URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 77938
[ Назад ]

Исходное сообщение
"it's DoS?"

Отправлено alexvs , 18-Дек-07 16:00 
Периодически начал наблюдать залипание Apacha: нет сообщений об ошибках, загрузка ресурсов сервера близка к 0, но количество обрабатываемых запросов резко падает, помогал рестарт Индейца.
Сейчас заметил что в период "залипания" из 256 процессов Апача 75% заняты запросами только с одного IP (его кстати в логах не удалось найти).

#####tcpdump
07:30:31.772671 IP ClientIP.3118 > ServerIP.80: S 4096236745:4096236745(0) win 65535 <mss 1460,nop,wscale 1,nop,nop,sackOK>
07:30:31.772696 IP ServerIP.80 > ClientIP.3118: S 4059908013:4059908013(0) ack 4096236746 win 65535 <mss 1460,sackOK,eol>
07:30:31.900154 IP ClientIP.3118 > ServerIP.80: . ack 1 win 65535
07:30:32.001140 IP ServerIP.80 > ClientIP.4954: F 1928146960:1928146960(0) ack 2246546695 win 65535
07:30:32.094187 IP ServerIP.80 > ClientIP.4960: F 465066408:465066408(0) ack 1118953903 win 65535
07:30:32.100304 IP ClientIP.3130 > ServerIP.80: S 1811031781:1811031781(0) win 65535 <mss 1460,nop,wscale 1,nop,nop,sackOK>
07:30:32.100319 IP ServerIP.80 > ClientIP.3130: S 3385044513:3385044513(0) ack 1811031782 win 65535 <mss 1460,sackOK,eol>
07:30:32.130325 IP ClientIP.4954 > ServerIP.80: . ack 1 win 65535
07:30:32.220431 IP ClientIP.3130 > ServerIP.80: . ack 1 win 65535
07:30:32.220527 IP ClientIP.4960 > ServerIP.80: . ack 1 win 65535
07:30:32.924603 IP ServerIP.80 > ClientIP.4966: F 2626702164:2626702164(0) ack 510597337 win 65535
07:30:32.944745 IP ClientIP.3142 > ServerIP.80: S 3610505486:3610505486(0) win 65535 <mss 1460,nop,wscale 1,nop,nop,sackOK>
07:30:32.944767 IP ServerIP.80 > ClientIP.3142: S 1809763592:1809763592(0) ack 3610505487 win 65535 <mss 1460,sackOK,eol>
07:30:33.060713 IP ClientIP.4966 > ServerIP.80: . ack 1 win 65535
07:30:33.065005 IP ClientIP.3142 > ServerIP.80: . ack 1 win 65535
07:30:33.140705 IP ServerIP.80 > ClientIP.4972: F 4004784625:4004784625(0) ack 166398877 win 65535
07:30:33.260891 IP ClientIP.4972 > ServerIP.80: . ack 1 win 65535
07:30:33.265149 IP ClientIP.3154 > ServerIP.80: S 1409479785:1409479785(0) win 65535 <mss 1460,nop,wscale 1,nop,nop,sackOK>
07:30:33.265179 IP ServerIP.80 > ClientIP.3154: S 1931219758:1931219758(0) ack 1409479786 win 65535 <mss 1460,sackOK,eol>
07:30:33.395141 IP ClientIP.3154 > ServerIP.80: . ack 1 win 65535
07:30:33.839060 IP ServerIP.80 > ClientIP.4978: F 2303126605:2303126605(0) ack 3035298754 win 65535
07:30:33.960809 IP ClientIP.4978 > ServerIP.80: . ack 1 win 65535
07:30:34.070177 IP ServerIP.80 > ClientIP.4984: F 3543671429:3543671429(0) ack 1449752267 win 65535
07:30:34.125919 IP ClientIP.3166 > ServerIP.80: S 3519236291:3519236291(0) win 65535 <mss 1460,nop,wscale 1,nop,nop,sackOK>
07:30:34.125938 IP ServerIP.80 > ClientIP.3166: S 344466251:344466251(0) ack 3519236292 win 65535 <mss 1460,sackOK,eol>
07:30:34.191313 IP ClientIP.4984 > ServerIP.80: . ack 1 win 65535
07:30:34.255317 IP ClientIP.3166 > ServerIP.80: . ack 1 win 65535
07:30:34.422283 IP ClientIP.3178 > ServerIP.80: S 453909562:453909562(0) win 65535 <mss 1460,nop,wscale 1,nop,nop,sackOK>
07:30:34.422304 IP ServerIP.80 > ClientIP.3178: S 226858035:226858035(0) ack 453909563 win 65535 <mss 1460,sackOK,eol>
07:30:34.551643 IP ClientIP.3178 > ServerIP.80: . ack 1 win 65535

Это какой-то дурной клиент или атака?


Содержание

Сообщения в этом обсуждении
"it's DoS?"
Отправлено idle , 18-Дек-07 16:51 
>Периодически начал наблюдать залипание Apacha: нет сообщений об ошибках, загрузка ресурсов сервера
>близка к 0, но количество обрабатываемых запросов резко падает, помогал рестарт
>Индейца.
>Сейчас заметил что в период "залипания" из 256 процессов Апача 75% заняты
>запросами только с одного IP (его кстати в логах не удалось
>найти).

