Jump to content
Sign in to follow this  
Deflagrator

Proteggersi dai DDOS, quali servizi utilizzare?

Recommended Posts

ssh da me va OK al primo tentativo (uso putty, non ho controllato se da solo faccia due tentativi), munin invece viene sistematicamente droppato (telnet plaintext senza "retry").

 

Da me comunque è ancora attivo (attivato alle 21:30 circa di ieri sera)... ma c'è sopra roba "calamita" per i ddos quindi credo ne siano arrivati altri di attacchi e stasera è stato spostato sopra un altro servizio che mi dicevano prendere botte da 5gbit+ sul loro server precedente... vediamo cosa succede :)

 

EvolutionCrazy tu hai solo servizi calamita, il server da noi è sotto ddos dalle 9 praticamente :asd:

 

Comunque impostare i filtri è un' arte, soprattutto per reti così grosse, quindi ci vorrà un pò prima che riescano a calibrare il tutto. Inoltre sarà importante considerare che sarà una protezione generica con filtri uguali per tutti, quindi sarà molto molto difficile bloccare tutti gli attacchi. Per esempio con i syn flood, si fa rate limiting, Per chi come ovh imposterà filtri generici, si avranno benefici, ma non soluzioni complete lato provider. Noi per esempio, applichiamo filtri ad hoc per ogni cliente che acquista la protezione, ma si tratta di soluzioni specifiche per i server ddos protected.

 

I filtri generici gestiranno puramente gli attacchi più "gravi" permettendo ad ovh di non avere problemi nella rete.

Share this post


Link to post
Share on other sites

meanwhile in Amsterdam (nforce)

 

[root@brown ~]# vnstat -l
Monitoring bond0...    (press CTRL-C to stop)

  rx:     1.36 Gbit/s 266872 p/s          tx:     1.50 Mbit/s   721 p/s

 

:asd:

 

edit... UDP flood non è andato bene... ora sono passati a syn flood spoofed

 

[root@brown ~]# vnstat -l
Monitoring bond0...    (press CTRL-C to stop)

  rx:   101.52 Mbit/s 202441 p/s          tx:     1.36 Mbit/s   752 p/s

 

ma ancora nada.... vediamo cosa tirano fuori dal cappello dopo

 

azz... troppi PPS sono alla frutta :(

 

[root@brown ~]# vnstat -l
Monitoring bond0...    (press CTRL-C to stop)

  rx:   177.94 Mbit/s 355363 p/s          tx:     1.65 Mbit/s   736 p/s

 

  PID USER      PR  NI  VIRT  RES  SHR S %CPU %MEM    TIME+  COMMAND
2551 root     -51   0     0    0    0 R 100.0  0.0 192:46.38 irq/46-eth1-rx-
2529 root     -51   0     0    0    0 R 99.7  0.0 189:03.02 irq/43-eth0-rx-

 

è andato a donnine conntrack (kernel 3.6.11)

 

ksoftirqd/1     D ffffffff8160bb20     0    21      2 0x00000000
ffff8803e85d1b70 0000000000000046 ffff8803e85d0000 ffff8803e85d0010
ffff8803e85d0000 ffff8803e85d0010 ffff8803e85d0000 ffff8803e85d0010
ffff8803e85d0000 ffff8803e85d0010 ffff8803e85d0000 ffff8803e85d1fd8
Call Trace:
[<ffffffff8152dc59>] schedule+0x29/0x70
[<ffffffff8152e7dd>] rt_spin_lock_slowlock+0x10d/0x310
[<ffffffff8152efd6>] rt_spin_lock+0x26/0x30
[<ffffffff81484166>] destroy_conntrack+0x56/0x100
[<ffffffff81480fc7>] nf_conntrack_destroy+0x27/0x40
[<ffffffff8148398b>] death_by_timeout+0x10b/0x190
[<ffffffff81098260>] ? clocksource_watchdog+0x210/0x280
[<ffffffff81057870>] run_timer_softirq+0x1d0/0x4c0
[<ffffffff81087376>] ? update_curr_rt+0x116/0x240
[<ffffffff81483880>] ? nf_ct_delete_from_lists+0xb0/0xb0
[<ffffffff8104e03a>] do_current_softirqs+0x1aa/0x350
[<ffffffff8104e30b>] run_ksoftirqd+0x12b/0x290
[<ffffffff8104e1e0>] ? do_current_softirqs+0x350/0x350
[<ffffffff8106b456>] kthread+0x96/0xa0
[<ffffffff81537564>] kernel_thread_helper+0x4/0x10
[<ffffffff8106b3c0>] ? kthreadd+0x1e0/0x1e0
[<ffffffff81537560>] ? gs_change+0xb/0xb

 

 

purtroppo attacco è già finito e non posso vedere se togliendo connection tracking dalla regola mi avrebbe aiutato mmmm... speriamo riprenda :D

Share this post


Link to post
Share on other sites

sì, irq balance non lo uso.

 

Temo problema sia in conntrack... ora non mi resta che attendere risucceda per vedere se droppando direttamente tutto il traffico tcp verso la porta sotto attacco e quindi escludendo conntrack e hashlimit mi aiuta...

 

anche se il problema mi sa che è la macchina troppo scarsa ... hp dl120g7 che riesce a fare gran poco offloading sulle schede di rete in hardware :(

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

×