Új hozzászólás Aktív témák
-
The DJ
addikt
Hasznos cikk, most nekem is jól jött
Viszont lenne egy szakmai kérdésem ezzel kapcsolatban:
"A paranccsal egy csomó IP címet kaptam. Gondoltam, a rosszak nem csak 1 kapcsolatot indítanak, úgyhogy a listát rendeztem és megszámoltam, az egyes IP-k hányszor fordulnak elő, majd még egy rendezés a lista végére tette a legaktívabb támadókat:
netstat -tn|grep ':80'|tr -s ' '|cut -d' ' -f5|cut -d':' -f1|sort|uniq -c|sort -n"
Hogy lehetne azt megoldani, hogy ezen rendezett lista elemeit elmentse egy fájlba, de úgy, hogy csak azok kerüljenek mentésre, amik a legaktívabbak. Addig eljutottam, hogy fájlba mentem a listát, de nem tudom hogyan lehetne csak mondjuk az 5 legaktívabb támadó IP-t mentésre bírni az összes helyett. (Akarok készíteni egy egyszerű kis shell scriptet, ami elvégzi ezt a folyamatot automatikusan helyettem vész esetén és működik is a nyers változat, de ez az utolsó lépés még hiányzik. És mindenkit azért nem akarok bannolni
)Valakinek van valami ötlete?
-
#20
loszerafin
senior tag
Elbandi
#18
loszerafin
senior tag
Köszönöm az ötletet.
Van iplimit patch is, hasonlóan jó lehet ez is:
Szeretném kérni azokat, akiknek van más ötletük, mint amit leírtam a cikkben, hogy ne csak egy két szóban írják le, hanem konkrét példával, linkkel, úgy hasznosabb. Előre is köszönöm.
-
#19
loszerafin
senior tag
loszerafin
#11
loszerafin
senior tag
válasz
loszerafin
#11
üzenetére
Szóval, volt egy felvetés, hogy a nagy portáloknál mit csinálnak ilyen esetben.
Szerintem lehet, hogy semmit. Ami nálam DDOS támadás volt, azt lehet, hogy pl. az index.hu webszervere észre sem veszi, talán még a napi átlag PI se nagyon változik
-
Elbandi
aktív tag
iptablesnek van "recent" nevu match-a. azzal szepen le lehet szabalyozni, hogy 1 iprol X kapcsolat / adott ido alatt. ha valaki tamad, akkor ritka gyorsan elkezdi az iptables eldobalni a csomagokat. persze ez akkor nemer semmit, ha 800 zombi kezdi nyaldosni a webservert....
-
#17
loszerafin
senior tag
dabadab
#16
-
#16
dabadab
titán
loszerafin
#15
válasz
loszerafin
#15
üzenetére
a badranges.txt-t mezitlabas sort | uniq komboval generalod, mondjuk igy cikkbe jobb is igy, mert azert erthetobb, mint a sort -u
azert fasza volt latni egy kis irast a scripteles hasznossagarol
-
#15
loszerafin
senior tag
dabadab
#14
loszerafin
senior tag
grat. és köszönöm. sort -u -ról nem tudtam. A -n-meg eredetileg benne volt a scriptjeimben, de mikor a cikket írtam, kifelejtettem. Most beleírom.
Sajnos, itt a példában levő sort|uniq -ot nem tudom lerövidíteni sort -u val, mert uniq -c van, olyat meg nem tud a sort (megszámolni az egyező sorokat)
-
#14
dabadab
titán
loszerafin
#3
válasz
loszerafin
#3
üzenetére
A uniq utani sortnak adjal egy -n-et, es akkor az 5 nem a 231 es a 98 kozott lesz
Ja, es a sort | uniq optimalizalt valtozata meg a sort -u -
#13
loszerafin
senior tag
loszerafin
senior tag
Van itt egy érdekes beszélgetés erről a témáról magyarul:
http://hup.hu/modules.php?name=News&file=article&sid=7729
Kiemelnék egy részt belőle:
Egy aktiv DDos tamadas ellen a legjobb a szomszedos szobaban uldogelo operator, aki aktivan be tud avatkozni, es akar /16-os halozatokat tehet blacklistre egyetlen masodperc alatt a webszerverek elotti vedelmi retegben. (Nekem anno a freenet.hu operatori helyisege tetszett nagyon, szepen projektorokkal a falra vetitett aktualis szerverterhelesi grafikonokkal, meg avg load szamokkal).