Так не бывает.
>[оверквотинг удален]
>07:30:34.070177 IP ServerIP.80 > ClientIP.4984: F 3543671429:3543671429(0) ack 1449752267 win 65535
>07:30:34.125919 IP ClientIP.3166 > ServerIP.80: S 3519236291:3519236291(0) win 65535 <mss 1460,nop,wscale 1,nop,nop,sackOK>
>07:30:34.125938 IP ServerIP.80 > ClientIP.3166: S 344466251:344466251(0) ack 3519236292 win 65535 <mss 1460,sackOK,eol>
>07:30:34.191313 IP ClientIP.4984 > ServerIP.80: . ack 1 win 65535
>07:30:34.255317 IP ClientIP.3166 > ServerIP.80: . ack 1 win 65535
>07:30:34.422283 IP ClientIP.3178 > ServerIP.80: S 453909562:453909562(0) win 65535 <mss 1460,nop,wscale 1,nop,nop,sackOK>
>07:30:34.422304 IP ServerIP.80 > ClientIP.3178: S 226858035:226858035(0) ack 453909563 win 65535 <mss 1460,sackOK,eol>
>07:30:34.551643 IP ClientIP.3178 > ServerIP.80: . ack 1 win 65535
>
>Это какой-то дурной клиент или атака?

Атаки с одного ip никто не делает.


"it's DoS?"
Отправлено alexvs , 18-Дек-07 17:28 
Спасибо за "исчерпывающий" ответ :(.

>Так не бывает.

Чего не бывает?

>Атаки с одного ip никто не делает.

Чего в жизни не бывает. У нас в мире только профессиональные вредители живут?


"it's DoS?"
Отправлено Sega , 18-Дек-07 17:49 
>Спасибо за "исчерпывающий" ответ :(.
>
>>Так не бывает.
>
>Чего не бывает?
>
>>Атаки с одного ip никто не делает.
>
>Чего в жизни не бывает. У нас в мире только профессиональные вредители
>живут?

Не бывает того, что этот ip который вы определили, но в логе так и не нашли.
Так же соглашусь что атак с одного ip не бывает, но бывают криво написанные боты и иже с ними приходилось сталкиваться с подобными чудесами. Закройте адрес фаерволом и посмотрите на результат, если помогло напишите письмо владельцу адреса или не пишите все зависит от того чего вы хотите добиться :)

Добавлю:
Для анализа http трафика удобнее использовать ngrep, например так:
ngrep -d iface -q -W byline GET src host a.b.c.d
выведет построчно все get запросы с хоста a.b.c.d


"it's DoS?"
Отправлено alexvs , 18-Дек-07 19:35 
>Не бывает того, что этот ip который вы определили, но в логе
>так и не нашли.

error.log включен в debug режиме, access.log пишется. Нигде упоминания о таком IP нет.

>Так же соглашусь что атак с одного ip не бывает, но бывают
>криво написанные боты и иже с ними приходилось сталкиваться с подобными
>чудесами. Закройте адрес фаерволом и посмотрите на результат, если помогло напишите
>письмо владельцу адреса или не пишите все зависит от того чего
>вы хотите добиться :)

Так перед тем как закрыть его я и хочу разобраться что это такое.

>Добавлю:
>Для анализа http трафика удобнее использовать ngrep, например так:
>ngrep -d iface -q -W byline GET src host a.b.c.d
>выведет построчно все get запросы с хоста a.b.c.d

При чём тут http трафик? в приведённом выше логе tcpdump'a видно что ни байта полезной информации передано не было, только установлено tcp/ip соединение.


"it's DoS?"
Отправлено zing , 19-Дек-07 02:54 
>[оверквотинг удален]
>Так перед тем как закрыть его я и хочу разобраться что это
>такое.
>
>>Добавлю:
>>Для анализа http трафика удобнее использовать ngrep, например так:
>>ngrep -d iface -q -W byline GET src host a.b.c.d
>>выведет построчно все get запросы с хоста a.b.c.d
>
>При чём тут http трафик? в приведённом выше логе tcpdump'a видно что
>ни байта полезной информации передано не было, только установлено tcp/ip соединение.

Атаки с одного адреса называются DoS, с двух и более - DDoS, автор юзайте netstat -antup или sockstat -4, сразу будет понятно,  и поставьте mod_limitipconn.


"it's DoS?"
Отправлено alexvs , 19-Дек-07 17:09 
>Атаки с одного адреса называются DoS, с двух и более - DDoS,
>автор юзайте netstat -antup или sockstat -4, сразу будет понятно,  
>и поставьте mod_limitipconn.

С помощью этих утилит и узнал что у меня 75%  коннектов инициализировано с одного IP.
Как ограничить я знаю, вопрос в другом был: что это такое?
Поведения клиента похожа на сканинг/атаку или просто его глючность?