forum.opennet.ru - "DDoS через 123 порт" (21)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"DDoS через 123 порт"

Форум Открытые системы на сервере (Firewall, Фильтрация пакетов)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"DDoS через 123 порт"	+1 +/–
Сообщение от VituSkz (ok) on 23-Мрт-14, 19:45
Здравствуйте. В общем уже какой день интернет канал забивается под завязку. Промониторил траф через darkstat и заметил что трафик идет через 123 UDP порт. Прочитал про данный баг, но вот беда, описанные решения не подходят, monlist выключил, но канал все равно кто-то забивает по этому же порту. Потом решил удалить ntp вообще, и даже после этого проблема осталась. Блокировака 123 порта через iptables тоже не спасла. в iptables прописано: -A INPUT -p udp -m udp --dport 123 -j DROP ОС Centos 6
Ответить \| Правка \| Cообщить модератору

Оглавление

DDoS через 123 порт, DeadLoco, 20:12 , 23-Мрт-14, (1)

DDoS через 123 порт, VituSkz, 20:27 , 23-Мрт-14, (2)

DDoS через 123 порт, Дядя_Федор, 22:23 , 23-Мрт-14, (4)

DDoS через 123 порт, VituSkz, 20:30 , 23-Мрт-14, (3)

DDoS через 123 порт, Дядя_Федор, 22:24 , 23-Мрт-14, (5)

DDoS через 123 порт, VituSkz, 12:05 , 24-Мрт-14, (6)

DDoS через 123 порт, Дядя_Федор, 12:30 , 24-Мрт-14, (7)

DDoS через 123 порт, VituSkz, 12:45 , 24-Мрт-14, (8)

DDoS через 123 порт, Дядя_Федор, 08:41 , 25-Мрт-14, (13) +1

DDoS через 123 порт, VituSkz, 13:56 , 24-Мрт-14, (9)

DDoS через 123 порт, McLeod095, 15:37 , 24-Мрт-14, (10) +1

DDoS через 123 порт, VituSkz, 12:09 , 27-Мрт-14, (14)

DDoS через 123 порт, VituSkz, 13:19 , 27-Мрт-14, (15)

DDoS через 123 порт, pavlinux, 01:26 , 25-Мрт-14, (12)

DDoS через 123 порт, Аноним, 18:35 , 24-Мрт-14, (11)

DDoS через 123 порт, ALex_hha, 14:57 , 27-Мрт-14, (16)

DDoS через 123 порт, McLeod095, 15:18 , 27-Мрт-14, (17)

DDoS через 123 порт, anonymous, 10:04 , 28-Мрт-14, (18)

DDoS через 123 порт, серега, 16:49 , 14-Дек-14, (21)

DDoS через 123 порт, Virtual, 15:00 , 28-Мрт-14, (19)

DDoS через 123 порт, Virtual, 15:02 , 28-Мрт-14, (20)

Сообщения по теме [Сортировка по времени | RSS]

1. "DDoS через 123 порт" +/–

Сообщение от DeadLoco (ok) on 23-Мрт-14, 20:12

> Здравствуйте. В общем уже какой день интернет канал забивается под завязку.
Все, что нужно - в конфиге ntpd.conf воткнуть несколько строк:
restrict -4     default ignore
restrict -6     default ignore
restrict        127.0.0.1
restrict        127.127.1.0
restrict        192.168.0.0 mask 255.255.255.0 nomodify notrap

В последней строке подставьте свою локальную сеть.
Эти настройки запрещают использование вашего НТП-сервера извне, поскольку такой сервис является основой весьма мощного ДДоСа, который штормил пару месяцев тому. По всей видимости, вы один из последних чемпионов по слоупокеру, к которому ломятся боты, все еще молотящие ДДоС...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "DDoS через 123 порт" +/–

Сообщение от VituSkz (ok) on 23-Мрт-14, 20:27

И еще по 53 порту с сотни IP адресов пакеты приходят:

