OVH Community, your new community space.

Problema DDoS


EvolutionCrazy
24.04.2013, 18.45
vedendo il grafico direi che per evitar sospensione del dedicato io fossi in te farei attenzione anche alle risposte... occhio ai syn cookies...
torpado
24.04.2013, 16.17
Citazione Originariamente Scritto da tia08
1) E' l'ip di default fornito al dedicato (non abbiamo ip di failover)
2) No è una macchina fisica freebsd
3) Facendo un tcpdump sulla em0.
ok grazie per i dettagli, si tratta di traffico di scarto, questo articolo interessante può farti capire meglio di cosa si tratta :

http://blog.usu.edu/security/2010/08...-dos-the-game/

the attackers send a flood of requests to innocent servers. These requests have a single forged source IP. The target victim is at the forged source IP. This kind of indirect or ‘echo’ attack works with both TCP and UDP services.

The victim server will attempt to reply to each of these requests. These replies go to the random IP addresses. These replies are called Backscatter. The attacker doesn’t see or care about the replies. The attacker is just trying to drown the victim in a sea of bogus traffic.

Every IP address in the world sometimes receives backscatter packets. DoS attacks are so pervasive that every usable IP address is usually spoofed, sometimes multiple times a day. Since backscatter is a network anomaly, most good firewalls discard it without comment.
tia08
24.04.2013, 13.33
Citazione Originariamente Scritto da torpado
Puoi fornire qualche informazione in più sul tuo dedicato :

-> my_ip è l'ip fisso del server oppure un failover ?
-> ci sono delle VM ?
-> a quale livello del server logghi questa attività?
1) E' l'ip di default fornito al dedicato (non abbiamo ip di failover)
2) No è una macchina fisica freebsd
3) Facendo un tcpdump sulla em0.
torpado
24.04.2013, 09.30
Citazione Originariamente Scritto da tia08
Ciao a tutti,

Da qualche giorno ormai ricevo attacchi sul mio server dedicato con richieste di questo tipo (a migliaia):

Codice:
17:15:19.267464 IP XXX.XXX.XXX.XXX > my_ip: ICMP time exceeded in-transit, length 36
 ...
Ovviamente ho già un firewall software (pf con FreeBSD9.1) dove blocco tutto in entrata a parte la portra 80 e quella del ssh.

Posso fare ancora qualcosa io a livello di firewall software? La banda occupata e molto elevata, sopra i 60MBit/s in download.
Puoi fornire qualche informazione in più sul tuo dedicato :

-> my_ip è l'ip fisso del server oppure un failover ?
-> ci sono delle VM ?
-> a quale livello del server logghi questa attività?
tia08
23.04.2013, 16.46
Ciao a tutti,

Da qualche giorno ormai ricevo attacchi sul mio server dedicato con richieste di questo tipo (a migliaia):

Codice:
17:15:19.267464 IP XXX.XXX.XXX.XXX > my_ip: ICMP time exceeded in-transit, length 36
    17:15:19.325217 IP XXX.XXX.XXX.XXX > my_ip: ICMP time exceeded in-transit, length 36
    17:15:19.345561 IP XXX.XXX.XXX.XXX > my_ip: ICMP time exceeded in-transit, length 56
    17:15:19.484865 IP XXX.XXX.XXX.XXX > my_ip: ICMP time exceeded in-transit, length 36
    17:15:19.529616 IP XXX.XXX.XXX.XXX > my_ip: ICMP time exceeded in-transit, length 36
    17:15:19.957058 IP XXX.XXX.XXX.XXX > my_ip: ICMP YYY.YYY.YYY.YYY tcp port 39692 unreachable, length 36
    17:15:19.968957 IP XXX.XXX.XXX.XXX > my_ip: ICMP host YYY.YYY.YYY.YYY unreachable, length 56
    17:15:20.112520 IP XXX.XXX.XXX.XXX > my_ip: ICMP host YYY.YYY.YYY.YYY unreachable, length 56
    17:15:20.203199 IP XXX.XXX.XXX.XXX > my_ip: ICMP host YYY.YYY.YYY.YYY unreachable, length 36
    17:15:20.204803 IP XXX.XXX.XXX.XXX > my_ip: ICMP host YYY.YYY.YYY.YYY unreachable, length 36
Ovviamente ho già un firewall software (pf con FreeBSD9.1) dove blocco tutto in entrata a parte la portra 80 e quella del ssh.

Posso fare ancora qualcosa io a livello di firewall software? La banda occupata e molto elevata, sopra i 60MBit/s in download.

http://oi37.tinypic.com/23iyp9s.jpg