Help
Pessoal, como lidar com esta situação?
Tenho notado que toda semana o UOL tem recebido ataques DDoS e a solução deles sempre é desligar o servidor que esta recebendo o ataque.
Não existe uma forma de se bloquear esta ataques mesmo que sejam por IP spoofing?
Esses ataques geralmente são feitos de maquinas na europa.
Page 1 of 1
Ataque DDoS
#1
- Esse é irmão!!
-
- Grupo: Membros
- Posts: 336
- Cadastrado: 11-setembro 09
Posted 27 novembro 2009 - 11:51
#2
- Esse é irmão!!
-
- Grupo: Membros
- Posts: 336
- Cadastrado: 11-setembro 09
Posted 27 novembro 2009 - 02:03
Existe algum log ou forma de saber em qual dominio estava sendo feito o ataque?
#3
- Esse é irmão!!
-
- Grupo: Membros
- Posts: 336
- Cadastrado: 11-setembro 09
Posted 27 novembro 2009 - 02:40
tenho o csf instalado por ele da pra ver algo sera?
#4
- Esse é irmão!!
-
- Grupo: Membros
- Posts: 381
- Cadastrado: 16-julho 08
- Gender:Male
- Location:Ribeirão Preto-SP
Posted 27 novembro 2009 - 04:54
Todo DDoS deixa rastros em seus logs.
Sobre bloqueio de ataques, o DC deveria possuir estrutura para mitigar ou diminuir os efeitos desses ataques. Desligar o servidor só deve ser feito em último caso.
Se o UOL desliga por padrão é porque eles não possuem contingência anti DDoS. Isso é muito ruim.
Consulte o suporte para ter certeza. Eles deveriam ter um mitigador instalado pelo menos nas bordas do DC para fazer uma filtragem genérica. Isso já ajudaria em muito.
Sobre bloqueio de ataques, o DC deveria possuir estrutura para mitigar ou diminuir os efeitos desses ataques. Desligar o servidor só deve ser feito em último caso.
Se o UOL desliga por padrão é porque eles não possuem contingência anti DDoS. Isso é muito ruim.
Consulte o suporte para ter certeza. Eles deveriam ter um mitigador instalado pelo menos nas bordas do DC para fazer uma filtragem genérica. Isso já ajudaria em muito.
#5
- Esse é irmão!!
-
- Grupo: Membros
- Posts: 336
- Cadastrado: 11-setembro 09
Posted 27 novembro 2009 - 05:14
Existe uma filtragem sim, a do bloqueio feito no roteador pra toda conexão entrante no servidor 
Ja houve 3 casos de ataques 2 em meu servidor(2 diferentes) e um de grande peso em outros servidores sabe-se la de quem e em ambos houve corte da conexão.
No ultimo ataque no grafico tava 40M ate a hora que desplugaram o servidor, e o pessoal de rede disse que o tamanho do ataque podia derrubar o DC. Cade os 40Gigas de banda
Conclui-se que UOL nao tem estrutura pra conter ataques DDoS ou pelo menos amenizar. UOL só tem firewall pra te dar dor de cabeça na hora de contratar servidor e depois pra ganhar em cima quando voce precisar de mais regras alem do limite incluso no plano.
Andre pode me dar uma dica de onde devo procurar por algo que possa me mostrar pra qual dominio partiu o ataque?
Ja houve 3 casos de ataques 2 em meu servidor(2 diferentes) e um de grande peso em outros servidores sabe-se la de quem e em ambos houve corte da conexão.
No ultimo ataque no grafico tava 40M ate a hora que desplugaram o servidor, e o pessoal de rede disse que o tamanho do ataque podia derrubar o DC. Cade os 40Gigas de banda
Conclui-se que UOL nao tem estrutura pra conter ataques DDoS ou pelo menos amenizar. UOL só tem firewall pra te dar dor de cabeça na hora de contratar servidor e depois pra ganhar em cima quando voce precisar de mais regras alem do limite incluso no plano.
Andre pode me dar uma dica de onde devo procurar por algo que possa me mostrar pra qual dominio partiu o ataque?
