Здравствуйте. В общем уже какой день интернет канал забивается под завязку. Промониторил траф через darkstat и заметил что трафик идет через 123 UDP порт.
Прочитал про данный баг, но вот беда, описанные решения не подходят, monlist выключил, но канал все равно кто-то забивает по этому же порту.Потом решил удалить ntp вообще, и даже после этого проблема осталась. Блокировака 123 порта через iptables тоже не спасла.
в iptables прописано:
-A INPUT -p udp -m udp --dport 123 -j DROPОС Centos 6
> Здравствуйте. В общем уже какой день интернет канал забивается под завязку.Все, что нужно - в конфиге ntpd.conf воткнуть несколько строк:
restrict -4 default ignore
restrict -6 default ignore
restrict 127.0.0.1
restrict 127.127.1.0
restrict 192.168.0.0 mask 255.255.255.0 nomodify notrap
В последней строке подставьте свою локальную сеть.Эти настройки запрещают использование вашего НТП-сервера извне, поскольку такой сервис является основой весьма мощного ДДоСа, который штормил пару месяцев тому. По всей видимости, вы один из последних чемпионов по слоупокеру, к которому ломятся боты, все еще молотящие ДДоС...
И еще по 53 порту с сотни IP адресов пакеты приходят:
Port Service In Out Total
1 tcpmux 0 1,588,500 1,588,500
53 domain 0 1,578,000 1,578,000Это что?
> И еще по 53 порту с сотни IP адресов пакеты приходят:
> Это что?Это ДНС. Учим матчасть.
и еще вопрос, как тогда сервер принимает пакеты если в iptables закрыт 123 порт?
Или может не так правило прописал ?
> и еще вопрос, как тогда сервер принимает пакеты если в iptables закрыт
> 123 порт?
> Или может не так правило прописал ?Пакеты все равно будут долетать до сетевого интерфейса. Обрабатываться сетевым стеком (и программой, которая слушает соответствующий порт) - не будут.
дописал:
restrict -4 default ignore
restrict -6 default ignore
restrict 127.0.0.1
restrict 127.127.1.0
restrict 192.168.1.0 mask 255.255.255.0 nomodify notrap
disable monitorи перезапустил ntpd
service ntpd restart
ддос все равно продолжается.
Что сделано не так ?
> ддос все равно продолжается.
> Что сделано не так ?То, что Вы не понимаете, что такое DDoS. И, соответственно, не знаете методов борьбы с ним.
> То, что Вы не понимаете, что такое DDoS. И, соответственно, не
> знаете методов борьбы с ним.да, я не силен в области защиты. Поэтому и зашел сюда попросить помочь с данной проблемой.
> да, я не силен в области защиты. Поэтому и зашел сюда попросить
> помочь с данной проблемой.DDoS обычно просто так, от фонаря, не делаются. Мне кажется, что Вы преувеличиваете масштаб "атаки". :) Поставьте пакет iptraf (он же - iptraf-ng) и посмотрите - какой поток льется на Ваш сетевой интерфейс ежесекундно. Еще вариант - прикрутить какти (нагиос) и помониторить величину трафика. Это если задаться целью разобраться в проблеме.
Я так понимаю кто-то шлет другим серверам запросы с моим IP адресом, и уже на мой сервер шлют UDP пакеты. трафик только входящий.
Я правильно понял?
и все же, как бороться с этим?
> Я так понимаю кто-то шлет другим серверам запросы с моим IP адресом,
> и уже на мой сервер шлют UDP пакеты. трафик только входящий.
> Я правильно понял?
> и все же, как бороться с этим?Если даже Вы напишете сто правил в iptables которые будут запрещать прием пакетов ни никуда не денутся. Они по любому попадут на сетевой интерфейс и вы их получите. Так что если есть проблема и она реально начинает докучать то звоним провайдеру и просим заблокировать уже у них данный трафик, так он не дойдет до сетефого интерфейса точно.
> Если даже Вы напишете сто правил в iptables которые будут запрещать прием
> пакетов ни никуда не денутся. Они по любому попадут на сетевой
> интерфейс и вы их получите. Так что если есть проблема и
> она реально начинает докучать то звоним провайдеру и просим заблокировать уже
> у них данный трафик, так он не дойдет до сетефого интерфейса
> точно.Их ответ:
>>Здравствуйте, в данной ситуации может помочь смена IP адреса. Если Вас устроит данный вариант, то, пожалуйста, свяжитесь с Вашим менеджером или с начальником ******После объяснения, что смена IP не решение, они предложили тупо закрыть порт:
>>Пожалуйста, уточните, закрытие порта решит проблему?Мне в принципе не так важен этот порт, но может как нибудь можно заблокировать именно данный трафик? Или ограничить размер пакетов по этому порту ?
Хотя еще лучше:>>К сожалению, у нас нет средств защиты от ддос атак. Это у нас также прописано в договоре. Единственное, что можем Вам посоветовать - это смена IP адреса.
