Kom ihåg mig?
Home Menu

Menu


Hur kommer min server stå sig mot denna DDoS-attack med 1 Gbps?

 
Ämnesverktyg Visningsalternativ
Oläst 2013-03-23, 16:37 #1
Dakotas avatar
Dakota Dakota är inte uppkopplad
Har WN som tidsfördriv
 
Reg.datum: Nov 2009
Inlägg: 1 298
Dakota Dakota är inte uppkopplad
Har WN som tidsfördriv
Dakotas avatar
 
Reg.datum: Nov 2009
Inlägg: 1 298
Citat:
Ursprungligen postat av patrikweb Visa inlägg
Google säger att en spelare drar mellan 0.25-0.40Mbit på MC, vissa hävdar ännu lägre.

Men om man filtrerar ner till 0.5Mbit per IP så klara du attack från runt 200 IP på 100Mbit och runt 2000 på 1Gbit.

I praktiken, lite mindre i verkligheten. Nu vet jag inte hur många IP attack kommer ifrån men går ju räkna på.
Intressant, räknas ett IP med olika portar som olika IP:n? t.ex 123.444.555:1234 för jag såg att många anslutningar kom från samma IP men olika ändelse. Hur skulle det filtreras ner?
Dakota är inte uppkopplad   Svara med citatSvara med citat
Oläst 2013-03-23, 16:47 #2
patrikweb patrikweb är inte uppkopplad
Klarade millennium-buggen
 
Reg.datum: Nov 2004
Inlägg: 6 096
patrikweb patrikweb är inte uppkopplad
Klarade millennium-buggen
 
Reg.datum: Nov 2004
Inlägg: 6 096
Citat:
Ursprungligen postat av Dakota Visa inlägg
Intressant, räknas ett IP med olika portar som olika IP:n? t.ex 123.444.555:1234 för jag såg att många anslutningar kom från samma IP men olika ändelse. Hur skulle det filtreras ner?
Ett IP är ett IP, vilka portar spelar ingen roll om du sätter på IP nivå.

Dock har du en fördel om botnät skickar från flera portar hela tiden från samma IP, vilket är helt avvikande mönster från hur en normalt MC klient funkar.

Vilket du i praktiken kan bygga ett filter som från det mönster.
patrikweb är inte uppkopplad   Svara med citatSvara med citat
Oläst 2013-03-23, 16:52 #3
Dakotas avatar
Dakota Dakota är inte uppkopplad
Har WN som tidsfördriv
 
Reg.datum: Nov 2009
Inlägg: 1 298
Dakota Dakota är inte uppkopplad
Har WN som tidsfördriv
Dakotas avatar
 
Reg.datum: Nov 2009
Inlägg: 1 298
Citat:
Ursprungligen postat av patrikweb Visa inlägg
Ett IP är ett IP, vilka portar spelar ingen roll om du sätter på IP nivå.

Dock har du en fördel om botnät skickar från flera portar hela tiden från samma IP, vilket är helt avvikande mönster från hur en normalt MC klient funkar.

Vilket du i praktiken kan bygga ett filter som från det mönster.
Väldigt värdefulla svar. Jag får försöka hitta en lösning baserat på det du skriver. Har du något exempel på hur man blockerar UDP paket över en viss storlek via iptables??
Dakota är inte uppkopplad   Svara med citatSvara med citat
Oläst 2013-03-23, 16:56 #4
patrikweb patrikweb är inte uppkopplad
Klarade millennium-buggen
 
Reg.datum: Nov 2004
Inlägg: 6 096
patrikweb patrikweb är inte uppkopplad
Klarade millennium-buggen
 
Reg.datum: Nov 2004
Inlägg: 6 096
Citat:
Ursprungligen postat av Dakota Visa inlägg
Väldigt värdefulla svar. Jag får försöka hitta en lösning baserat på det du skriver. Har du något exempel på hur man blockerar UDP paket över en viss storlek via iptables??
iptables -A INPUT -p udp -m length --length XX -j DROP

något sådant, du får köra tcpdump för kolla längden på udp paketen. Dock bör du köra output till fil på servern och inte ut till console.
patrikweb är inte uppkopplad   Svara med citatSvara med citat
Oläst 2013-03-23, 18:43 #5
Dakotas avatar
Dakota Dakota är inte uppkopplad
Har WN som tidsfördriv
 