([_Joel])
-
#12
loszerafin
senior tag
jerry311
#8
loszerafin
senior tag
Utánanéztem annak, amit mondtál a half-open kapcsolatról:
* Már van ilyen iptables beállításom
* Kipróbáltam, hogy nmap-pel a 80-as portot TCP syn scan-nel scannelem. A háttérben futtattam jó sok nmap-et, 3 gépen. Nem jelent meg "Reading Request" az apache statusaban, úgyhogy a szóban forgó ddos-os támadás nem ilyen módon történt.
-
Meg hát azon is múlik a dolog hogy mennyire vagy paranoid... És amúgy sem túl valószínű, tényleg, hogy Japánból akárki is megnézné az oldalad. Nyilván ha egy világszerte látogatott oldal lennél akkor nem lenne ilyen könnyű a megoldás. :-)
-
#9
loszerafin
senior tag
jerry311
#8
loszerafin
senior tag
Szerintem túl durva azt is eldobni, ami a támadó gépek hálózatából jön, de nem támadás, hanem valós kérés.
Tökéletesen igazad van, általánosságban.
Viszont a _saját_ webszerveremnél _én_ nyugodtan eldönthetem, mit tartok fontosabbnak:
azt hogy esetleg pár user japánból megnézhesse-e a weboldalam, vagy hogy néhány 100 magyar user biztos meg tudja nézni az oldalam.Én az utóbbit választottam.
Azért kellett a teljes hálózatukból eldobálnom a csomagokat, mert a támadó gépek száma folyamatosan változott, viszont mind ugyanabból a néhány hálózatból jöttek.
Persze irhattam volna egy scriptet, ami figyel és folyton újabb iptables-eket ad ki, de minek. Az én szempontom az volt, hogy minél hamarabb, minél egszerűbben megszabaduljak tőlük,
hiszen nem csak a szerverem cpu-ját terhelik, hanem engem is. -
#8
jerry311
nagyúr
loszerafin
#4
jerry311
nagyúr
válasz
loszerafin
#4
üzenetére
Szerintem túl durva azt is eldobni, ami a támadó gépek hálózatából jön, de nem támadás, hanem valós kérés.
TCP handshake azért illik hogy meglegyen 1-2 másodpercen belül, ha nem akkor kapcsolat bontása...
-
#7
MyCroft
tag
loszerafin
#6
MyCroft
tag
válasz
loszerafin
#6
üzenetére
Sose tudhatod.. a japók mindenre képesek, lehet már több száz fős rajongótáborod van
Amúgy annyiban igazad van végülis, hogy dosolni lehet úgy is, hogy teljes TCP kapcsolat kiépüljön.
Mondjuk a dost én sose értettem - leszámítva persze, amikor valami ismertebb vállalat, szervezet ellen alkalmazzák, mert valami nem tetszik x embernek. Miért jó ez?
Hacsak nincs valami ellenségedEttől nem lesz valaki hacker, pláne, hogy manapság kattingatással dosolhat minden 10 éves
Mert ha portscant kapnál vagy valami "értelmes" dolgot, akkor "oké", próbálkozik valaki. -
#6
loszerafin
senior tag
MyCroft
#5
loszerafin
senior tag
Igazad van.
