URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 4459
[ Назад ]

Исходное сообщение
"Несколько вопросов по DDoS"
Отправлено nops , 15-Дек-09 19:23

Друзья! Всем привет!
Имеем CentOS 5.2 на нём поднят биллинг и хостинг.
Вопрос в следующем.
Есть сервер, на нём хостится 8 сайтов, 3 домена 2-го уровня, а остальные субдомены каждого из верхнего уровня.
Есть подозрение, что мой сервак атакуют, а именно DDoS.
У меня сначала возрастают пинги с 50мс до 400-600мс и даже до 2000 мс. Так он держится минут 10-15 и потом не отвечает. У меня написан скрипт, если не пингуется IP-адрес в сети интернет, то сервак сам идёт в перезагрузку.
Спустя время, от 5 минут до нескольких часов сервер наконец-то начинает отвечать, и с нормальными пингами от 30 до 60 мс.
Вопрос в следующем, как определить что именно произошло с сервером, почему он перестал отвечать, и если подтвердится что это DDoS, то как определить какой именно домен атакуют...
Заранее благодарен.

Содержание

Несколько вопросов по DDoS,Michael, 19:33 , 15-Дек-09
- Несколько вопросов по DDoS,Michael, 19:34 , 15-Дек-09
- Несколько вопросов по DDoS,nops, 20:03 , 15-Дек-09
  - Несколько вопросов по DDoS,Pahanivo, 08:37 , 16-Дек-09
    - Несколько вопросов по DDoS,nops, 12:17 , 16-Дек-09
      - Несколько вопросов по DDoS,linuxgid, 13:34 , 17-Дек-09
        
        Несколько вопросов по DDoS,nops, 07:35 , 18-Дек-09
Несколько вопросов по DDoS,nops, 05:56 , 24-Дек-09
- Несколько вопросов по DDoS,Slavaz, 12:00 , 24-Дек-09
  - Несколько вопросов по DDoS,nops, 13:47 , 24-Дек-09
  - Несколько вопросов по DDoS,nops, 13:48 , 24-Дек-09
    - Несколько вопросов по DDoS,Slavaz, 15:35 , 24-Дек-09
      - Несколько вопросов по DDoS,Александр Лейн, 04:20 , 05-Янв-10

Сообщения в этом обсуждении

"Несколько вопросов по DDoS"
Отправлено Michael , 15-Дек-09 19:33

>Вопрос в следующем, как определить что именно произошло с сервером, почему он
>перестал отвечать,
tcpdump, trafshow, смотреть логи

> как определить >какой именно домен атакуют...
никак. только перекидывать домены по одному на другой сервер и следить за изменениями

"Несколько вопросов по DDoS"
Отправлено Michael , 15-Дек-09 19:34

>
>> как определить >какой именно домен атакуют...
>
>никак. только перекидывать домены по одному на другой сервер и следить за
>изменениями
если валят http запросами, то можно посмотреть логи
но судя по симптомам - это не ваш случай

"Несколько вопросов по DDoS"
Отправлено nops , 15-Дек-09 20:03

>tcpdump, trafshow, смотреть логи
А где посмотреть эти логи? tcpdump.log(по логике) отсутствует, tcpdump есть только в /usr/sbin
trafshow вообще не найден на сервере.
Что и где рыть, не могу понять....
>никак. только перекидывать домены по одному на другой сервер и следить за
>изменениями
а если нет возможности перекидывать домены на другой сервер? Есть один IP. может просто заблокировать dns запись? чтобы домен не разрешался? Это как вариант....

"Несколько вопросов по DDoS"
Отправлено Pahanivo , 16-Дек-09 08:37

>А где посмотреть эти логи? tcpdump.log(по логике) отсутствует, tcpdump есть только в
>/usr/sbin
продолжатель дела петросяна? ))
man tcpdump

"Несколько вопросов по DDoS"
Отправлено nops , 16-Дек-09 12:17

>продолжатель дела петросяна? ))
>man tcpdump
Нет, просто я ещё очень слаб в Linux.
Поэтому и спрашиваю.....

"Несколько вопросов по DDoS"
Отправлено linuxgid , 17-Дек-09 13:34

по личному опыту скажу - да, это ДДоС.
Я сам не знаю как бороться с ддос атаками, потому я нанимал человека для борьбы с этой проблемой...

"Несколько вопросов по DDoS"
Отправлено nops , 18-Дек-09 07:35

>по личному опыту скажу - да, это ДДоС.
>Я сам не знаю как бороться с ддос атаками, потому я нанимал
>человека для борьбы с этой проблемой...
А не подскажешь что он сделал? помет поглядишь, что поменял, что добавил.....

"Несколько вопросов по DDoS"
Отправлено nops , 24-Дек-09 05:56

Друзья! У меня сейчас вообще вызывает подозрение что это DDoS.
Машинка, на которой всё это крутиться, она и шлюз и хостинг.
Смотрю по биллинговой системе, запросов и пакетов, перед падением, не много.
вот скрин: http://www.novour.com/3.jpg
Почему тогда сер уходит в даун, умане приложу.

Помогите плиззззз разобраться.

"Несколько вопросов по DDoS"
Отправлено Slavaz , 24-Дек-09 12:00

>Друзья! У меня сейчас вообще вызывает подозрение что это DDoS.
>Машинка, на которой всё это крутиться, она и шлюз и хостинг.
>Смотрю по биллинговой системе, запросов и пакетов, перед падением, не много.
>вот скрин: http://www.novour.com/3.jpg
>Почему тогда сер уходит в даун, умане приложу.
>
>Помогите плиззззз разобраться.
Там один из подозрительных адресов 77.88.25.28
набираешь в комстроке
whois 77.88.25.28
Ищешь "Network security issues:". После двоеточия будет емайл.
Пишешь жалобу на указанный емайл с доказательствами своей правоты. Всё. Процентов 99, что это участник ботнета :)
А вообще можешь закрыть порт 65535, если есть права на такое...

"Несколько вопросов по DDoS"
Отправлено nops , 24-Дек-09 13:47

>А вообще можешь закрыть порт 65535, если есть права на такое...
Если честно, то я в фаерволе закрыл этот порт, но на него всё равно сыпется трафик.............

"Несколько вопросов по DDoS"
Отправлено nops , 24-Дек-09 13:48

>Там один из подозрительных адресов 77.88.25.28
Этот адрес принадлежит поисковому боту Яндекса spider33.yandex.ru вот кто это.

"Несколько вопросов по DDoS"
Отправлено Slavaz , 24-Дек-09 15:35

>>Там один из подозрительных адресов 77.88.25.28
>Этот адрес принадлежит поисковому боту Яндекса spider33.yandex.ru вот кто это.
Гхм... поисковый паук ложит сервак? Что-то не так с сайтом (слишком тяжеловесный?).

"Несколько вопросов по DDoS"
Отправлено Александр Лейн , 05-Янв-10 04:20

а человек в здравом уме будет все ставить на одну машину?? не кажется ли вам, что это уже слишком? vmware esxi и каждую машину на отдельный хост. снорт+ эйсид тоже запретила церковь??? поюзайте снорта, он прояснит ситуацию во многом, даже картинку покажет. и графики построит.