Monitorowanie sieci

[bajamor]

Witam.
Na wstępie chcę powiedzieć, iż jestem początkującym użytkownikiem. Styczność z Debianem mam dopiero od trzech tygodni.
Do rzeczy, mam serwer dedykowany i system operacyjny Debian. Od pewnego czasu ktoś mnie nieźle ciśnie atakami DDoS, przynajmniej raz dziennie przeprowadza taki atak a że mam słabe łącze (100MB/s) to muszę robić restart maszyny gdyż wszystko całkowicie pada i nie mogę się połączyć ani przez putty, ani przez winscp.
Problem jest w tym, że nawet nie wiem kto te ataki przeprowadza i z jakiego IP gdyż nie mam pojęcia jak do tego dojść. Jak to sprawdzić? Trzeba instalować jakiś program do monitorowania sieci? Kiedyś coś czytałem o iptraf/tcpdump ale niewiele z tego wiem.
Pozdrawiam.

[grzesiek]

W zależności jakie masz usługi włącz szukaj w logach znajdujących się w katalogu /var/log/*
Wpierw trzeba ustalić na jaki serwer to jest skierowane, do tego może okazać się niezbędna odpowiednia konfiguracja zapory ogniowej.
Tak na szybko mogę ci tylko polecić regułę limitującą pakiety TCP z flagą SYN:

Kod: Zaznacz cały

iptables -I INPUT 1 -p tcp --syn -m limit --limit 1/s -m state --state NEW -j ACCEPT

Możesz ją po prostu wykonać - powinno pomóc.

[bajamor]

Jestem w katalogu /var/log ale nie bardzo wiem gdzie szukać logów z ataków na serwer?

Co do iptables to mam takie wykonane:

Kod: Zaznacz cały

iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

Kod: Zaznacz cały

[color=#000000][font=Arial]iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

Kod: Zaznacz cały

iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

Ale przed DDoS to nie chroni.

[grzesiek]

Nic dziwnego, bo te reguły dotyczą pakietów przekazywanych a nie kierowanych do serwera!
Co do drugiej przedstawionej przez ciebie reguły to limitowanie pakietów TCP z flagą RST w FORWARD to zły pomysł - może nawet spowalniać zwalnianie zasobów stosu TCP/IP! To tak jak być sam sobie DoS robił

[bajamor]

Dziękuję za informacje, w takim razie wpiszę tę regułę, którą napisałeś w pierwszym poście.

Te reguły iptables co podałem ponoć blokują

Kod: Zaznacz cały

 syn flood death of ping

Ale jeżeli twierdzisz, że niektóre z nich (wszystkie) są złe to mógłbyś jeszcze napisać jak te źle działające wyłączyć?
Pozdrawiam.

[grzesiek]

Kod: Zaznacz cały

iptables -D FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

Wystarczy wykonać tą - czyli usunąć ją. Dwie pozostałe chronią przed syn flood ale sieć wewnętrzną lub jeżeli masz DMZ.
Gdybyś wiedział na jaki port sa kierowane te ataki można by użyć modułu recent, który blokuje "złych gości" - przynajmniej dopóki nie przestaną być źli w określonym czasie

[db]

Przy pakietowaniu z dużej rury na końcówce można zrobić niewiele. Problem przy DDOSie jest taki, że zazwyczaj jest skuteczny w momencie, kiedy pakiet dojdzie do serwera. Można stosować nullrouting, przynajmniej pakiety nie docierają do firewall-a, aczkolwiek przy dobrym ataku jest to niemożliwe ( a przynajmniej utrudnione ).

Zgłoś to do swojego operatora -- on będzie miał większe pole manewru.

[bajamor]

Zgłaszałem, niestety ,,OVH'' (u nich mam serwer dedykowany) ma gdzieś takie przypadki. Osoba która przeprowadza ataki również ma serwer dedykowany w OVH. Odpisali mi, że zablokowali jego serwery, po czym następnego dnia znów robił co chciał.

[grzesiek]

No widzisz: umiesz liczyć, licz na siebie.
A ja to bym wszystkie połączenia z adresu tego gościa przekierował na główną stronę OVH hehe - adres źródłowy nie będzie Twój

[db]

No widzisz: umiesz liczyć, licz na siebie.
A ja to bym wszystkie połączenia z adresu tego gościa przekierował na główną stronę OVH hehe - adres źródłowy nie będzie Twój

Oni sobie z pewnością dadzą radę z takich ruchem. Adres źródłowy? Nie problem w tym, aby dojść do tego skąd wychodzi. A maszyna i tak będzie cierpieć.