Ddos?

LEII4A · 3 Фев 2021

Смотрю я значит iptraf и вижу такую картину:

запросы от 31.214.160.243 не прекращались не на секунду. Никаких проблем мне это не принесло, да и на сервере в тот момент не было никого. Установлены правила взятые с данной темы, которые я прикреплю ниже. Посмеялся и заблокировал этот ip. Проходит минут 5 и сие действо продолжается с другого адреса. Так набралось 4 ip адреса. Но веселее всего, что последний оказался какой то польской майареной.

Bash:

# Generated by iptables-save v1.8.7 on Wed Feb  3 11:50:26 2021
*nat
:PREROUTING ACCEPT [3121:272315]
:INPUT ACCEPT [2258:191439]
:OUTPUT ACCEPT [2012:136761]
:POSTROUTING ACCEPT [538:33150]
-A OUTPUT -d 195.82.146.120/30 -p tcp -m tcp --dport 80 -j DNAT --to-destination 163.172.167.207:3128
-A POSTROUTING -o ppp0 -j SNAT --to-source 78.36.196.84
COMMIT
# Completed on Wed Feb  3 11:50:26 2021
# Generated by iptables-save v1.8.7 on Wed Feb  3 11:50:26 2021
*filter
:INPUT ACCEPT [30:1684]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [137:13885]
:Check_Packet - [0:0]
-A INPUT -p udp -m multiport --dports 27015,27016 -m hashlimit --hashlimit-upto 88/sec --hashlimit-burst 88 --hashlimit-mode srcip --hashlimit-name CSS -j Check_Packet
-A INPUT -p udp -m multiport --dports 27015:27016 -j DROP
-A INPUT -s 31.214.160.243/32 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -s 52.113.225.76/32 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -s 52.112.97.212/32 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -s 51.83.217.86/32 -j REJECT --reject-with icmp-port-unreachable
-A Check_Packet -p udp -m length --length 0:30 -j DROP
-A Check_Packet -p udp -m length --length 900:65535 -j DROP
-A Check_Packet -p udp -m u32 --u32 "0x1c&0xff=0x0" -j ACCEPT
-A Check_Packet -p udp -m string --hex-string "|ffffffff|" --algo kmp --to 65535 -j ACCEPT
-A Check_Packet -p udp -j DROP
COMMIT
# Completed on Wed Feb  3 11:50:26 2021

А вопрос вот в чем. Раз я мог наблюдать все это, то толку от этих самых правил нет? Потому, что пакеты не дропались? Или же есть и я не прав, т.к. дропаются не все пакеты?

RusJJ · 3 Фев 2021

Так может это мониторинги какие-то?

LEII4A · 3 Фев 2021

RusJJ написал(а):
Так может это мониторинги какие-то?

Слишком частые запросы для мониторингов, а именно меньше секунды. Да и смена ip после блока как бы намекает

MrQout · 4 Фев 2021

Скорее всего школо-ддос. Да именно школо, потому что нормальный человек ддосил бы с проксей.

А так судя по кол-во байтов странная картинка, либо школо-ддос либо что-то не пойми что. Но смена адреса 90% что ддос.

Забей просто, когда сервер начнет реально лагать или падать тогда и задумывайся об смени на более мощный или же подожди пока неадекват снимет пыл. Человек тоже рано или поздно бросит это занятие когда поймет что на его старательность бросили одно место! :)

LEII4A · 4 Фев 2021

MrQout написал(а):
Скорее всего школо-ддос. Да именно школо, потому что нормальный человек ддосил бы с проксей.
А так судя по кол-во байтов странная картинка, либо школо-ддос либо что-то не пойми что. Но смена адреса 90% что ддос.

Забей просто, когда сервер начнет реально лагать или падать тогда и задумывайся об смени на более мощный или же подожди пока неадекват снимет пыл. Человек тоже рано или поздно бросит это занятие когда поймет что на его старательность бросили одно место! :)

Ну так то оно так. Одинаковое количество байт частота запросов и смена ip об этом и говорит. Просто частота обновления iptraf у не здорового человека могло бы вызвать приступ эпилепсии) Как и моргание лампочки на терминале=) Меня больше интересовала магия тех правил, что указаны в iptables. Т.е. защитили они меня от чего то там или нет. Так скажем. Целесообразность их нахождения исходя из той картины, что я наблюдал. Просто мне казалось, имея их на вооружении всей этой картины с запросами по 53 байта в пол секунды я не видел бы. Интересно же.

MrQout · 4 Фев 2021

LEII4A написал(а):
Ну так то оно так. Одинаковое количество байт частота запросов и смена ip об этом и говорит. Просто частота обновления iptraf у не здорового человека могло бы вызвать приступ эпилепсии) Как и моргание лампочки на терминале=) Меня больше интересовала магия тех правил, что указаны в iptables. Т.е. защитили они меня от чего то там или нет. Так скажем. Целесообразность их нахождения исходя из той картины, что я наблюдал. Просто мне казалось, имея их на вооружении всей этой картины с запросами по 53 байта в пол секунды я не видел бы. Интересно же.

Кстати, возможно такое маленькое количество байт свидетельствует о том что идет подбор ркона. Если же это ддос то самое странное остается кол-во байт как по мне.

WeSTMan · 4 Фев 2021

LEII4A написал(а):
Ну так то оно так. Одинаковое количество байт частота запросов и смена ip об этом и говорит. Просто частота обновления iptraf у не здорового человека могло бы вызвать приступ эпилепсии) Как и моргание лампочки на терминале=) Меня больше интересовала магия тех правил, что указаны в iptables. Т.е. защитили они меня от чего то там или нет. Так скажем. Целесообразность их нахождения исходя из той картины, что я наблюдал. Просто мне казалось, имея их на вооружении всей этой картины с запросами по 53 байта в пол секунды я не видел бы. Интересно же.

Можно было и не блокировать IP, система фильтрации хорошая через iptables

rodor03 · 12 Фев 2021

тоже самое недавно было

WeSTMan · 12 Фев 2021

rodor03 написал(а):
тоже самое недавно было

Напиши мне в ЛС, разберемся

rodor03 · 12 Фев 2021

@WeSMan, Да уже вроде как не флудит

Ddos?

LEII4A

Участник

RusJJ

Доброе утро девачьки

LEII4A

Участник

MrQout

~[C0d3z]

LEII4A

Участник

MrQout

~[C0d3z]

WeSTMan

А вот тут текст!

rodor03

Участник

WeSTMan

А вот тут текст!

rodor03

Участник

Похожие темы