Új hozzászólás Aktív témák
-
The DJ
addikt
Hasznos cikk, most nekem is jól jött
Viszont lenne egy szakmai kérdésem ezzel kapcsolatban:
"A paranccsal egy csomó IP címet kaptam. Gondoltam, a rosszak nem csak 1 kapcsolatot indítanak, úgyhogy a listát rendeztem és megszámoltam, az egyes IP-k hányszor fordulnak elő, majd még egy rendezés a lista végére tette a legaktívabb támadókat:
netstat -tn|grep ':80'|tr -s ' '|cut -d' ' -f5|cut -d':' -f1|sort|uniq -c|sort -n"
Hogy lehetne azt megoldani, hogy ezen rendezett lista elemeit elmentse egy fájlba, de úgy, hogy csak azok kerüljenek mentésre, amik a legaktívabbak. Addig eljutottam, hogy fájlba mentem a listát, de nem tudom hogyan lehetne csak mondjuk az 5 legaktívabb támadó IP-t mentésre bírni az összes helyett. (Akarok készíteni egy egyszerű kis shell scriptet, ami elvégzi ezt a folyamatot automatikusan helyettem vész esetén és működik is a nyers változat, de ez az utolsó lépés még hiányzik. És mindenkit azért nem akarok bannolni
)Valakinek van valami ötlete?
-
#20
loszerafin
senior tag
Elbandi
#18
loszerafin
senior tag
Köszönöm az ötletet.
Van iplimit patch is, hasonlóan jó lehet ez is:
Szeretném kérni azokat, akiknek van más ötletük, mint amit leírtam a cikkben, hogy ne csak egy két szóban írják le, hanem konkrét példával, linkkel, úgy hasznosabb. Előre is köszönöm.
-
#19
loszerafin
senior tag
loszerafin
#11
loszerafin
senior tag
válasz
loszerafin
#11
üzenetére
Szóval, volt egy felvetés, hogy a nagy portáloknál mit csinálnak ilyen esetben.
Szerintem lehet, hogy semmit. Ami nálam DDOS támadás volt, azt lehet, hogy pl. az index.hu webszervere észre sem veszi, talán még a napi átlag PI se nagyon változik
-
Elbandi
aktív tag
iptablesnek van "recent" nevu match-a. azzal szepen le lehet szabalyozni, hogy 1 iprol X kapcsolat / adott ido alatt. ha valaki tamad, akkor ritka gyorsan elkezdi az iptables eldobalni a csomagokat. persze ez akkor nemer semmit, ha 800 zombi kezdi nyaldosni a webservert....
-
#17
loszerafin
senior tag
dabadab
#16
-
#16
dabadab
titán
loszerafin
#15
válasz
loszerafin
#15
üzenetére
a badranges.txt-t mezitlabas sort | uniq komboval generalod, mondjuk igy cikkbe jobb is igy, mert azert erthetobb, mint a sort -u
azert fasza volt latni egy kis irast a scripteles hasznossagarol
-
#15
loszerafin
senior tag
dabadab
#14
loszerafin
senior tag
grat. és köszönöm. sort -u -ról nem tudtam. A -n-meg eredetileg benne volt a scriptjeimben, de mikor a cikket írtam, kifelejtettem. Most beleírom.
Sajnos, itt a példában levő sort|uniq -ot nem tudom lerövidíteni sort -u val, mert uniq -c van, olyat meg nem tud a sort (megszámolni az egyező sorokat)
-
#14
dabadab
titán
loszerafin
#3
válasz
loszerafin
#3
üzenetére
A uniq utani sortnak adjal egy -n-et, es akkor az 5 nem a 231 es a 98 kozott lesz
Ja, es a sort | uniq optimalizalt valtozata meg a sort -u -
#13
loszerafin
senior tag
loszerafin
senior tag
Van itt egy érdekes beszélgetés erről a témáról magyarul:
http://hup.hu/modules.php?name=News&file=article&sid=7729
Kiemelnék egy részt belőle:
Egy aktiv DDos tamadas ellen a legjobb a szomszedos szobaban uldogelo operator, aki aktivan be tud avatkozni, es akar /16-os halozatokat tehet blacklistre egyetlen masodperc alatt a webszerverek elotti vedelmi retegben. (Nekem anno a freenet.hu operatori helyisege tetszett nagyon, szepen projektorokkal a falra vetitett aktualis szerverterhelesi grafikonokkal, meg avg load szamokkal).
([_Joel])
-
#12
loszerafin
senior tag
jerry311
#8
loszerafin
senior tag
Utánanéztem annak, amit mondtál a half-open kapcsolatról:
* Már van ilyen iptables beállításom
* Kipróbáltam, hogy nmap-pel a 80-as portot TCP syn scan-nel scannelem. A háttérben futtattam jó sok nmap-et, 3 gépen. Nem jelent meg "Reading Request" az apache statusaban, úgyhogy a szóban forgó ddos-os támadás nem ilyen módon történt.
-
Meg hát azon is múlik a dolog hogy mennyire vagy paranoid... És amúgy sem túl valószínű, tényleg, hogy Japánból akárki is megnézné az oldalad. Nyilván ha egy világszerte látogatott oldal lennél akkor nem lenne ilyen könnyű a megoldás. :-)
-
#9
loszerafin
senior tag
jerry311
#8
loszerafin
senior tag
Szerintem túl durva azt is eldobni, ami a támadó gépek hálózatából jön, de nem támadás, hanem valós kérés.
