Как защититься от DDos-атак!

Zeratul

Zeratul

Создатель
Регистрация
17 Мар 2006
Сообщения
1.321
Реакции
5.595
В общем я отлдично знаю что на данном форуме сидят бывалые хостеры, и администраторы немаленьких варезников.
Варезники и хостинг не редко становяться жертвами DDos атак..

Это жутко мешает жить и работать.

В общем интересны способы защиты от таких "нехороших" людей. ;)

Особено интересует для *NIX ОС.

В общем делимся опытом.
 
в основном этим занимается сюппорт хостинга и защита на уровне оборудования до сервера
 
almaz_a написал(а):
в основном этим занимается сюппорт хостинга и защита на уровне оборудования до сервера
Нажмите для раскрытия...
Действительно, ведь уязвимость возникает из-за устаревшего програмного обеспечения, а этим занимается хостинг-провадер.
 
D.e.M.o.N.i.X написал(а):
Действительно, ведь уязвимость возникает из-за устаревшего програмного обеспечения, а этим занимается хостинг-провадер.
Нажмите для раскрытия...
не только просто хостер может разрулить ещё до сервера
 
Вобщем как бороться с ламерами ддосерами.

Значит, ваш сайт задосили. Вы себя херово чуствуете. Вы хотите убить ДДоСера который уничтожил ваш сайт. Не проблема!!

Нам понадобится ...
  • Логи ддоса
  • мИРЦ // не обезательно
  • IRIS Sniffer
  • Пару сплойтов
  • Ну у мазги **х!

И так, у вас есть логи. Скажем с них ты выдрал IPшники: 231.32.32.411, 4.5.6.7, 6.7.8.9, 12.13.14.15, 23.24.25.26. Окей. Не проблема. Теперь у нас есть 50/50 шанс того что эти машины были зомбированы с помощью любого бота типа пхатБот, ериксБот и другие кул-хацкерские боты.

Значит нам прежде всего нужны сплойты для LSASS, PnP, DCOM135, DCASS . Их можно найти на секлабе - securitylab

Прежде всего, мы берем эти IP и поочереди проверяем их на дырявость сплойтами. Если вам удалось войти в систему - считайте что Вы уже уничтожили пол-кулхакера. Теперь нам надо поставить rAdmin или любую другую тулузу remote administrating. Поставили, запустили и готово.

Теперь вам надо подключится рАдмином к машине, и дождатся полного затишья на ней. Тоесть что бы там никого не было. После чего вызовите Task Manager и посмотрите на подозрительные проги типа ezkiyeq.exe , svcroot.exe, update001.exe, winupdt0.exe etc...

Найдите этот файл. Скопируйте к себе и плюньте на ту тачку. Теперь вам надо будет протроянить самих себя. Вам нужен будет IRIS Sniffer. Запускайте сниффер, выставляйте снифф-фильтр на слова USER IRC SERVER NICK IDENT 6667 и активируйте сниффер. После чего запускайте трой и следите за сниффом. Он вам скажет что происходит - куда трой коннектится, на какой канал заходит.

Впринципе этой инфы достаточно что бы отрапортавать ФБР, или ФСБ. Просто напишите им письмо.. После чего сеть пропадет Фот фаша месть пришла гыгы

Для извратов, попробуйте подключится к серверу юзая мирку и зайти на тот канал. Если его mode не +m, то вам повезло smile.gif Главное изначально прикинутся ботом. Ждите комманд от ботовода. Когда он пошлет что то типа .login mylamepassword, набирите тоже самое и наберите .remove smile.gif
. - место . может быть ! @ # $ % ^ & * ( ) ` etc ...

Главное юзайте прокси. .remove уничтожит весь его ботнет (ботовода).

Вобщем деразайти...
 
GoNZo написал(а):
Вобщем как бороться с ламерами ддосерами.
...
Впринципе этой инфы достаточно что бы отрапортавать ФБР, или ФСБ. Просто напишите им письмо.. После чего сеть пропадет Фот фаша месть пришла гыгы
...
Вобщем деразайти...
Нажмите для раскрытия...
это надо изначально делать совместно с органами и хостером или органы заинтересуются вами после отчёта о сети ботов ;)

ещё вариант - хостинг на двух дедиках, один из которых файрвол прокся которая natp на второй, а второй именно вебсервер и если что до обоих можно достучаться и сразу собрать инфы нужной ;)
 
GoNZo написал(а):
Вобщем как бороться с ламерами ддосерами.

