The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Несколько вопросов по DDoS"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Информационная безопасность (Public)
Изначальное сообщение [ Отслеживать ]

"Несколько вопросов по DDoS"  +1 +/
Сообщение от nops email(ok) on 15-Дек-09, 19:23 
Друзья! Всем привет!

Имеем CentOS 5.2 на нём поднят биллинг и хостинг.

Вопрос в следующем.
Есть сервер, на нём хостится 8 сайтов, 3 домена 2-го уровня, а остальные субдомены каждого из верхнего уровня.
Есть подозрение, что мой сервак атакуют, а именно DDoS.
У меня сначала возрастают пинги с 50мс до 400-600мс и даже до 2000 мс. Так он держится минут 10-15 и потом не отвечает. У меня написан скрипт, если не пингуется IP-адрес в сети интернет, то сервак сам идёт в перезагрузку.
Спустя время, от 5 минут до нескольких часов сервер наконец-то начинает отвечать, и с нормальными пингами от 30 до 60 мс.

Вопрос в следующем, как определить что именно произошло с сервером, почему он перестал отвечать, и если подтвердится что это DDoS, то как определить какой именно домен атакуют...

Заранее благодарен.

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Несколько вопросов по DDoS"  +/
Сообщение от Michael (??) on 15-Дек-09, 19:33 

>Вопрос в следующем, как определить что именно произошло с сервером, почему он
>перестал отвечать,

tcpdump, trafshow, смотреть логи


> как определить >какой именно домен атакуют...

никак. только перекидывать домены по одному на другой сервер и следить за изменениями


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Несколько вопросов по DDoS"  +/
Сообщение от Michael (??) on 15-Дек-09, 19:34 

>
>> как определить >какой именно домен атакуют...
>
>никак. только перекидывать домены по одному на другой сервер и следить за
>изменениями

если валят http запросами, то можно посмотреть логи
но судя по симптомам - это не ваш случай

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Несколько вопросов по DDoS"  +/
Сообщение от nops email(ok) on 15-Дек-09, 20:03 

>tcpdump, trafshow, смотреть логи

А где посмотреть эти логи? tcpdump.log(по логике) отсутствует, tcpdump есть только в /usr/sbin
trafshow вообще не найден на сервере.
Что и где рыть, не могу понять....

>никак. только перекидывать домены по одному на другой сервер и следить за
>изменениями

а если нет возможности перекидывать домены на другой сервер? Есть один IP. может просто заблокировать dns запись? чтобы домен не разрешался? Это как вариант....

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Несколько вопросов по DDoS"  +/
Сообщение от Pahanivo email(ok) on 16-Дек-09, 08:37 
>А где посмотреть эти логи? tcpdump.log(по логике) отсутствует, tcpdump есть только в
>/usr/sbin

продолжатель дела петросяна? ))
man tcpdump


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Несколько вопросов по DDoS"  +/
Сообщение от nops email(ok) on 16-Дек-09, 12:17 
>продолжатель дела петросяна? ))
>man tcpdump

Нет, просто я ещё очень слаб в Linux.
Поэтому и спрашиваю.....

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Несколько вопросов по DDoS"  +/
Сообщение от linuxgid (ok) on 17-Дек-09, 13:34 
по личному опыту скажу - да, это ДДоС.
Я сам не знаю как бороться с ддос атаками, потому я нанимал человека для борьбы с этой проблемой...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Несколько вопросов по DDoS"  +/
Сообщение от nops email(ok) on 18-Дек-09, 07:35 
>по личному опыту скажу - да, это ДДоС.
>Я сам не знаю как бороться с ддос атаками, потому я нанимал
>человека для борьбы с этой проблемой...

А не подскажешь что он сделал? помет поглядишь, что поменял, что добавил.....

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Несколько вопросов по DDoS"  +/
Сообщение от nops email(ok) on 24-Дек-09, 05:56 
Друзья! У меня сейчас вообще вызывает подозрение что это DDoS.
Машинка, на которой всё это крутиться, она и шлюз и хостинг.
Смотрю по биллинговой системе, запросов и пакетов, перед падением, не много.  
вот скрин: http://www.novour.com/3.jpg
Почему тогда сер уходит в даун, умане приложу.

Помогите плиззззз разобраться.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Несколько вопросов по DDoS"  +/
Сообщение от Slavaz (ok) on 24-Дек-09, 12:00 
>Друзья! У меня сейчас вообще вызывает подозрение что это DDoS.
>Машинка, на которой всё это крутиться, она и шлюз и хостинг.
>Смотрю по биллинговой системе, запросов и пакетов, перед падением, не много.
>вот скрин: http://www.novour.com/3.jpg
>Почему тогда сер уходит в даун, умане приложу.
>
>Помогите плиззззз разобраться.

Там один из подозрительных адресов 77.88.25.28
набираешь в комстроке

whois 77.88.25.28

Ищешь "Network security issues:". После двоеточия будет емайл.

Пишешь жалобу на указанный емайл с доказательствами своей правоты. Всё. Процентов 99, что это участник ботнета :)

А вообще можешь закрыть порт 65535, если есть права на такое...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Несколько вопросов по DDoS"  +/
Сообщение от nops email(ok) on 24-Дек-09, 13:47 

>А вообще можешь закрыть порт 65535, если есть права на такое...

Если честно, то я в фаерволе закрыл этот порт, но на него всё равно сыпется трафик.............

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Несколько вопросов по DDoS"  +/
Сообщение от nops email(ok) on 24-Дек-09, 13:48 

>Там один из подозрительных адресов 77.88.25.28

Этот адрес принадлежит поисковому боту Яндекса spider33.yandex.ru вот кто это.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Несколько вопросов по DDoS"  +/
Сообщение от Slavaz (ok) on 24-Дек-09, 15:35 
>>Там один из подозрительных адресов 77.88.25.28
>Этот адрес принадлежит поисковому боту Яндекса spider33.yandex.ru вот кто это.

Гхм... поисковый паук ложит сервак? Что-то не так с сайтом (слишком тяжеловесный?).

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Несколько вопросов по DDoS"  +/
Сообщение от Александр Лейн email on 05-Янв-10, 04:20 
а человек в здравом уме будет все ставить на одну машину?? не кажется ли вам, что это уже слишком? vmware esxi и каждую машину на отдельный хост. снорт+ эйсид тоже запретила церковь??? поюзайте снорта, он прояснит ситуацию во многом, даже картинку покажет. и графики построит.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру