Как защититься от DDos-атак!

Тема в разделе "Хостинг", создана пользователем Zeratul, 31 май 2006.

Модераторы: Aste, stooper
  1. Zeratul

    Zeratul Создатель

    Регистр.:
    17 мар 2006
    Сообщения:
    1.322
    Симпатии:
    3.857
    В общем я отлдично знаю что на данном форуме сидят бывалые хостеры, и администраторы немаленьких варезников.
    Варезники и хостинг не редко становяться жертвами DDos атак..

    Это жутко мешает жить и работать.

    В общем интересны способы защиты от таких "нехороших" людей. ;)

    Особено интересует для *NIX ОС.

    В общем делимся опытом.
     
  2. almaz_a

    almaz_a Постоялец

    Регистр.:
    8 апр 2006
    Сообщения:
    58
    Симпатии:
    4
    в основном этим занимается сюппорт хостинга и защита на уровне оборудования до сервера
     
  3. REALiSTiC

    REALiSTiC

    Регистр.:
    30 мар 2006
    Сообщения:
    354
    Симпатии:
    126
    Действительно, ведь уязвимость возникает из-за устаревшего програмного обеспечения, а этим занимается хостинг-провадер.
     
  4. e100sony

    e100sony Прохожие

    не только просто хостер может разрулить ещё до сервера
     
  5. GoNZo

    GoNZo Прохожие

    Вобщем как бороться с ламерами ддосерами.

    Значит, ваш сайт задосили. Вы себя херово чуствуете. Вы хотите убить ДДоСера который уничтожил ваш сайт. Не проблема!!

    Нам понадобится ...
    • Логи ддоса
    • мИРЦ // не обезательно
    • IRIS Sniffer
    • Пару сплойтов
    • Ну у мазги **х!

    И так, у вас есть логи. Скажем с них ты выдрал IPшники: 231.32.32.411, 4.5.6.7, 6.7.8.9, 12.13.14.15, 23.24.25.26. Окей. Не проблема. Теперь у нас есть 50/50 шанс того что эти машины были зомбированы с помощью любого бота типа пхатБот, ериксБот и другие кул-хацкерские боты.

    Значит нам прежде всего нужны сплойты для LSASS, PnP, DCOM135, DCASS . Их можно найти на секлабе - securitylab

    Прежде всего, мы берем эти IP и поочереди проверяем их на дырявость сплойтами. Если вам удалось войти в систему - считайте что Вы уже уничтожили пол-кулхакера. Теперь нам надо поставить rAdmin или любую другую тулузу remote administrating. Поставили, запустили и готово.

    Теперь вам надо подключится рАдмином к машине, и дождатся полного затишья на ней. Тоесть что бы там никого не было. После чего вызовите Task Manager и посмотрите на подозрительные проги типа ezkiyeq.exe , svcroot.exe, update001.exe, winupdt0.exe etc...

    Найдите этот файл. Скопируйте к себе и плюньте на ту тачку. Теперь вам надо будет протроянить самих себя. Вам нужен будет IRIS Sniffer. Запускайте сниффер, выставляйте снифф-фильтр на слова USER IRC SERVER NICK IDENT 6667 и активируйте сниффер. После чего запускайте трой и следите за сниффом. Он вам скажет что происходит - куда трой коннектится, на какой канал заходит.

    Впринципе этой инфы достаточно что бы отрапортавать ФБР, или ФСБ. Просто напишите им письмо.. После чего сеть пропадет Фот фаша месть пришла гыгы

    Для извратов, попробуйте подключится к серверу юзая мирку и зайти на тот канал. Если его mode не +m, то вам повезло smile.gif Главное изначально прикинутся ботом. Ждите комманд от ботовода. Когда он пошлет что то типа .login mylamepassword, набирите тоже самое и наберите .remove smile.gif
    . - место . может быть ! @ # $ % ^ & * ( ) ` etc ...

    Главное юзайте прокси. .remove уничтожит весь его ботнет (ботовода).

    Вобщем деразайти...
     
  6. e100sony

    e100sony Прохожие

    это надо изначально делать совместно с органами и хостером или органы заинтересуются вами после отчёта о сети ботов ;)

    ещё вариант - хостинг на двух дедиках, один из которых файрвол прокся которая natp на второй, а второй именно вебсервер и если что до обоих можно достучаться и сразу собрать инфы нужной ;)
     
  7. Zeratul

    Zeratul Создатель

    Регистр.:
    17 мар 2006
    Сообщения:
    1.322
    Симпатии:
    3.857
    Вообще за статейку спасибо. НО.

    Я хочу услышать мнения хостеров.
    Тех кто держит сервера. :)
     
  8. [/root.]

    [/root.] Он самый

    Регистр.:
    20 май 2006
    Сообщения:
    368
    Симпатии:
    59
    Мну последние три дня не ддосили, но флудили. Нагрузка на сервера была 15-20 o_0. Поставил ddos_deflate, apf + bfd. Нагрузка упала до нормальных 0.20-0.50. Сейчас вроде прекратили детсад. Как потом выяснилось вышеуказанные методы - это самая простая, пассивная скажем так защита, но мне помогла.
     
    alfaexpert нравится это.
  9. stooper

    stooper Shiva

    Moderator
    Регистр.:
    14 апр 2006
    Сообщения:
    535
    Симпатии:
    316
    Cisco Systems, это уже как эталон, особенно по части апаратных пакетных фильтров - позволяет ограничивать нежелательный входящий траффик =) но и без навороченых роутеров ос FreeBSD имеет все инструменты в комплекте, для того, что бы сервер стоял ка непотопляемый исминец.
    на самом сервере IDS snort + ipfw (заточеный под прямые руки)
    ну и как минимум ядро bsd должно быть скомпилено с опцией drop syn fin ;) другие рекомендации можно найти на opennet и других ресурсах :tcl:
     
  10. NFS_Group

    NFS_Group Scripts_MAN = )

    Регистр.:
    29 ноя 2006
    Сообщения:
    335
    Симпатии:
    145
    Кто еще что предложит? как защить VPS от ддоса??? + стоит ограничения по траику! и сжирает сразу! Подскажите как защититься?