Polskie Forum Użytkowników Debiana

Polski portal użytkowników dystrybucji Debian GNU/Linux, dyskusje, artykuły, nowości, blog, porady, pomoc.
https://www.debian.pl/

[+] Atak o mocy 2,5 Gbit? Możliwe?

https://www.debian.pl/viewtopic.php?t=19365

Strona 1 z 2

[+] Atak o mocy 2,5 Gbit? Możliwe?

: 13 lipca 2010, 01:49
autor: vimoco
Witam,

Otrzymuję masę pakietów na swój serwer, jako iż mam 100 Mbit łącze nie za bardzo wiem jakim cudem odbieram atak o mocy 2,5 Gbit?

Tutaj wycinek z logów ifstat:

Kod: Zaznacz cały

KB/s in  KB/s out
ifstat: warning: rollover for interface venet0, reinitialising.
    0.00      0.00
    0.08  319852.3
    0.04  305263.5
    0.04  306060.0
    0.04  313918.9
    0.69  302501.3
    0.04  311602.1
Jak się przed takim czymś obronić? Dodam to, że to jest tak raz co 1-2 godziny taki atak 2-5 minutowy flood.

Da się jakoś to wyciąć czy cokolwiek poradzić?

: 13 lipca 2010, 08:16
autor: grzesiek
Może atakujący ma moc super krowy :)

: 13 lipca 2010, 14:34
autor: adasiek_j
A ten flood to konketnie na co ? Ping flood, POP3 ? coś bliżej? Na to co na razie napisałeś, rozwiązaniem jest:

Kod: Zaznacz cały

ifdown vnet0
Ale pewnie nie o to ci chodzi?


Poza tym dwie kwestie:
  1. Ja mam serwer i tam wyniki mam:

    Kod: Zaznacz cały

    cs:~# ifstat
       eth0       
 KB/s in  KB/s out
    0.66      0.13
    1.32      0.20
    0.81      0.24
    0.65      0.11
    0.71      0.11
    0.53      0.11
    0.71      0.11
    0.59      0.10
    0.71      0.11
    0.89      0.10
    0.30      0.10
    0.83      0.11
    1.12      0.10
    0.77      0.11
    0.86      0.20
    0.77      0.11
  2. Te wielkie wartości, to u ciebie są out, więc to ruch, który wychodzi z Twojego serwera w świat, nie bardzo więc rozumiem ten flood atak.
Adam

: 13 lipca 2010, 14:52
autor: db
Venet -- virtual network device -- to nie jest normalny, fizyczny interfejs. Nie sugeruj się tym 100Mbit.

: 13 lipca 2010, 15:14
autor: vimoco
Bardzo śmieszne...
Nie wiem co za flood, a to że jest out to też się zdziwiłem ponieważ ja nic nie wysyłam.

: 13 lipca 2010, 16:17
autor: db
vimoco pisze:Bardzo śmieszne...
Nie wiem co za flood, a to że jest out to też się zdziwiłem ponieważ ja nic nie wysyłam.

Kod: Zaznacz cały

netstat -nlput

Kod: Zaznacz cały

lsof -iTCP -n (chyba, że to UDP -- wtedy analogicznie)
oraz tcpdump Ci pomogą.

: 13 lipca 2010, 20:50
autor: timor
Pętle w sieci potrafią robić spore floody.

: 13 lipca 2010, 23:27
autor: vimoco
Dobra, sprawa rozwiązana..
Ubiłem dziada :-p

: 13 lipca 2010, 23:29
autor: Bastian
A może coś więcej, dla potomnych?

: 14 lipca 2010, 15:14
autor: vimoco
tcpdump + iptables :)
Strefa czasowa UTC+02:00
Strona 1 z 2

Technologię dostarcza phpBB® Forum Software © phpBB Limited

Polski pakiet językowy dostarcza phpBB.pl