Witam.
Ostatnio zauważyłem, że pewna, nieznana mi osoba zaczęła obciążać moje łącze na serwerze dedykowanym. Posiadam 60Mb/s na 40Mb/s (1 wtyk eth), a on zapewne 100Mb/s na jakimś VPS-ie. Podchodzi to już pod atak DoS, dlatego poszukuję skutecznego sposobu na monitorowanie swojego pasma i możliwie uzyskanie niepodważalnego dowodu, który mógłbym przekazać policji.
Czego bym oczekiwał od np. aplikacji, aby działała 24h na dobę i logowała mój ruch sieciowy. Potrzebuję wydobyć ip tej osoby i informację w jaki sposób zżera łącze, czyli port z jakim się łączy.
Dotychczas korzystałem z programów iftop oraz iptraf. W drugim przypadku, program idealny, ale nie może działać cały czas, ponieważ obciąża bardzo procesor. Dodam jeszcze, że generuje wykresy ruchu sieci poprzez lstat.
Być może istnieje jakiś inny sposób na walkę z DoSem? Liczę na wypowiedź w tej sprawie.
Edycja:
Do firewalla używam Arno Iptables Firewall, ale w logach nic podejrzanego nie zauważyłem.
[+] Skuteczne monitorowanie pasma
Jeśli to DDOS to najwyraźniej Twój firewall jest do kitu. IP oraz to na jaki port przypuszcza atak uzyskasz chociażby netstatem, oraz tcpdumpem. Sprawdz (netstat, lsof) czy połączenie które generuje wychodzi tylko od niego, i czy czasem nie masz jakiegoś skryptu zapuszczonego co wychodzący ruch też Ci zapycha. Jeżeli tak jest i Twoj system jest przejęty to pozostaje Ci sprawdzić logi czy tam da się coś wyłapać. Jednak sypanie na policję dlatego, że ktoś Ci robi DDosa na niezabezpieczonym systemie, jest moim zdaniem troche na wyrost.
To raczej nie DDoS, tylko DoS, ten pseudo atak trwa maksymalnie 1,5-2 minuty. Jestem prawie przekonany, że to jakiś dzieciak i na 99% nie potrafi wykonać ataku DDoS. Mój firewall zablokowałby takie połączenie. Podejrzewam, że on po prostu wysysa mi łącze np. wysyłając jakiś plik (sprawdziłem, połączenie było przychodzące), choć nie wykluczone, że to inna forma ataku. Choć sprawdzałem logi ftp, proxy itd. to nic nie znalazłem, notabene nie wszystkie aplikacje potrafią generować logi, po których mógłbym dojść, kto to i w jaki sposób to robi.
Co do netstat i tcpdump, w jaki sposób mam się połączyć przez ssh, jeśli blokuje mi całe łącze, poza tym, nie siedzę przed konsolą 24 godziny na dobę. Te same informacje i to w bardziej przystępnej formie udostępnia mi iptraf i zarazem pozwala logować wszystko do pliku, ale że obciąża procesor nie mogę zostawić go w sesji.
Możliwe, że używa do tego aplikacji teamspeak, która korzysta z portu udp do nasłuchiwania i drugiego do przesyłania plików. Ograniczyłem prędkości na drugim porcie, ale to nic nie dało.
Co do netstat i tcpdump, w jaki sposób mam się połączyć przez ssh, jeśli blokuje mi całe łącze, poza tym, nie siedzę przed konsolą 24 godziny na dobę. Te same informacje i to w bardziej przystępnej formie udostępnia mi iptraf i zarazem pozwala logować wszystko do pliku, ale że obciąża procesor nie mogę zostawić go w sesji.
Możliwe, że używa do tego aplikacji teamspeak, która korzysta z portu udp do nasłuchiwania i drugiego do przesyłania plików. Ograniczyłem prędkości na drugim porcie, ale to nic nie dało.
Ile masz MHz na tym VPS-ie, że iptraf zżera Ci zasoby procesora. Tcpdumpem oczywiście, też jesteś wstanie zebrać logi, chociażby zwykłym przkierowaniem do pliku ">" tyle, że trzeba mądrze polecenie skonstruować. Dobrze, szukasz czegoś innego to może spróbuj z programem bwm-ng:
Zapisuje do formatu cvs logi
PS. A nie możesz na firewallu po prostu ustawić maksymalną przepustowość na jaką mogą być ustanawiane jednostkowe połączenia, tak aby zostawić sobie trochę pasma na ssh, chociażby?
Kod: Zaznacz cały
bwm-ng --count 0 -o csv -I eth0 -T rate -u bytes -t 1000 > yourfile.csv
PS. A nie możesz na firewallu po prostu ustawić maksymalną przepustowość na jaką mogą być ustanawiane jednostkowe połączenia, tak aby zostawić sobie trochę pasma na ssh, chociażby?
-
LordRuthwen
- Moderator
- Posty: 2324
- Rejestracja: 18 września 2009, 21:45
- Lokalizacja: klikash?
Mam serwer dedykowany, którego sam składałem i sam podłączałem. Miałem taką płytę jaką miałem, wybrałem do niej najlepszy procesor na tym gnieździe (1,8GHz). iptraf wykorzystuje mi około 60% mocy procesora, a gdzie miejsce na resztę aplikacji?
Co do tcpdumpa, oczywiście wystarczyłby wpis w cronie, ale jeżeli nie znajdę żadnego rozwiązania, to napiszę jakiś skrypt w bashu, tak, żeby potem nie przeglądać logów o N rozmiarach, czyli wyrzucę niepotrzebne mi dane, stare logi będę automatycznie usuwał.
Przetestuje jeszcze bwm-ng.
Nawet mam taką wtyczkę do arno i oczywiście z niej skorzystam w przyszłości, ale jak na razie chciałbym dowiedzieć się jak atakuje. To tak jak z programami, nie zaczniesz go używać, jeśli nie nauczysz się obsługi, tak i w moim wypadku, dowiem się jak atakuje, a następnie wyprowadzę kontrę i zabezpieczę odpowiednio swój serwer.
Dodane:
Ostatecznie rozwiązałem problem skryptem w bashu, rotacja logów co godzinę, oraz usuwanie plików starszych niż 1 dzień. Myślę, że to na początek wystarczy, w razie potrzeb będę myślałem nad rozbudowaniem skryptu i odpowiednim zabezpieczeniem się przed atakami DoS. Dziękuję i pozdrawiam.
Co do tcpdumpa, oczywiście wystarczyłby wpis w cronie, ale jeżeli nie znajdę żadnego rozwiązania, to napiszę jakiś skrypt w bashu, tak, żeby potem nie przeglądać logów o N rozmiarach, czyli wyrzucę niepotrzebne mi dane, stare logi będę automatycznie usuwał.
Przetestuje jeszcze bwm-ng.
Nawet mam taką wtyczkę do arno i oczywiście z niej skorzystam w przyszłości, ale jak na razie chciałbym dowiedzieć się jak atakuje. To tak jak z programami, nie zaczniesz go używać, jeśli nie nauczysz się obsługi, tak i w moim wypadku, dowiem się jak atakuje, a następnie wyprowadzę kontrę i zabezpieczę odpowiednio swój serwer.
Dodane:
Ostatecznie rozwiązałem problem skryptem w bashu, rotacja logów co godzinę, oraz usuwanie plików starszych niż 1 dzień. Myślę, że to na początek wystarczy, w razie potrzeb będę myślałem nad rozbudowaniem skryptu i odpowiednim zabezpieczeniem się przed atakami DoS. Dziękuję i pozdrawiam.