> и все же, как бороться с этим?Cloud Computing, Distributed Clasters,...
Как уже писали, надо звонить прову и просить сделать фильтр на его железе. Работы одна минута. С вашей стороны надо взять приличный сканер и посмотреть какие порты/сервисы видны из Инета. Если открыт 53-й, то проверяете не является ли ваш днс публичным: nslookup ya.ru ваш.ип.адрес. Если видете ответ, то правите конфигу днс, чтобы рекусивные запросы разрешались только из своих сеток. Возможно сканер ещё что то интересное покажет.
> Как уже писали, надо звонить прову и просить сделать фильтр на его
> железе. Работы одна минута. С вашей стороны надо взять приличный сканер
> и посмотреть какие порты/сервисы видны из Инета. Если открыт 53-й, то
> проверяете не является ли ваш днс публичным: nslookup ya.ru ваш.ип.адрес. Если
> видете ответ, то правите конфигу днс, чтобы рекусивные запросы разрешались только
> из своих сеток. Возможно сканер ещё что то интересное покажет.Расскажите это habrahabr. А то они уже день лежат из-за DDOS, а провайдеру позвонить не догадались :D
>> Как уже писали, надо звонить прову и просить сделать фильтр на его
>> железе. Работы одна минута. С вашей стороны надо взять приличный сканер
>> и посмотреть какие порты/сервисы видны из Инета. Если открыт 53-й, то
>> проверяете не является ли ваш днс публичным: nslookup ya.ru ваш.ип.адрес. Если
>> видете ответ, то правите конфигу днс, чтобы рекусивные запросы разрешались только
>> из своих сеток. Возможно сканер ещё что то интересное покажет.
> Расскажите это habrahabr. А то они уже день лежат из-за DDOS, а
> провайдеру позвонить не догадались :DНу так не надо путать
Одно дело DDOS на 80 порт или другой порт который по определению должен быть доступен всем в интернете.
А здесь понятно что DDOS идет на 123 порт и этот порт не должен быть доступен всему интернету, да и вообще доступен интернету вообще. Если конечно человек не предоставляет сервер точного времени.
>[оверквотинг удален]
>>> видете ответ, то правите конфигу днс, чтобы рекусивные запросы разрешались только
>>> из своих сеток. Возможно сканер ещё что то интересное покажет.
>> Расскажите это habrahabr. А то они уже день лежат из-за DDOS, а
>> провайдеру позвонить не догадались :D
> Ну так не надо путать
> Одно дело DDOS на 80 порт или другой порт который по определению
> должен быть доступен всем в интернете.
> А здесь понятно что DDOS идет на 123 порт и этот
> порт не должен быть доступен всему интернету, да и вообще доступен
> интернету вообще. Если конечно человек не предоставляет сервер точного времени.А если предоставляет, как защищаться?)
>[оверквотинг удален]
>>>> из своих сеток. Возможно сканер ещё что то интересное покажет.
>>> Расскажите это habrahabr. А то они уже день лежат из-за DDOS, а
>>> провайдеру позвонить не догадались :D
>> Ну так не надо путать
>> Одно дело DDOS на 80 порт или другой порт который по определению
>> должен быть доступен всем в интернете.
>> А здесь понятно что DDOS идет на 123 порт и этот
>> порт не должен быть доступен всему интернету, да и вообще доступен
>> интернету вообще. Если конечно человек не предоставляет сервер точного времени.
> А если предоставляет, как защищаться?)ну ты решил проблему?если да,отпиши в скайп mws25mws
> Здравствуйте. В общем уже какой день интернет канал забивается под завязку. Промониторил
> траф через darkstat и заметил что трафик идет через 123 UDP
> порт.
> Прочитал про данный баг, но вот беда, описанные решения не подходят, monlist
> выключил, но канал все равно кто-то забивает по этому же порту.
> Потом решил удалить ntp вообще, и даже после этого проблема осталась. Блокировака
> 123 порта через iptables тоже не спасла.
> в iptables прописано:
> -A INPUT -p udp -m udp --dport 123 -j DROP
> ОС Centos 6так, это вот же решение есть - http://www.opennet.me/opennews/art.shtml?num=39075
или я не прав?
>[оверквотинг удален]
>> порт.
>> Прочитал про данный баг, но вот беда, описанные решения не подходят, monlist
>> выключил, но канал все равно кто-то забивает по этому же порту.
>> Потом решил удалить ntp вообще, и даже после этого проблема осталась. Блокировака
>> 123 порта через iptables тоже не спасла.
>> в iptables прописано:
>> -A INPUT -p udp -m udp --dport 123 -j DROP
>> ОС Centos 6
> так, это вот же решение есть - http://www.opennet.me/opennews/art.shtml?num=39075
> или я не прав?извеняюсь не в тему ответил, не внимательно прочитал суть проблемы