Port    Service    In    Out    Total
1    tcpmux    0    1,588,500    1,588,500
53    domain    0    1,578,000    1,578,000
Это что?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "DDoS через 123 порт" +/–

Сообщение от Дядя_Федор on 23-Мрт-14, 22:23

> И еще по 53 порту с сотни IP адресов пакеты приходят:
> Это что?
Это ДНС. Учим матчасть.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

3. "DDoS через 123 порт" +/–

Сообщение от VituSkz (ok) on 23-Мрт-14, 20:30

и еще вопрос, как тогда сервер принимает пакеты если в iptables закрыт 123 порт?
Или может не так правило прописал ?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

5. "DDoS через 123 порт" +/–

Сообщение от Дядя_Федор on 23-Мрт-14, 22:24

> и еще вопрос, как тогда сервер принимает пакеты если в iptables закрыт
> 123 порт?
> Или может не так правило прописал ?
Пакеты все равно будут долетать до сетевого интерфейса. Обрабатываться сетевым стеком (и программой, которая слушает соответствующий порт) - не будут.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

6. "DDoS через 123 порт" +/–

Сообщение от VituSkz (ok) on 24-Мрт-14, 12:05

дописал:

restrict -4     default ignore
restrict -6     default ignore
restrict        127.0.0.1
restrict        127.127.1.0
restrict        192.168.1.0 mask 255.255.255.0 nomodify notrap
disable monitor
и перезапустил ntpd
service ntpd restart
ддос все равно продолжается.
Что сделано не так ?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

7. "DDoS через 123 порт" +/–

Сообщение от Дядя_Федор on 24-Мрт-14, 12:30

> ддос все равно продолжается.
> Что сделано не так ?
То, что Вы не понимаете, что такое DDoS. И, соответственно, не знаете методов борьбы с ним.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "DDoS через 123 порт" +/–

Сообщение от VituSkz (ok) on 24-Мрт-14, 12:45

>  То, что Вы не понимаете, что такое DDoS. И, соответственно, не
> знаете методов борьбы с ним.
да, я не силен в области защиты. Поэтому и зашел сюда попросить помочь с данной проблемой.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

13. "DDoS через 123 порт" +1 +/–

Сообщение от Дядя_Федор on 25-Мрт-14, 08:41

> да, я не силен в области защиты. Поэтому и зашел сюда попросить
> помочь с данной проблемой.
DDoS обычно просто так, от фонаря, не делаются. Мне кажется, что Вы преувеличиваете масштаб "атаки". :) Поставьте пакет iptraf (он же - iptraf-ng) и посмотрите - какой поток льется на Ваш сетевой интерфейс ежесекундно. Еще вариант - прикрутить какти (нагиос) и помониторить величину трафика. Это если задаться целью разобраться в проблеме.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

9. "DDoS через 123 порт" +/–

Сообщение от VituSkz (ok) on 24-Мрт-14, 13:56

Я так понимаю кто-то шлет другим серверам запросы с моим IP адресом, и уже на мой сервер шлют UDP пакеты. трафик только входящий.
Я правильно понял?
и все же, как бороться с этим?

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

10. "DDoS через 123 порт" +1 +/–

Сообщение от McLeod095 (ok) on 24-Мрт-14, 15:37

> Я так понимаю кто-то шлет другим серверам запросы с моим IP адресом,
> и уже на мой сервер шлют UDP пакеты. трафик только входящий.
> Я правильно понял?
> и все же, как бороться с этим?
Если даже Вы напишете сто правил в iptables которые будут запрещать прием пакетов ни никуда не денутся. Они по любому попадут на сетевой интерфейс и вы их получите. Так что если есть проблема и она реально начинает докучать то звоним провайдеру и просим заблокировать уже у них данный трафик, так он не дойдет до сетефого интерфейса точно.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