This post has been edited by Insert: 27 novembro 2009 - 05:16
#6
- Esse é irmão!!
-
- Grupo: Membros
- Posts: 381
- Cadastrado: 16-julho 08
- Gender:Male
- Location:Ribeirão Preto-SP
Posted 27 novembro 2009 - 05:59
Olá Insert.
Depende de qual foi o alvo do DDoS. Se foi a porta 80 (http) você deve procurar nos logs do Apache ou do server web que você utiliza (lighthttp etc).
Se foi por exemplo contra a 21, procure nos logs de seu FTP.
Nos logs deverá haver para onde partiu o ataque (dominio). O ataque pode também ter sido dirigido contra um de seus IPs (sem nenhum dominio como alvo). Verifique isso nos logs também.
Vou pensar em outras possibilidades e posto aqui também.
Depende de qual foi o alvo do DDoS. Se foi a porta 80 (http) você deve procurar nos logs do Apache ou do server web que você utiliza (lighthttp etc).
Se foi por exemplo contra a 21, procure nos logs de seu FTP.
Nos logs deverá haver para onde partiu o ataque (dominio). O ataque pode também ter sido dirigido contra um de seus IPs (sem nenhum dominio como alvo). Verifique isso nos logs também.
Vou pensar em outras possibilidades e posto aqui também.
#7
- Esse é irmão!!
-
- Grupo: Membros
- Posts: 336
- Cadastrado: 11-setembro 09
Posted 27 novembro 2009 - 08:30
No log do roteador ou firewall que o dc me passou tem isso:
Fa0/1 80.94.93.30 Null 200.xxx.xxx.xxx 11 EB8B 0D7C 3
Fa0/1 80.94.93.30 Null 200.xxx.xxx.xxx 11 EAFC 0C7E 1
Fa0/1 80.94.93.30 Null 200.xxx.xxx.xxx 11 E1FC 06A9 2
Fa0/1 80.94.93.30 Null 200.xxx.xxx.xxx 11 E4FC 0313 1
Fa0/1 80.94.93.30 Null 200.xxx.xxx.xxx 11 EB7C 0B50 2
Fa0/1 80.94.93.30 Null 200.xxx.xxx.xxx 11 E4C8 071E 3
Fa0/1 80.94.93.30 Null 200.xxx.xxx.xxx 11 D6FC 0ABC 2
Fa0/1 80.94.93.30 Null 200.xxx.xxx.xxx 11 DEFC 02D7 3
Fa0/1 80.94.93.30 Null 200.xxx.xxx.xxx 11 CEFC 1213 4
Fa0/1 80.94.93.30 Null 200.xxx.xxx.xxx 11 DBFC 0674 3
Fa0/1 80.94.93.30 Null 200.xxx.xxx.xxx 11 D47C 0A02 2
Vou ver com eles em que porta foi o ataque.
Fa0/1 80.94.93.30 Null 200.xxx.xxx.xxx 11 EB8B 0D7C 3
Fa0/1 80.94.93.30 Null 200.xxx.xxx.xxx 11 EAFC 0C7E 1
Fa0/1 80.94.93.30 Null 200.xxx.xxx.xxx 11 E1FC 06A9 2
Fa0/1 80.94.93.30 Null 200.xxx.xxx.xxx 11 E4FC 0313 1
Fa0/1 80.94.93.30 Null 200.xxx.xxx.xxx 11 EB7C 0B50 2
Fa0/1 80.94.93.30 Null 200.xxx.xxx.xxx 11 E4C8 071E 3
Fa0/1 80.94.93.30 Null 200.xxx.xxx.xxx 11 D6FC 0ABC 2
Fa0/1 80.94.93.30 Null 200.xxx.xxx.xxx 11 DEFC 02D7 3
Fa0/1 80.94.93.30 Null 200.xxx.xxx.xxx 11 CEFC 1213 4
Fa0/1 80.94.93.30 Null 200.xxx.xxx.xxx 11 DBFC 0674 3
Fa0/1 80.94.93.30 Null 200.xxx.xxx.xxx 11 D47C 0A02 2
Vou ver com eles em que porta foi o ataque.
