emanuelebruno
20.07.2012, 09.45
Ciao a tutti, gli attacchi sono terminati ma la soluzione che ho trovato è stata la seguente:
darkstat
Il tipo di attacco che subivo non era risolvibile semplicemente mettendo un firewall (io uso ZeroShell) in quanto quello che facevano era di saturare tutta la banda del server e poichè l'unico modo che avevo per combatterli era quello di loggare gli ip degli *ATTACCANTI* ho installato darkstat che fa proprio al caso mio... fortunatamente il tipo dell'attacco DoS forse ha capito che a questo punto era meglio ritirarsi
http://warriorteam.it/distribution/v...26643ff#p12178 .
Intallare un firewall su una VM può aiutare a debellare attacchi su applicazione web ma può rallentare il tempo di risposta se ci sono troppi inoltri di pacchetti tra IP interni..
tcpdump è il comando linux per catturare l'intero traffico del server.
tcptrack (compillo da sorgente) è più semplice e da meno informazioni ma riesci a tenere sotto controllo le connessioni.
Che tipo di attacco DoS è?
su applicazione (quindi manda in overload il server saturando cpu e ram)
oppure su rete (saturando la porta ethernet raggiungendo i massimi pacchetti al secondo)
In base a quesst'ultima risposta c'è una soluzione diversa.
Ciao!
Ho avuto anch'io problemi del genere (non su OVH) ed ho risolto mettendo tra la rete e i server un Firewall. Precisamente ho configurato un Server con Endian Firewall (Community nel mio caso) a cui ho collegato tutti gli IP di cui avevo bisogno (2 per ogni VPS). Dopo averlo fatto, ho collegato i VPS con un Virtual Switch ed ho assegnato ad ogni VPS circa 25 IP (sempre del Virtual Switch. Es: 192.168.0.1, 192.168.0.2, ecc...). Nelle impostazioni di Endian ho fatto una specie di Load Balancing verso i 25 IP e così tutto è sembrato risolto.
Fammi sapere
emanuelebruno
08.07.2012, 19.31
Sono un utente Proxmox con un server Proxmox con la seguente configurazione: Intel i7, 24 GB, Hard disk 2 TB, 1 indirizzo IP primario, e 4 ip failover.
Qualcuno sta attaccando uno degli ip failover, saturando tutta la banda del server. Il mio fornitore dice che non può fare nulla senza log, e consiglia di utilizzare un firewall ... Io uso ZeroShell sull' ip che si trova sotto attacco, ma non so come fare il log di questi attacchi: Zeroshell mi consente di fare il log di tutte le connessioni instaurate (che nel mio caso significa di tutte le connessioni autorizzate)-
Purtroppo, anche se ho un firewall,questo non risolve il mio problema perché la saturazione di banda non può essere risolto dal firewall: il mio fornitore dice che l'unica soluzione consiste nel disattivare l'IP durante l'attacco, ma ciò mi comporta di mettere fuori usi il server di posta elettronica, il server voip, e il server web!
E 'possibile fare un log di tutto il traffico, dell'indirizzi MAC ,degli indirizzi IP, ecc .. dell'interfaccia ip durante un attacco?
Per abilitare l'interfaccia ip attaccata, io uso questo comando:
ip route add IP.FAIL.OVER dev vmbr1
Per disabilitare l'interfaccia ip attaccato, io uso questo comando:
ip route del IP.FAIL.OVER dev vmbr1
Spero che qualcuno mi possa aiutare ...