14. "DDoS через 123 порт" +/–

Сообщение от VituSkz (ok) on 27-Мрт-14, 12:09

> Если даже Вы напишете сто правил в iptables которые будут запрещать прием
> пакетов ни никуда не денутся. Они по любому попадут на сетевой
> интерфейс и вы их получите. Так что если есть проблема и
> она реально начинает докучать то звоним провайдеру и просим заблокировать уже
> у них данный трафик, так он не дойдет до сетефого интерфейса
> точно.
Их ответ:
>>Здравствуйте, в данной ситуации может помочь смена IP адреса. Если Вас устроит данный вариант, то,  пожалуйста, свяжитесь с Вашим менеджером или с начальником ******
После объяснения, что смена IP не решение, они предложили тупо закрыть порт:
>>Пожалуйста, уточните, закрытие порта решит проблему?
Мне в принципе не так важен этот порт, но может как нибудь можно заблокировать именно данный трафик? Или ограничить размер пакетов по этому порту ?

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

15. "DDoS через 123 порт" +/–

Сообщение от VituSkz (ok) on 27-Мрт-14, 13:19

Хотя еще лучше:
>>К сожалению, у нас нет средств защиты от ддос атак. Это у нас также прописано в договоре. Единственное, что можем Вам посоветовать - это смена IP адреса.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

12. "DDoS через 123 порт" +/–

Сообщение от pavlinux (ok) on 25-Мрт-14, 01:26

> и все же, как бороться с этим?
Cloud Computing, Distributed Clasters,...

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "DDoS через 123 порт" +/–

Сообщение от Аноним (??) on 24-Мрт-14, 18:35

Как уже писали, надо звонить прову и просить сделать фильтр на его железе. Работы одна минута. С вашей стороны надо взять приличный сканер и посмотреть какие порты/сервисы видны из Инета. Если открыт 53-й, то проверяете не является ли ваш днс публичным: nslookup ya.ru ваш.ип.адрес. Если видете ответ, то правите конфигу днс, чтобы рекусивные запросы разрешались только из своих сеток. Возможно сканер ещё что то интересное покажет.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "DDoS через 123 порт" +/–

Сообщение от ALex_hha (ok) on 27-Мрт-14, 14:57

> Как уже писали, надо звонить прову и просить сделать фильтр на его
> железе. Работы одна минута. С вашей стороны надо взять приличный сканер
> и посмотреть какие порты/сервисы видны из Инета. Если открыт 53-й, то
> проверяете не является ли ваш днс публичным: nslookup ya.ru ваш.ип.адрес. Если
> видете ответ, то правите конфигу днс, чтобы рекусивные запросы разрешались только
> из своих сеток. Возможно сканер ещё что то интересное покажет.
Расскажите это habrahabr. А то они уже день лежат из-за DDOS, а провайдеру позвонить не догадались :D

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

17. "DDoS через 123 порт" +/–

Сообщение от McLeod095 (ok) on 27-Мрт-14, 15:18

>> Как уже писали, надо звонить прову и просить сделать фильтр на его
>> железе. Работы одна минута. С вашей стороны надо взять приличный сканер
>> и посмотреть какие порты/сервисы видны из Инета. Если открыт 53-й, то
>> проверяете не является ли ваш днс публичным: nslookup ya.ru ваш.ип.адрес. Если
>> видете ответ, то правите конфигу днс, чтобы рекусивные запросы разрешались только
>> из своих сеток. Возможно сканер ещё что то интересное покажет.
> Расскажите это habrahabr. А то они уже день лежат из-за DDOS, а
> провайдеру позвонить не догадались :D
Ну так не надо путать
Одно дело DDOS на 80 порт или другой порт который по определению должен быть доступен всем в интернете.
А здесь понятно что DDOS  идет на 123 порт и этот порт не должен быть доступен всему интернету, да и вообще доступен интернету вообще. Если конечно человек не предоставляет сервер точного времени.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

