Проблеми із форумом

[webivan]

Disabled,
О чем жалеть. Судя по скринам на вход идет 45 мбит. Был бы канал 10 мбит, просто забился бы и сайт был бы вообще недоступен.
ДНС сервер на сервере не поднят случаем? А то по графикам когда вход выход почти равны на таких количествах очень похоже на использование сервера как прокладки для ДНС атаки.

Добавлено через 3 минуты
О и да, если нагрузка на nginx и БД от атаки идет - давай запилю примитивную защиту с установкой куки. Делается пару минут, и должно сильно разгрузить сервер.

 

[Disabled]

О и да, если нагрузка на nginx и БД от атаки идет - давай запилю примитивную защиту с установкой куки. Делается пару минут, и должно сильно разгрузить сервер.

Там nginx вообще не трогает, я его вырубал полностью, а трафик всё равно шел и даже не изменялся... dns не поднимал, на сервере вообще ничего кроме nginx и php5-fpm нету. Из процессов только ksoftirqd/0 жрал ресурсы дико.

netstat при выключеном nginx показывал только меня, а tcpdump показывал такое:
1319027 packets dropped by kernel
и это буквально за пару секунд работы.

В данный момент фаерволом отбивает всё кроме некоторых портов, потому исходящий трафик удалось убрать и сервер хоть как-то ожил, а вот входящий валит и валит.

 

[webivan]

Непонятно тогда откуда исходящий трафик был.
Ну если ddos идет не на 80й порт и nginx не дохнет от нагрузки тогда только ждать. Можно еще глянуть вдруг весь трафик валит с одного или нескольких ип - тогда можно в саппорт провайдера абузу написать.

 

[Паук]

Вряд ли. Скорее всего udp-флудом валят. Нужно tcpdump смотреть по протоколам.

 

[Disabled]

tcpdump смотреть по протоколам.

Смотрел, но ничего не увидел (может не так смотрел?). Я так понимаю что всё это туда не попадает, потому что всё это попадает "*** packets dropped by kernel". Уж больно космическая цифра там.

На данный момент ситуация с входящим трафиком не улучшается

 

[webivan]

Disabled,
Так и трафик кончиться может.
Попробуй ночью сменить указывание домена на левый ИП - если начнет спадать атака идет на домен - тогда это грустно. Если не начнет - атака на ИП, тогда есть варианты подшаманить со сменой ип.

 

[студент]

Для начала нужно понять тип трафика. На сервере есть iLO/IPKVM? Задискардь IP интерфейс. Если трафик пропал- TCP запросы, если нет- UDP.

Избавится от трафика можно только на маршрутизаторах, уровнем выше, и только если это DoS. Снимай дамп, и анализируй ТОР 10 сорсов с запросами; проси их занулить на твой адрес на уровне корневых маршрутизаторов. Если это DDoS, да ещё и TCP .......

Если есть контакт с соппортом, им легче проанализировать сессии/сорс на фаерволе/трафик анализатором

Добавлено через 3 минуты

Disabled, Если не начнет - атака на ИП, тогда есть варианты подшаманить со сменой ип.

Если начнётся распределённая атака на всю подсеть, после подшаманивания, то могут занулить весь ресурс в принципе. Это как снежная лавина. У нас трафик с сотни метров доходил до 80-100Gb (((

 

[webivan]

студент,
Так при чем тут распределенная атака на подсеть. Если под раздачей именно ип, а не домен - то можно его сменить, перенаправить домен и забить на то что будет со старым ип или подсетью.

 

[студент]

студент,
Так при чем тут распределенная атака на подсеть. Если под раздачей именно ип, а не домен - то можно его сменить, перенаправить домен и забить на то что будет со старым ип или подсетью.

Ну сменишь ты IP, и чо? Домен прорезолвится, возьмут новый destination, и атака возобновится. А для пущей уверенности можно выудить из ripe всю подсеть ....

Добавлено через 1 минуту
Тебе саппорт не даст забить. Им больно нужен твой флуд на uplink.

 

[Disabled]

Вчера примерно в 23:00 закончилось. Надеюсь и не возобновится.

 

[webivan]

студент,
Ты читал ЧТО я пишу? Я писал что если при смене ип трафик прекращается и атака идет на ИП, а не на домен до очевидно, что при смене ИП атака на новый не перенесется так как она идет на ИП, а не на домен. Если на домен то понятно, что меняй не меняй, только защиту подключать.

 

[студент]

DoS заказной (умышленный). Ты поймёшь, что атака не на домен, но это ресурс в принципе может и не спасти. Атакующий, через время, перенаправит трафик на новый IP интерфейс. И что тогда? Опять менять? На долго хватит ресурсов?

 

[dima1]

Только у меня медленно открываются страницы?

 

[EvgenyTar]

dima1, может и не только у тебя, но не у всех. У меня норм.

 

[Disabled]

Опять

 

[KML]

Disabled, льется с одного IP? или распределенная атака?

 

[Disabled]

KML, не знаю, tcpdump тупо не видит эту всю хрень

 

[KML]

Disabled, если unix, можешь попробовать утилитку tcptrack, использование:
sudo tcptrack -i (интерфейс)

 

[Disabled]

KML, показывает только подключения на 80-й порт

 

[al-m]

Да, форум реально стал тормозить.