Tökéletesen igazad van, általánosságban.
Viszont a _saját_ webszerveremnél _én_ nyugodtan eldönthetem, mit tartok fontosabbnak:
azt hogy esetleg pár user japánból megnézhesse-e a weboldalam, vagy hogy néhány 100 magyar user biztos meg tudja nézni az oldalam.Én az utóbbit választottam.
Azért kellett a teljes hálózatukból eldobálnom a csomagokat, mert a támadó gépek száma folyamatosan változott, viszont mind ugyanabból a néhány hálózatból jöttek.
Persze irhattam volna egy scriptet, ami figyel és folyton újabb iptables-eket ad ki, de minek. Az én szempontom az volt, hogy minél hamarabb, minél egszerűbben megszabaduljak tőlük,
hiszen nem csak a szerverem cpu-ját terhelik, hanem engem is. -
#8
jerry311
nagyúr
loszerafin
#4
jerry311
nagyúr
válasz
loszerafin
#4
üzenetére
Szerintem túl durva azt is eldobni, ami a támadó gépek hálózatából jön, de nem támadás, hanem valós kérés.
TCP handshake azért illik hogy meglegyen 1-2 másodpercen belül, ha nem akkor kapcsolat bontása...
-
#7
MyCroft
tag
loszerafin
#6
MyCroft
tag
válasz
loszerafin
#6
üzenetére
Sose tudhatod.. a japók mindenre képesek, lehet már több száz fős rajongótáborod van
Amúgy annyiban igazad van végülis, hogy dosolni lehet úgy is, hogy teljes TCP kapcsolat kiépüljön.
Mondjuk a dost én sose értettem - leszámítva persze, amikor valami ismertebb vállalat, szervezet ellen alkalmazzák, mert valami nem tetszik x embernek. Miért jó ez?
Hacsak nincs valami ellenségedEttől nem lesz valaki hacker, pláne, hogy manapság kattingatással dosolhat minden 10 éves
Mert ha portscant kapnál vagy valami "értelmes" dolgot, akkor "oké", próbálkozik valaki. -
#6
loszerafin
senior tag
MyCroft
#5
loszerafin
senior tag
Igazad van.
Viszont engem japánból támadtak és hacsak nem egy ottani magyar kolóniáról van szó (esetleg egy nyelvtanuló csoportról) nem hiszem, hogy érdekelné őket a weboldalam
Szerintem jobb eldobni minden csomagjukat, hátha tudnak trükkösebb támadást, esetleg próbálkoznak más porttal is. De ma éjjel tesztelek más módszereket is, utánanézek ennek is.
Egyébként van más megoldás is, pl. apache-hoz van egy mod_evasive modul, az állítólag véd a dos támadás ellen. Nem tudtam kipróbálni, mert nem találtam debian csomagban, forrásból feltenni meg időigényesebb lett volna, mint ez az iptables-es dolog.
-
#5
MyCroft
tag
loszerafin
#4
MyCroft
tag
válasz
loszerafin
#4
üzenetére
A DDoS általában botnetről jön, ha eldobsz minden csomagot az érintett IP-kről, akkor ha szerencsétlen ártatlan (?) user, aki az egyik botnetes gép tulaja, meg akarja nézni a weboldalad, nem fog neki sikerülni. Viszont ha lezárod azokat, amik epszilon timeouttal nem fejezték be a TCP handshake-et, akkor a "normál üzemmódú" usernek működik a dolog, ha meg megint DDoS-olnak, akkor ugyanúgy védve vagy.
Szerintem...
De szóljatok ha hülyeséget beszélek -
#3
loszerafin
senior tag
DArchAngel
#1
loszerafin
senior tag
válasz
DArchAngel
#1
üzenetére
Köszönöm.
Mondhatni profi vagyok shell-ben, amikor az LPI vizsgámra készültem nagyon megtanultam. Meg bash-sal szoktam összefércelni a perl programjaimat.Hogyne, ilyen könnyedén ment igazából (egy fenéket, izzadtam, mint a fene).
-
#1
DArchAngel
tag
DArchAngel
tag
Gratulálok!
Szép volt...Jól vágod a shell parancsokat, vagy azért nem ment annyira egyszerűen, mint az írásból kitűnik?
)
Új hozzászólás Aktív témák
- iOS alkalmazások
- BestBuy topik
- Home server / házi szerver építése
- Allegro vélemények - tapasztalatok
- Hitelkártyák használata, hitelkártya visszatérítés
- Diablo IV
- Nintendo Switch 2
- Motorolaj, hajtóműolaj, hűtőfolyadék, adalékok és szűrők topikja
- PlayStation 5
- Peugeot, Citroën topik
- További aktív témák...
- Lenovo ThinkPad // T - Széria // X1 carbon // X1 Yoga 2-in-1 // és a többiek... 3-12. gen.
- Nvidia Quadro M2000/ P2000/ P4000/ RTX 4000/ RTX 5000/ RTX A2000
- ÁRGARANCIA! Épített KomPhone i5 12400F 16/32/64GB RAM RTX 5050 8GB GAMER PC termékbeszámítással
- Dell D6000 univerzális dokkoló USB-C/ USB-A, DisplayLink & Dell WD15 (K17A) USB-C + 130-180W töltő
- Azonnali készpénzes nVidia RTX 2000 sorozat videokártya felvásárlás személyesen / csomagküldéssel
Állásajánlatok
Cég: Laptopműhely Bt.
Város: Budapest