Reg.datum: Nov 2009
Inlägg: 1 298
Dakota Dakota är inte uppkopplad
Har WN som tidsfördriv
Dakotas avatar
 
Reg.datum: Nov 2009
Inlägg: 1 298
Citat:
Ursprungligen postat av patrikweb Visa inlägg
iptables -A INPUT -p udp -m length --length XX -j DROP

något sådant, du får köra tcpdump för kolla längden på udp paketen. Dock bör du köra output till fil på servern och inte ut till console.
När jag skrev tcpdump så börjades SSH-fönstret spammas och det höll på så tills jag manuellt stängde ner fönstret. Lenght står som 0 på allt jag kunde se. Vad ska jag göramed tcpdump?
Dakota är inte uppkopplad   Svara med citatSvara med citat
Oläst 2013-03-23, 20:02 #6
patrikweb patrikweb är inte uppkopplad
Klarade millennium-buggen
 
Reg.datum: Nov 2004
Inlägg: 6 096
patrikweb patrikweb är inte uppkopplad
Klarade millennium-buggen
 
Reg.datum: Nov 2004
Inlägg: 6 096
Citat:
Ursprungligen postat av Dakota Visa inlägg
När jag skrev tcpdump så börjades SSH-fönstret spammas och det höll på så tills jag manuellt stängde ner fönstret. Lenght står som 0 på allt jag kunde se. Vad ska jag göramed tcpdump?
Jag skrev att du inte skulle skicka output till console, samt du får göra mer verbose tcpdumpt med.

Du har 2 length från tcpdump, ena totala length räknat med allt. Dock har du endast syn / ack etc visas ena length som 0 i tcpdump då du har 0 data på TCP.

Exempel:

20:01:50.529322 IP (tos 0x0, ttl 61, id 1439, offset 0, flags [DF], proto TCP (6), length 64)
XX.XX.XX.190.59066 > XX.XX.XX.148.ntp: Flags [S], cksum 0x9abf (correct), seq 959303670, win 65535, options [mss 1268,nop,wscale 4,nop,nop,TS val 1135168592 ecr 0,sackOK,eol], length 0

Ett synpaket, där visas det 0 som ena length då det inte var någon data i TCP paketet, men totala längden för IP paketet är 64.
patrikweb är inte uppkopplad   Svara med citatSvara med citat
Oläst 2013-03-23, 22:22 #7
Dakotas avatar
Dakota Dakota är inte uppkopplad
Har WN som tidsfördriv
 
Reg.datum: Nov 2009
Inlägg: 1 298
Dakota Dakota är inte uppkopplad
Har WN som tidsfördriv
Dakotas avatar
 
Reg.datum: Nov 2009
Inlägg: 1 298
Citat:
Ursprungligen postat av patrikweb Visa inlägg
Jag skrev att du inte skulle skicka output till console, samt du får göra mer verbose tcpdumpt med.

Du har 2 length från tcpdump, ena totala length räknat med allt. Dock har du endast syn / ack etc visas ena length som 0 i tcpdump då du har 0 data på TCP.

Exempel:

20:01:50.529322 IP (tos 0x0, ttl 61, id 1439, offset 0, flags [DF], proto TCP (6), length 64)
XX.XX.XX.190.59066 > XX.XX.XX.148.ntp: Flags [S], cksum 0x9abf (correct), seq 959303670, win 65535, options [mss 1268,nop,wscale 4,nop,nop,TS val 1135168592 ecr 0,sackOK,eol], length 0

Ett synpaket, där visas det 0 som ena length då det inte var någon data i TCP paketet, men totala längden för IP paketet är 64.
Alltså jag förstår inte så mycket alls om det här.. Ska jag kolla längden på den "normala" trafiken eller den elaka? Jag kan inget om det här alls så jag kommer säkert med korkade frågor.
Dakota är inte uppkopplad   Svara med citatSvara med citat
Svara


Aktiva användare som för närvarande tittar på det här ämnet: 1 (0 medlemmar och 1 gäster)
 

Regler för att posta
Du får inte posta nya ämnen
Du får inte posta svar
Du får inte posta bifogade filer
Du får inte redigera dina inlägg

BB-kod är
Smilies är
[IMG]-kod är
HTML-kod är av

Forumhopp


Alla tider är GMT +2. Klockan är nu 03:28.

Programvara från: vBulletin® Version 3.8.2
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
Svensk översättning av: Anders Pettersson
 
Copyright © 2017