Viszont engem japánból támadtak és hacsak nem egy ottani magyar kolóniáról van szó (esetleg egy nyelvtanuló csoportról) nem hiszem, hogy érdekelné őket a weboldalam
Szerintem jobb eldobni minden csomagjukat, hátha tudnak trükkösebb támadást, esetleg próbálkoznak más porttal is. De ma éjjel tesztelek más módszereket is, utánanézek ennek is.
Egyébként van más megoldás is, pl. apache-hoz van egy mod_evasive modul, az állítólag véd a dos támadás ellen. Nem tudtam kipróbálni, mert nem találtam debian csomagban, forrásból feltenni meg időigényesebb lett volna, mint ez az iptables-es dolog.
-
#5
MyCroft
tag
loszerafin
#4
MyCroft
tag
válasz
loszerafin
#4
üzenetére
A DDoS általában botnetről jön, ha eldobsz minden csomagot az érintett IP-kről, akkor ha szerencsétlen ártatlan (?) user, aki az egyik botnetes gép tulaja, meg akarja nézni a weboldalad, nem fog neki sikerülni. Viszont ha lezárod azokat, amik epszilon timeouttal nem fejezték be a TCP handshake-et, akkor a "normál üzemmódú" usernek működik a dolog, ha meg megint DDoS-olnak, akkor ugyanúgy védve vagy.
Szerintem...
De szóljatok ha hülyeséget beszélek -
#3
loszerafin
senior tag
DArchAngel
#1
loszerafin
senior tag
válasz
DArchAngel
#1
üzenetére
Köszönöm.
Mondhatni profi vagyok shell-ben, amikor az LPI vizsgámra készültem nagyon megtanultam. Meg bash-sal szoktam összefércelni a perl programjaimat.Hogyne, ilyen könnyedén ment igazából (egy fenéket, izzadtam, mint a fene).
-
#1
DArchAngel
tag
DArchAngel
tag
Gratulálok!
Szép volt...Jól vágod a shell parancsokat, vagy azért nem ment annyira egyszerűen, mint az írásból kitűnik?
)
Új hozzászólás Aktív témák
- ASUS notebook topic
- AMD Ryzen 9 / 7 / 5 7***(X) "Zen 4" (AM5)
- Azonnali fotós kérdések órája
- LG LCD és LED TV-k
- Először égett le egy újságnál a GeForce RTX 5090
- Philips Hue – az okos lámpák királya
- Milyen légkondit a lakásba?
- Borotva, szakállnyíró, szakállvágó topic
- NVIDIA GeForce RTX 5080 / 5090 (GB203 / 202)
- Elemlámpa, zseblámpa
- További aktív témák...
- Szép HP EliteBook 840 G9 Fémházas Hordozható Érintős Ultrabook 14" -40% i5-1235U 32/1TB Iris Xe FHD+
- Logitech G935
- Creative Sound Blaster Live! 5.1-es digitális PCI hangkártya
- Rock Shox Recon Silver Air gyorszáras villa eladó (29-es)!
- ÚJ Nvidia RTX 5060/TI 8-16Gb GDDR7 DLSS4.0 Ryzen 7 5800X 16x4.7Ghz/32GB/512Gb/1TB M SSD/2ÉV gamer PC
- Lian Li HydroShift LCD 360R/TL AIO vízhűtés eladó!
- Bomba ár! HP EliteBook 830 G5 - i5-8G I 8GB I 256GB SSD I 13,3" FHD I HDMI I Cam I W11 I Gari!
- GYÖNYÖRŰ iPhone 13 mini 256GB Pink -1 ÉV GARANCIA - Kártyafüggetlen, MS3061, 96% Akkumulátor
- LG 34GS95UE - 34" Ívelt OLED / QHD 2K / 240Hz & 0.03ms / 1300 Nits / NVIDIA G-Sync / AMD FreeSync
- Samsung Galaxy S25 128GB Kártyafüggetlen 1 év Garanciával
Állásajánlatok
Cég: FOTC
Város: Budapest