Прошу Вас помощи в выявлении DDOS

[Николай Калинин]

Всем Добрый День!
Прошу Вас помочь мне в выявлении DDOS
Никак не могу найти каким образом ложит злоумышленник сервера.
Кратко: Сервер на VDS. (2 сервера CSS)

Команда:
netstat -ntu|awk '{print $5}'|cut -d: -f1|sort|uniq -c|sort -n
Ничего не показывает, 3-4 IP с 1,2 пакетами

Команда выявления SYN
netstat -anutp | grep SYN_RECV | wc -l
Показывает: 0

Все команды вводились во время DDOS, когда два сервера лежали (сильно "лагали")
Установлен fail2ban из статьи https://forums.alliedmods.net/showthread.php?t=106378

Как обнаружить, откуда идут пакеты? С каких IP?
Пакеты однозначто идут, т.к. заблокированы страны все кроме СНГ с помощью iptables и количество блокируемых пакетов там растет, но как узнать с каких IP? Возможно IP стран СНГ проскакивает... :sad:

Добавлено через 3 минуты
Забыл указать:
Система: Ubuntu server 14.04 amd64

 

[Monomizer]

А в момент атаки что показывает vnstat -l -i eth0 ?
И есть ли в этот же момент загрузка cpu под 100%?
Скорее всего обычный syn флуд.
М.б. стрессер, была ещё программа для лагов сервера, версия случаем не v34?
----
iptables в нормально ддосе не поможет, фильтрация должна быть не на уровне vds|vps сервера.

 

[Николай Калинин]

Monomizer, спасибо за отклик
v84 steam
во время атаки практически невозможно подключиться по ssh
По всей видимости канал забит, если это так то печаль полная)
Поэтому команду вывожу в файл. Результат:

Спойлер

Monitoring eth0... (press CTRL-C to stop)

getting traffic...                      rx: 962.10 Mbit/s 92775 p/s tx: 68.80 Mbit/s 16758 p/s                                                                        rx: 962.10 Mbit/s 92720 p/s tx: 71.60 Mbit/s 17328 p/s                                                                        rx: 962.10 Mbit/s 92665 p/s tx: 72.92 Mbit/s 17650 p/s                                                                        rx: 962.12 Mbit/s 92687 p/s tx: 72.17 Mbit/s 17434 p/s                                                                        rx: 962.07 Mbit/s 92855 p/s tx: 73.10 Mbit/s 17738 p/s                                                                        rx: 962.09 Mbit/s 92786 p/s tx: 72.88 Mbit/s 17674 p/s                                                                        rx: 962.10 Mbit/s 92707 p/s tx: 72.98 Mbit/s 17716 p/s                                                                        rx: 962.13 Mbit/s 92769 p/s tx: 72.55 Mbit/s 17546 p/s                                                                        rx: 962.06 Mbit/s 92715 p/s tx: 72.29 Mbit/s 17537 p/s                                                                        rx: 962.07 Mbit/s 92923 p/s tx: 72.90 Mbit/s 17696 p/s                                                                        rx: 962.10 Mbit/s 92753 p/s tx: 72.58 Mbit/s 17585 p/s                                                                        rx: 962.07 Mbit/s 92911 p/s tx: 73.28 Mbit/s 17800 p/s                                                                        rx: 962.10 Mbit/s 92706 p/s tx: 72.77 Mbit/s 17612 p/s                                                                        rx: 962.09 Mbit/s 92775 p/s tx: 71.06 Mbit/s 17306 p/s                                                                        rx: 962.10 Mbit/s 92743 p/s tx: 69.02 Mbit/s 16882 p/s                                                                        rx: 962.09 Mbit/s 92808 p/s tx: 71.56 Mbit/s 17367 p/s                                                                        rx: 962.06 Mbit/s 92946 p/s tx: 72.95 Mbit/s 17639 p/s                                                                        rx: 962.12 Mbit/s 92638 p/s tx: 76.02 Mbit/s 18258 p/s                                                                        rx: 962.04 Mbit/s 92958 p/s tx: 76.10 Mbit/s 18285 p/s                                                                        rx: 962.12 Mbit/s 92652 p/s tx: 75.18 Mbit/s 18035 p/s                                                                        rx: 962.09 Mbit/s 92766 p/s tx: 76.48 Mbit/s 18398 p/s                                                                        rx: 962.09 Mbit/s 92813 p/s tx: 74.09 Mbit/s 17912 p/s                                                                        rx: 962.06 Mbit/s 92908 p/s tx: 72.29 Mbit/s 17545 p/s                                                                        rx: 962.13 Mbit/s 92553 p/s tx: 70.80 Mbit/s 17104 p/s                                                                        rx: 962.10 Mbit/s 92719 p/s tx: 68.51 Mbit/s 16756 p/s                                                                        rx: 962.07 Mbit/s 92921 p/s tx: 69.27 Mbit/s 16915 p/s                                                                        rx: 962.10 Mbit/s 92748 p/s tx: 68.47 Mbit/s 16723 p/s                                                                        rx: 962.07 Mbit/s 92943 p/s tx: 74.29 Mbit/s 17891 p/s                                                                        rx: 962.10 Mbit/s 92693 p/s tx: 76.59 Mbit/s 18261 p/s                                                                        rx: 962.11 Mbit/s 92671 p/s tx: 75.92 Mbit/s 18286 p/s                                                                        rx: 962.10 Mbit/s 92846 p/s tx: 75.66 Mbit/s 18218 p/s                                                                        rx: 962.07 Mbit/s 92779 p/s tx: 72.67 Mbit/s 17590 p/s                                                                        rx: 962.09 Mbit/s 92802 p/s tx: 68.18 Mbit/s 16709 p/s                                                                        rx: 962.09 Mbit/s 92779 p/s tx: 68.36 Mbit/s 16774 p/s                                                                        rx: 962.07 Mbit/s 92889 p/s tx: 70.25 Mbit/s 17159 p/s                                                                        rx: 962.10 Mbit/s 92778 p/s

