OVH Community, your new community space.

Bloccare attacchi cerco sistemista


thehostweb.com
28.02.2013, 19.52
Ciao contattami e vedr di risolverti il problema in modo definitivo.

Saluti

levisn1
02.02.2013, 21.50
Citazione Originariamente Scritto da technofab
Si anche se dovresti farlo durante un attacco...
Ecco il file:
http://www.mediafire.com/?iq259xo99pg3966

levisn1
02.02.2013, 20.58
Citazione Originariamente Scritto da technofab
Si anche se dovresti farlo durante un attacco...
ero sotto attacco, cmq ora sto scaricando il primo tcpdump perch ne ha fatti 6, ma penso basti il primo, stranamente la console era ancora viva e ho fatto partire il comando. Ora zippo e uppo.

technofab
02.02.2013, 20.55
Si anche se dovresti farlo durante un attacco...

levisn1
02.02.2013, 20.49
cmq ho fatto questa la risposta.

tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
^C16062466 packets captured
17032942 packets received by filter
970475 packets dropped by kernel

ora vado a vedere se ci sono log cosi li carico

levisn1
02.02.2013, 20.34
Citazione Originariamente Scritto da technofab
Si vedono le connessioni. il dump delle connessioni TCP. Cosi vediamo che succede.
se ti mando in pm il mio ts puoi venire?

technofab
02.02.2013, 20.28
Si vedono le connessioni. il dump delle connessioni TCP. Cosi vediamo che succede.

levisn1
02.02.2013, 19.52
Citazione Originariamente Scritto da EvolutionCrazy
che sistema operativo hai?

essenzialmente:
Codice:
mkdir dump ; chmod 777 dump ; cd dump
tcpdump -i eth0 -s 65535 -C 500 -w tcpdump
e lascialo andare un paio di minuti durante un attacco... quindi salvati il file risultante (tcpdump)... la dentro ci sono tutte le info per analizzare la situazione...
Ho centos. Allora il problema che quando mi attaccano, non facile accorgersene, perch non mi danno il tempo, non va nemmeno l'ssh. Mi arrivano picchi in entrata oltre i 300 a volte. Domani probabilmente che domenica non mancheranno di attaccare. Questo comando una sorta di log? in che modo pu essere utile?

EvolutionCrazy
02.02.2013, 14.18
che sistema operativo hai?

essenzialmente:
Codice:
mkdir dump ; chmod 777 dump ; cd dump
tcpdump -i eth0 -s 65535 -C 500 -w tcpdump
e lascialo andare un paio di minuti durante un attacco... quindi salvati il file risultante (tcpdump)... la dentro ci sono tutte le info per analizzare la situazione...

levisn1
02.02.2013, 14.05
Citazione Originariamente Scritto da MnEm0nIc
beh, se non fosse tagliato dovrebbe reggere la botta di ddos e mi pare che non sia cosi'...

vediamo che ci dice il tcpdump..
Ragazzi grazie delle risposte, davvero mi ridate un po di fiducia. Allora il server l'ho preso con ovh, ditemi che devo fare per favore, abbiamo installato anche killban ma nulla.

MnEm0nIc
30.01.2013, 09.31
Citazione Originariamente Scritto da EvolutionCrazy
boh, server ovh con le nuove politiche (200mbit) ne ho presi ma non li ho ancora mai trovati tagliati a 200mbit.

chiss che server (e dove) ha :|
beh, se non fosse tagliato dovrebbe reggere la botta di ddos e mi pare che non sia cosi'...

vediamo che ci dice il tcpdump..

EvolutionCrazy
30.01.2013, 08.43
Citazione Originariamente Scritto da MnEm0nIc
se sei "tagliato" a 200Mbit, c'e' poco da fare eh...
dovrebbe (non so se e' possibile, mi pare di si) comprare piu' banda per sopperire alla cosa...

in ogni caso, un bel tcpdump puo' aiutare...
boh, server ovh con le nuove politiche (200mbit) ne ho presi ma non li ho ancora mai trovati tagliati a 200mbit.

chiss che server (e dove) ha :|

Acidflame
29.01.2013, 22.15
Un servizio che potresti utilizzare questo

http://javapipe.com/web/security/ddos-mitigation/

Ne ho sentito parlare, ma sinceramente ancora non sono riuscito a provarlo. Naturalmente ha un costo, questo servizio dovrebbe proteggerti anche se l'attaccante ha banda superiore alla tua.

MnEm0nIc
29.01.2013, 22.11
Citazione Originariamente Scritto da EvolutionCrazy
parla di 300mbit su 200.... quindi sicuramente ha uplink gbit... contattami pure con un tcpdump e vediamo
se sei "tagliato" a 200Mbit, c'e' poco da fare eh...
dovrebbe (non so se e' possibile, mi pare di si) comprare piu' banda per sopperire alla cosa...

in ogni caso, un bel tcpdump puo' aiutare...

technofab
29.01.2013, 19.00
Citazione Originariamente Scritto da EvolutionCrazy
ok, per serve un tcpdump =)
Di sicuro, per osmosi l' dura

EvolutionCrazy
29.01.2013, 18.55
ok, per serve un tcpdump =)

technofab
29.01.2013, 18.52
Si potrebbe fare qui in "pubblico" modello howto, vista l'area... Io ci sto, a condividere esperienza.

EvolutionCrazy
29.01.2013, 18.46
parla di 300mbit su 200.... quindi sicuramente ha uplink gbit... contattami pure con un tcpdump e vediamo

MnEm0nIc
29.01.2013, 18.44
come gia' ti ha detto technofab, se l'attaccante ha una banda superiore a quella che hai disponibile, c'e' poco da fare, a meno di non aver "aiuto" da parte della farm.
anche il firewall hardware puo' poco, perche' e' vero che pulisce il traffico, ma ha sempre una banda inferiore a quella dell'attaccante.
come stanno ora le cose l'unica e' acquistare tagli di banda, sperando che l'attaccante non abbia banda a sufficienza.

se, invece, devi proteggere esclusivamente roba web (e non game server e quant'altro) puoi provare le soluzioni di cloudflare che, pur essendo delle CDN, hanno come effetto collaterale la mitigazione degli attacchi dDoS.

ciao

EvolutionCrazy
29.01.2013, 15.08
che servizi devi proteggere?

metti un tcpdump da qualche parte e vediamo di cosa si tratta

technofab
29.01.2013, 12.39
Dupende dall'attacco.. Senza banda superiore all'attaccante non serve. Im ogni caso chiedi pure..

levisn1
29.01.2013, 11.59
Come da titolo sono armai giorni che sono sotto attacco con picch di 300mb, sui miei 200. Visto che il supporto di ovh non ne vuole sapere di aiutarmi, e visti i costi per installare e mantenere un firewall, chiedo a voi se c' qualcuno davvero bravo disposto a darmi una mano. Ho gia installato apf e iptables ma fino ad ora nessun effetto, anche bloccando tutte le porte e lasciando aperte quelle ssh (cambiata) e quella del mio servizio, non siamo riusciti a bloccare questi attacchi, che si ripetono dalle 2.00 del pomeriggio fino alle 10 di sera. Se qualcuno bravo disposto davvero ad aiutarmi, anche a pagamento, benvenga.