18. "DDoS через 123 порт" +/–

Сообщение от anonymous (??) on 28-Мрт-14, 10:04

>[оверквотинг удален]
>>> видете ответ, то правите конфигу днс, чтобы рекусивные запросы разрешались только
>>> из своих сеток. Возможно сканер ещё что то интересное покажет.
>> Расскажите это habrahabr. А то они уже день лежат из-за DDOS, а
>> провайдеру позвонить не догадались :D
> Ну так не надо путать
> Одно дело DDOS на 80 порт или другой порт который по определению
> должен быть доступен всем в интернете.
> А здесь понятно что DDOS  идет на 123 порт и этот
> порт не должен быть доступен всему интернету, да и вообще доступен
> интернету вообще. Если конечно человек не предоставляет сервер точного времени.
А если предоставляет, как защищаться?)

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

21. "DDoS через 123 порт" +/–

Сообщение от серега on 14-Дек-14, 16:49

>[оверквотинг удален]
>>>> из своих сеток. Возможно сканер ещё что то интересное покажет.
>>> Расскажите это habrahabr. А то они уже день лежат из-за DDOS, а
>>> провайдеру позвонить не догадались :D
>> Ну так не надо путать
>> Одно дело DDOS на 80 порт или другой порт который по определению
>> должен быть доступен всем в интернете.
>> А здесь понятно что DDOS  идет на 123 порт и этот
>> порт не должен быть доступен всему интернету, да и вообще доступен
>> интернету вообще. Если конечно человек не предоставляет сервер точного времени.
> А если предоставляет, как защищаться?)
ну ты решил проблему?если да,отпиши в скайп mws25mws

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

19. "DDoS через 123 порт" +/–

Сообщение от Virtual (??) on 28-Мрт-14, 15:00

> Здравствуйте. В общем уже какой день интернет канал забивается под завязку. Промониторил
> траф через darkstat и заметил что трафик идет через 123 UDP
> порт.
> Прочитал про данный баг, но вот беда, описанные решения не подходят, monlist
> выключил, но канал все равно кто-то забивает по этому же порту.
> Потом решил удалить ntp вообще, и даже после этого проблема осталась. Блокировака
> 123 порта через iptables тоже не спасла.
> в iptables прописано:
> -A INPUT -p udp -m udp --dport 123 -j DROP
> ОС Centos 6
так, это вот же решение есть - http://www.opennet.me/opennews/art.shtml?num=39075
или я не прав?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

20. "DDoS через 123 порт" +/–

Сообщение от Virtual (??) on 28-Мрт-14, 15:02

>[оверквотинг удален]
>> порт.
>> Прочитал про данный баг, но вот беда, описанные решения не подходят, monlist
>> выключил, но канал все равно кто-то забивает по этому же порту.
>> Потом решил удалить ntp вообще, и даже после этого проблема осталась. Блокировака
>> 123 порта через iptables тоже не спасла.
>> в iptables прописано:
>> -A INPUT -p udp -m udp --dport 123 -j DROP
>> ОС Centos 6
> так, это вот же решение есть - http://www.opennet.me/opennews/art.shtml?num=39075
> или я не прав?
извеняюсь не в тему ответил, не внимательно прочитал суть проблемы