Значит, ваш сайт задосили. Вы себя херово чуствуете. Вы хотите убить ДДоСера который уничтожил ваш сайт. Не проблема!!

Нам понадобится ...
  • Логи ддоса
  • мИРЦ // не обезательно
  • IRIS Sniffer
  • Пару сплойтов
  • Ну у мазги **х!

И так, у вас есть логи. Скажем с них ты выдрал IPшники: 231.32.32.411, 4.5.6.7, 6.7.8.9, 12.13.14.15, 23.24.25.26. Окей. Не проблема. Теперь у нас есть 50/50 шанс того что эти машины были зомбированы с помощью любого бота типа пхатБот, ериксБот и другие кул-хацкерские боты.

Значит нам прежде всего нужны сплойты для LSASS, PnP, DCOM135, DCASS . Их можно найти на секлабе - securitylab

Прежде всего, мы берем эти IP и поочереди проверяем их на дырявость сплойтами. Если вам удалось войти в систему - считайте что Вы уже уничтожили пол-кулхакера. Теперь нам надо поставить rAdmin или любую другую тулузу remote administrating. Поставили, запустили и готово.

Теперь вам надо подключится рАдмином к машине, и дождатся полного затишья на ней. Тоесть что бы там никого не было. После чего вызовите Task Manager и посмотрите на подозрительные проги типа ezkiyeq.exe , svcroot.exe, update001.exe, winupdt0.exe etc...

Найдите этот файл. Скопируйте к себе и плюньте на ту тачку. Теперь вам надо будет протроянить самих себя. Вам нужен будет IRIS Sniffer. Запускайте сниффер, выставляйте снифф-фильтр на слова USER IRC SERVER NICK IDENT 6667 и активируйте сниффер. После чего запускайте трой и следите за сниффом. Он вам скажет что происходит - куда трой коннектится, на какой канал заходит.

Впринципе этой инфы достаточно что бы отрапортавать ФБР, или ФСБ. Просто напишите им письмо.. После чего сеть пропадет Фот фаша месть пришла гыгы

Для извратов, попробуйте подключится к серверу юзая мирку и зайти на тот канал. Если его mode не +m, то вам повезло smile.gif Главное изначально прикинутся ботом. Ждите комманд от ботовода. Когда он пошлет что то типа .login mylamepassword, набирите тоже самое и наберите .remove smile.gif
. - место . может быть ! @ # $ % ^ & * ( ) ` etc ...

Главное юзайте прокси. .remove уничтожит весь его ботнет (ботовода).

Вобщем деразайти...
Нажмите для раскрытия...
Вообще за статейку спасибо. НО.

Я хочу услышать мнения хостеров.
Тех кто держит сервера. :)
 
Zeratul написал(а):
Вообще за статейку спасибо. НО.

Я хочу услышать мнения хостеров.
Тех кто держит сервера. :)
Нажмите для раскрытия...
Мну последние три дня не ддосили, но флудили. Нагрузка на сервера была 15-20 o_0. Поставил ddos_deflate, apf + bfd. Нагрузка упала до нормальных 0.20-0.50. Сейчас вроде прекратили детсад. Как потом выяснилось вышеуказанные методы - это самая простая, пассивная скажем так защита, но мне помогла.
 
Cisco Systems, это уже как эталон, особенно по части апаратных пакетных фильтров - позволяет ограничивать нежелательный входящий траффик =) но и без навороченых роутеров ос FreeBSD имеет все инструменты в комплекте, для того, что бы сервер стоял ка непотопляемый исминец.
на самом сервере IDS snort + ipfw (заточеный под прямые руки)
ну и как минимум ядро bsd должно быть скомпилено с опцией drop syn fin ;) другие рекомендации можно найти на opennet и других ресурсах :tcl:
 
Кто еще что предложит? как защить VPS от ддоса??? + стоит ограничения по траику! и сжирает сразу! Подскажите как защититься?
 
Войдите или зарегистрируйтесь для ответа.
Назад
Сверху