#8
- Esse é irmão!!
-
- Grupo: Membros
- Posts: 413
- Cadastrado: 30-agosto 07
- Gender:Male
- Interests:GNU/Linux, Windows, Streaming audio e Video, Segurança e Rede.<br />E jogos... =p
Posted 27 novembro 2009 - 11:13
Insert, pelo que voce mostrou do log o ataque vem de 1 IP.
Verifica o log inteiro e vê quantos IP tem, se for poucos bloqueia manualmente pelo iptables ou pelo CSF...
Depois você vai no abuse de cada IP e denuncia a pratica de ddos, deste IP que você mostrou é uma empresa européia www.aihs.net
Verifica o log inteiro e vê quantos IP tem, se for poucos bloqueia manualmente pelo iptables ou pelo CSF...
Depois você vai no abuse de cada IP e denuncia a pratica de ddos, deste IP que você mostrou é uma empresa européia www.aihs.net
#9
- Esse é irmão!!
-
- Grupo: Membros
- Posts: 336
- Cadastrado: 11-setembro 09
Posted 28 novembro 2009 - 01:14
Na verdade sao varios IPs, mostrei apenas parte do log.
De qualquer forma eu ja havia entrado em contato com o noc@aihs.net mas nao tive resposta, o ataque ja parou.
De qualquer forma eu ja havia entrado em contato com o noc@aihs.net mas nao tive resposta, o ataque ja parou.
#10
- Se às mãos fazem errar -> yum remove hands -y
-
- Grupo: Membros
- Posts: 1165
- Cadastrado: 19-julho 07
- Gender:Male
- Interests:Gnu/Linux, Windows Server, PHP, Mysql, Postgres, Ajax, Flex e Café, soldat, Warcraft, Quake, Counter Strike, Cachorros, Surf e tomar muito, mas muito café!
Posted 05 dezembro 2009 - 06:35
Coloca o csf em modo seguro (nível máximo de segurança) por uns dias, somente para fazer uma boa blacklist interna dele, depois você deixa ele rodando mais leve.
Isso vai dar ajudar e muito a sua vida.
Quanto ao IDC, isso é falta de respeito para contigo, desligar 1 servidor não é a melhor saída.
Faça uma coisa massa, manda eles mudarem o main ip
Resolve tudo!
Isso vai dar ajudar e muito a sua vida.
Quanto ao IDC, isso é falta de respeito para contigo, desligar 1 servidor não é a melhor saída.
Faça uma coisa massa, manda eles mudarem o main ip
Resolve tudo!
#11
- Administrador
-
- Grupo: Administradores
- Posts: 228
- Cadastrado: 08-novembro 08
- Gender:Male
Posted 15 dezembro 2009 - 06:26
Isso nao adianta... esse tipo de ataque vem em milhares de pacotes por segundo, normalmente UDP, e normalmente para a porta "zero" (0)
O que o DC pode fazer é lançar um bloqueio internacional, ja que os ataques vem de fora. O bloqueio internacional consiste em bloquear O TEU IP lá fora, ou seja, enquanto estiver sendo atacado, ninguem acessa o IP que esta bloqueado LÁ FORA. Por outro lado, no Brasil todos os teus usuários acessarão normalmente.
Isso é o que eles DEVERIAM fazer. Porém, não sei se sabem.
Acho brabo que o UOL tenha 40 Gb de banda... fiquei sabendo de um ataque recente em um cliente deles, de 5 Gb que eles nao seguraram...
O que o DC pode fazer é lançar um bloqueio internacional, ja que os ataques vem de fora. O bloqueio internacional consiste em bloquear O TEU IP lá fora, ou seja, enquanto estiver sendo atacado, ninguem acessa o IP que esta bloqueado LÁ FORA. Por outro lado, no Brasil todos os teus usuários acessarão normalmente.
Isso é o que eles DEVERIAM fazer. Porém, não sei se sabem.
Acho brabo que o UOL tenha 40 Gb de banda... fiquei sabendo de um ataque recente em um cliente deles, de 5 Gb que eles nao seguraram...
Share this topic:
Page 1 of 1