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "DDoS через 123 порт"	+/–
Сообщение от DeadLoco (ok) on 23-Мрт-14, 20:12
> Здравствуйте. В общем уже какой день интернет канал забивается под завязку. Все, что нужно - в конфиге ntpd.conf воткнуть несколько строк: restrict -4 default ignore restrict -6 default ignore restrict 127.0.0.1 restrict 127.127.1.0 restrict 192.168.0.0 mask 255.255.255.0 nomodify notrap В последней строке подставьте свою локальную сеть. Эти настройки запрещают использование вашего НТП-сервера извне, поскольку такой сервис является основой весьма мощного ДДоСа, который штормил пару месяцев тому. По всей видимости, вы один из последних чемпионов по слоупокеру, к которому ломятся боты, все еще молотящие ДДоС...
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "DDoS через 123 порт"	+/–
	Сообщение от VituSkz (ok) on 23-Мрт-14, 20:27
	И еще по 53 порту с сотни IP адресов пакеты приходят: Port Service In Out Total 1 tcpmux 0 1,588,500 1,588,500 53 domain 0 1,578,000 1,578,000 Это что?
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	4. "DDoS через 123 порт"	+/–
	Сообщение от Дядя_Федор on 23-Мрт-14, 22:23
	> И еще по 53 порту с сотни IP адресов пакеты приходят: > Это что? Это ДНС. Учим матчасть.
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	3. "DDoS через 123 порт"	+/–
	Сообщение от VituSkz (ok) on 23-Мрт-14, 20:30
	и еще вопрос, как тогда сервер принимает пакеты если в iptables закрыт 123 порт? Или может не так правило прописал ?
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	5. "DDoS через 123 порт"	+/–
	Сообщение от Дядя_Федор on 23-Мрт-14, 22:24
	> и еще вопрос, как тогда сервер принимает пакеты если в iptables закрыт > 123 порт? > Или может не так правило прописал ? Пакеты все равно будут долетать до сетевого интерфейса. Обрабатываться сетевым стеком (и программой, которая слушает соответствующий порт) - не будут.
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	6. "DDoS через 123 порт"	+/–
	Сообщение от VituSkz (ok) on 24-Мрт-14, 12:05
	дописал: restrict -4 default ignore restrict -6 default ignore restrict 127.0.0.1 restrict 127.127.1.0 restrict 192.168.1.0 mask 255.255.255.0 nomodify notrap disable monitor и перезапустил ntpd service ntpd restart ддос все равно продолжается. Что сделано не так ?
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	7. "DDoS через 123 порт"	+/–
	Сообщение от Дядя_Федор on 24-Мрт-14, 12:30
	> ддос все равно продолжается. > Что сделано не так ? То, что Вы не понимаете, что такое DDoS. И, соответственно, не знаете методов борьбы с ним.
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	8. "DDoS через 123 порт"	+/–
	Сообщение от VituSkz (ok) on 24-Мрт-14, 12:45
	> То, что Вы не понимаете, что такое DDoS. И, соответственно, не > знаете методов борьбы с ним. да, я не силен в области защиты. Поэтому и зашел сюда попросить помочь с данной проблемой.
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору


	13. "DDoS через 123 порт"	+1 +/–
	Сообщение от Дядя_Федор on 25-Мрт-14, 08:41
	> да, я не силен в области защиты. Поэтому и зашел сюда попросить > помочь с данной проблемой. DDoS обычно просто так, от фонаря, не делаются. Мне кажется, что Вы преувеличиваете масштаб "атаки". :) Поставьте пакет iptraf (он же - iptraf-ng) и посмотрите - какой поток льется на Ваш сетевой интерфейс ежесекундно. Еще вариант - прикрутить какти (нагиос) и помониторить величину трафика. Это если задаться целью разобраться в проблеме.
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору


	9. "DDoS через 123 порт"	+/–
	Сообщение от VituSkz (ok) on 24-Мрт-14, 13:56
	Я так понимаю кто-то шлет другим серверам запросы с моим IP адресом, и уже на мой сервер шлют UDP пакеты. трафик только входящий. Я правильно понял? и все же, как бороться с этим?
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору


	10. "DDoS через 123 порт"	+1 +/–
	Сообщение от McLeod095 (ok) on 24-Мрт-14, 15:37
	> Я так понимаю кто-то шлет другим серверам запросы с моим IP адресом, > и уже на мой сервер шлют UDP пакеты. трафик только входящий. > Я правильно понял? > и все же, как бороться с этим? Если даже Вы напишете сто правил в iptables которые будут запрещать прием пакетов ни никуда не денутся. Они по любому попадут на сетевой интерфейс и вы их получите. Так что если есть проблема и она реально начинает докучать то звоним провайдеру и просим заблокировать уже у них данный трафик, так он не дойдет до сетефого интерфейса точно.
	Ответить \| Правка \| ^ к родителю #9 \| Наверх \| Cообщить модератору


