) from: 10.171.xxx.xxx:3822

mariner писал(а):В bsd для аналогичной функции по имее служит нетграф.

Нетграф это просто сетевая подсистема на основе графов, там есть ноды и связи. В качестве нодов могут быть сетевые карты, фаерволы и другие программные модули специально написанные для взаимодействия через нетграф. Далее система их взаимодействия конфигурируется скриптами где указываются как и куда цепять "хуки".

В БСД самым быстрым фаерволом считается ipfilter (как раз как сравнивать iptables и ipset). Однако функционал этих "быстрых" фаерволов скуднее, их задача с минимумом обработок как можно быстрее переправить пакет. Лимитирование коннектов там сделать помоему нельзя.

То какой фаервол лучше использовать зависит от сетевой архитектуры, требуемых задач и потока трафика. Универсального решения не существует, также как и не существует панацеи от мощного ДДоСа. Благо что у ДЦ пионеров нет таких ботнетов чтобы устроить большой звездец.

mariner · Сообщение **mariner** » 09 янв 2012, 15:31

Благо что у ДЦ пионеров нет таких ботнетов чтобы устроить большой звездец.

К счастью!

как раз как сравнивать iptables и ipset

Но ведь ipset не есть фаерволл. Это лишь , считай, база данных с IP.

ну и лимитирование в iptables таки есть