CPU в норме, 60% приблизительно на потоках
Самое интересное и пинг не скачет до небес. максимум прыгает до 150 при обычном 30-40
iptables заблокированные страны также пакеты растут. DDOS проявляется таким образом: Ровно 10 минут ddos, затем 5 минут нету и потом снова повтор.

 

[Николай Калинин]

Также информация iptables за 20 минут ddos:

 

[Николай Калинин]

Вопрос также: тратит ли он денюшку за такой ботнет? Либо возможно он сам владелец такого ботнета? Если тратит то сколько у него выходят приблизительно расходы? Хочется его без трусов оставить)
Наврядли я думаю это бесплатно, что забил весь гигабитный канал :/

 

[Александр Смирнов 8452246]

Николай Калинин, наивный! Никто не будет заказывать DOS на все деньги. И забить твой гигабитный канал - стоит копейки. При удачном раскладе, твой Гигабит можно соточкой положить.

 

[Николай Калинин]

Гмм... порядка 10000 ip? Жаль что так дешево. Соточка в час?)

 

[Александр Смирнов 8452246]

каналом 100мб при удачном раскладе можно положить 1000мб. А 100мб сейчас - у каждого пионера, домашний инет. Так что, считай что соточка рублей в месяц.

 

[Николай Калинин]

Так не DOS, а DDOS варьируется порядка 10000ip, точно не могу сказать
Это ботнет) И я так понял если гигабит забит канал, то такую атаку возможно отразить только маршрутизатором на входе, верно? Другого выхода нету?

 

[Александр Смирнов 8452246]

Дядя, а ты в курсе, что в протоколах UDP можно на свое усмотрение маркировать пакеты? Тебе будет казаться, что тебя атакует весь земной шар, будет отчет о 1000000 IP, а на самом деле, это пионер ложит тебя домашним каналом.

P.S. Я не буду описывать процедуру, как каналом в 100мб положить Гигабит. Интересно - пиши в ЛС.

 

[Николай Калинин]

Александр, был не в курсе. Возможно ли это предотвратит без маршрутизатора, а на системном уровне? И пусть фантастика, но как можно так забить 100Мб инетом)) ( rx: 962.10 Mbit/s 92775 p/s)

 

[Александр Смирнов 8452246]

Отписал тебе в ЛС. Я дал не точное руководство к действию, а примерное описание механизма подобных атак.

 

[WINS]

reject-with icmp-port-unreachable

режект само не есть гуд + отправка исмп атакующему = бред
онли дроп - снизит нагрузку цпу + уменьшит исходящий траф (патазитный), а его генерится не мало.
с засраным каналом можно бороться только на уровне вышестоящих железяк, локальные меры бесполезны.
кстати все эти пыонэр ддосы растут из-за криворуких сис админов, нагенерить несколько десятков гигабит нынче не проблема

 

[Николай Калинин]

WINS, извините, но команда мне не понятна
reject-with icmp-port-unreachable
Понял что буду защищаться с помощью маршрутизатора) знать только где он и вообще получить к нему доступ :D

 

[WINS]

"команда" взята из этого поста http://hlmod.ru/forum/showpost.php?p=211138&postcount=4
в иптаблесе при отбросе трафика из "нелегитимных" стран надо изменить действие с REJECT на DROP и не будит таких адовых значений tx: 71.60 Mbit/s 17328 p/s

например, дропаем китай:

iptables -I INPUT -m geoip --src-cc CN -j DROP

а еще более правильно будит пускать определенные страны, остальных дроп.
это опять же облегчит жизнь серверу, ибо не будит полотенца из правил.

iptables -P INPUT DROP
iptables -I INPUT -m geoip --src-cc RU -j ACCEPT
iptables -I INPUT -m geoip --src-cc UA -j ACCEPT

 

[Николай Калинин]

WINS, спасибо) Но это не поможет
Я пробовал и REJECT и DROP. Результат по факту тот же.

Добавлено через 14 часов 21 минуту
Подскажите лучше как просмотреть верный список ip адресов которые атакуют
Выполняю команду sudo tcpdump -v -n -w ddos.log -c
Но считаю что это не совсем корректная команды. Там высветился список из 60000 ip адресов
netstat -ntu|awk '{print $5}'|cut -d: -f1|sort|uniq -c|sort -n
показывает 3 ip адреса

 

[WINS]

извините спросить, на основании чего "оно" будит само знать что его атакуют?

 

[Monomizer]

ТС, вставай на хостинг с защитой, единственное актуальное решение проблемы.
iptables поможет лишь от школоддоса(ну не защищает он от реального), а в неграмотных руках можешь вообще доступ к ssh своему перекрыть