	14. "DDoS через 123 порт"	+/–
	Сообщение от VituSkz (ok) on 27-Мрт-14, 12:09
	> Если даже Вы напишете сто правил в iptables которые будут запрещать прием > пакетов ни никуда не денутся. Они по любому попадут на сетевой > интерфейс и вы их получите. Так что если есть проблема и > она реально начинает докучать то звоним провайдеру и просим заблокировать уже > у них данный трафик, так он не дойдет до сетефого интерфейса > точно. Их ответ: >>Здравствуйте, в данной ситуации может помочь смена IP адреса. Если Вас устроит данный вариант, то, пожалуйста, свяжитесь с Вашим менеджером или с начальником ****** После объяснения, что смена IP не решение, они предложили тупо закрыть порт: >>Пожалуйста, уточните, закрытие порта решит проблему? Мне в принципе не так важен этот порт, но может как нибудь можно заблокировать именно данный трафик? Или ограничить размер пакетов по этому порту ?
	Ответить \| Правка \| ^ к родителю #10 \| Наверх \| Cообщить модератору


	15. "DDoS через 123 порт"	+/–
	Сообщение от VituSkz (ok) on 27-Мрт-14, 13:19
	Хотя еще лучше: >>К сожалению, у нас нет средств защиты от ддос атак. Это у нас также прописано в договоре. Единственное, что можем Вам посоветовать - это смена IP адреса.
	Ответить \| Правка \| ^ к родителю #14 \| Наверх \| Cообщить модератору


	12. "DDoS через 123 порт"	+/–
	Сообщение от pavlinux (ok) on 25-Мрт-14, 01:26
	> и все же, как бороться с этим? Cloud Computing, Distributed Clasters,...
	Ответить \| Правка \| ^ к родителю #9 \| Наверх \| Cообщить модератору

11. "DDoS через 123 порт"	+/–
Сообщение от Аноним (??) on 24-Мрт-14, 18:35
Как уже писали, надо звонить прову и просить сделать фильтр на его железе. Работы одна минута. С вашей стороны надо взять приличный сканер и посмотреть какие порты/сервисы видны из Инета. Если открыт 53-й, то проверяете не является ли ваш днс публичным: nslookup ya.ru ваш.ип.адрес. Если видете ответ, то правите конфигу днс, чтобы рекусивные запросы разрешались только из своих сеток. Возможно сканер ещё что то интересное покажет.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	16. "DDoS через 123 порт"	+/–
	Сообщение от ALex_hha (ok) on 27-Мрт-14, 14:57
	> Как уже писали, надо звонить прову и просить сделать фильтр на его > железе. Работы одна минута. С вашей стороны надо взять приличный сканер > и посмотреть какие порты/сервисы видны из Инета. Если открыт 53-й, то > проверяете не является ли ваш днс публичным: nslookup ya.ru ваш.ип.адрес. Если > видете ответ, то правите конфигу днс, чтобы рекусивные запросы разрешались только > из своих сеток. Возможно сканер ещё что то интересное покажет. Расскажите это habrahabr. А то они уже день лежат из-за DDOS, а провайдеру позвонить не догадались :D
	Ответить \| Правка \| ^ к родителю #11 \| Наверх \| Cообщить модератору


	17. "DDoS через 123 порт"	+/–
	Сообщение от McLeod095 (ok) on 27-Мрт-14, 15:18
	>> Как уже писали, надо звонить прову и просить сделать фильтр на его >> железе. Работы одна минута. С вашей стороны надо взять приличный сканер >> и посмотреть какие порты/сервисы видны из Инета. Если открыт 53-й, то >> проверяете не является ли ваш днс публичным: nslookup ya.ru ваш.ип.адрес. Если >> видете ответ, то правите конфигу днс, чтобы рекусивные запросы разрешались только >> из своих сеток. Возможно сканер ещё что то интересное покажет. > Расскажите это habrahabr. А то они уже день лежат из-за DDOS, а > провайдеру позвонить не догадались :D Ну так не надо путать Одно дело DDOS на 80 порт или другой порт который по определению должен быть доступен всем в интернете. А здесь понятно что DDOS идет на 123 порт и этот порт не должен быть доступен всему интернету, да и вообще доступен интернету вообще. Если конечно человек не предоставляет сервер точного времени.
	Ответить \| Правка \| ^ к родителю #16 \| Наверх \| Cообщить модератору


	18. "DDoS через 123 порт"	+/–
	Сообщение от anonymous (??) on 28-Мрт-14, 10:04
	>[оверквотинг удален] >>> видете ответ, то правите конфигу днс, чтобы рекусивные запросы разрешались только >>> из своих сеток. Возможно сканер ещё что то интересное покажет. >> Расскажите это habrahabr. А то они уже день лежат из-за DDOS, а >> провайдеру позвонить не догадались :D > Ну так не надо путать > Одно дело DDOS на 80 порт или другой порт который по определению > должен быть доступен всем в интернете. > А здесь понятно что DDOS идет на 123 порт и этот > порт не должен быть доступен всему интернету, да и вообще доступен > интернету вообще. Если конечно человек не предоставляет сервер точного времени. А если предоставляет, как защищаться?)
	Ответить \| Правка \| ^ к родителю #17 \| Наверх \| Cообщить модератору


	21. "DDoS через 123 порт"	+/–
	Сообщение от серега on 14-Дек-14, 16:49
	>[оверквотинг удален] >>>> из своих сеток. Возможно сканер ещё что то интересное покажет. >>> Расскажите это habrahabr. А то они уже день лежат из-за DDOS, а >>> провайдеру позвонить не догадались :D >> Ну так не надо путать >> Одно дело DDOS на 80 порт или другой порт который по определению >> должен быть доступен всем в интернете. >> А здесь понятно что DDOS идет на 123 порт и этот >> порт не должен быть доступен всему интернету, да и вообще доступен >> интернету вообще. Если конечно человек не предоставляет сервер точного времени. > А если предоставляет, как защищаться?) ну ты решил проблему?если да,отпиши в скайп mws25mws
	Ответить \| Правка \| ^ к родителю #18 \| Наверх \| Cообщить модератору

19. "DDoS через 123 порт"	+/–
Сообщение от Virtual (??) on 28-Мрт-14, 15:00
> Здравствуйте. В общем уже какой день интернет канал забивается под завязку. Промониторил > траф через darkstat и заметил что трафик идет через 123 UDP > порт. > Прочитал про данный баг, но вот беда, описанные решения не подходят, monlist > выключил, но канал все равно кто-то забивает по этому же порту. > Потом решил удалить ntp вообще, и даже после этого проблема осталась. Блокировака > 123 порта через iptables тоже не спасла. > в iptables прописано: > -A INPUT -p udp -m udp --dport 123 -j DROP > ОС Centos 6 так, это вот же решение есть - http://www.opennet.me/opennews/art.shtml?num=39075 или я не прав?
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	20. "DDoS через 123 порт"	+/–
	Сообщение от Virtual (??) on 28-Мрт-14, 15:02
	>[оверквотинг удален] >> порт. >> Прочитал про данный баг, но вот беда, описанные решения не подходят, monlist >> выключил, но канал все равно кто-то забивает по этому же порту. >> Потом решил удалить ntp вообще, и даже после этого проблема осталась. Блокировака >> 123 порта через iptables тоже не спасла. >> в iptables прописано: >> -A INPUT -p udp -m udp --dport 123 -j DROP >> ОС Centos 6 > так, это вот же решение есть - http://www.opennet.me/opennews/art.shtml?num=39075 > или я не прав? извеняюсь не в тему ответил, не внимательно прочитал суть проблемы
	Ответить \| Правка \| ^ к родителю #19 \| Наверх \| Cообщить модератору