• There is NO official Otland's Discord server and NO official Otland's server list. The Otland's Staff does not manage any Discord server or server list. Moderators or administrator of any Discord server or server lists have NO connection to the Otland's Staff. Do not get scammed!

Informacje dot ataków

M

Murach

Banned User
Joined
Aug 22, 2010
Messages
136
Reaction score
3
Jak to każdego z czasem spotyka, na serwer ktoś puszcza ataki.

Nie to że chciałbym ich się pozbyć, bo jest to nie możliwe, ale przynajmniej zmniejszyć lub poblokować adresy.

Mam takie pytanie, czy jest możliwość monitorowania adresu IP, który wysyła liczbę pakietów X ?

Przy sprawdzaniu za pomocą netstats ukazują mi się adresy IP rosnącą które zasypują troszeczkę maszynę, mogę sprawdzić to na dany port ale jest to trochę nietrafne, przy zbanowaniu ip przez iptables, ip dalej się pokazuje.

A więc, czy można jakoś zrobić tak, aby pokazywało mi dany IP w danym momencie ile wysyła pakietów ?

Pisze mi jakiś koleś na gg że wysłał mi 5 mln pakietów w 5 min, i gdzie to mogę sprawdzić ip i je zablokować ?
 
Sortuje wg. ilości połączeń, na wszystkie porty i pokazuje IP.
Code: 
netstat -na | grep 'ESTABLISHED' | awk '{print $4}' | uniq -c | sort -rn

Sortuje wg. ilości połączeń na podany port, też pokazuje IP.
Code: 
netstat -plan | grep :PORCIK | awk '{print $5}' | cut -d: -f 1 | sort | uniq -c | sort -n

Blokowanie IP na wszystkie porty.
Code: 
-A INPUT -s AJPI -j REJECT

Do sortowania wg. pakietów polecam tcptracka w którym dodatkowo możemy sprawdzić łącze jakie dane ip wykorzystuje, nie jestem pewien czy sam netstat może printować ilość pakietów.
 
Banuję tak

Code: 
iptables -A INPUT -s IP -j DROP

No ale zmienię na ten REJECT

Co do sortowania to tym samym sprawdzam, lecz z końcówką nk1 co wie co na zmienia
Code: 
netstat -plan | grep :80 | awk {'print $5'} | cut -d: -f 1 | sort | uniq -c | sort -nk 1

Lecz gdy atakują to nie mogę go wyłapać.

A za pomocą IPTRAF da radę wyciągnąć IP czy tylko monitorować ilość pakietów/bajtów ?

A można zrobić jakoś tak, aby tworzyło logi ?
Nie zawsze przy ataku można połączyć się z putty.
 
Last edited:
Murach said:
Banuję tak

Code: 
iptables -A INPUT -s IP -j DROP

No ale zmienię na ten REJECT
Click to expand...

REJECT dodatkowo pokazuje errory, rób jak uważasz.


Murach said:
Co do sortowania to tym samym sprawdzam, lecz z końcówką nk1 co wie co na zmienia
Code: 
netstat -plan | grep :80 | awk {'print $5'} | cut -d: -f 1 | sort | uniq -c | sort -nk 1

Lecz gdy atakują to nie mogę go wyłapać.
Click to expand...

-nk1 to parametry dla sort, sort jest od układania kolumn przy printowaniu.


Murach said:
A za pomocą IPTRAF da radę wyciągnąć IP czy tylko monitorować ilość pakietów/bajtów ?
Click to expand...

Ta, parametr
Code: 
-i
powinien Ci pomóc.
 
Mam mały problem, użytkownik z IP został zbanowany
Code: 
iptables -A INPUT -s 89.70.x.x -j REJECT

A przy wpisaniu
Code: 
[netstat -plan | grep :7171 | awk {'print $5'} | cut -d: -f 1 | sort | uniq -c | sort -nk 1
1 83.24.75.x
1 83.30.133.x
1 83.4.62.x
1 87.205.138.x
1 89.228.20.x
1 89.228.25.x
1 89.78.2.x
1 93.107.94.x
1 94.40.126.x
3 89.229.159.x
512 89.70.x.x
[/code]

Widać że te ip wysyła najwięcej zapytań na mój serwer. Co zrobić, aby nie miał takiej możliwości?
Z tym IP spotykam się już kolejny raz.
 
Murach said:
Mam mały problem, użytkownik z IP został zbanowany
Code: 
iptables -A INPUT -s 89.70.x.x -j REJECT

A przy wpisaniu
Code: 
[netstat -plan | grep :7171 | awk {'print $5'} | cut -d: -f 1 | sort | uniq -c | sort -nk 1
1 83.24.75.x
1 83.30.133.x
1 83.4.62.x
1 87.205.138.x
1 89.228.20.x
1 89.228.25.x
1 89.78.2.x
1 93.107.94.x
1 94.40.126.x
3 89.229.159.x
512 89.70.x.x
[/code]

Widać że te ip wysyła najwięcej zapytań na mój serwer. Co zrobić, aby nie miał takiej możliwości?
Z tym IP spotykam się już kolejny raz.
Click to expand...

A netstat przypadkiem nie sprawdza połączeń wyżej niż je wycina iptables? Zobacz czy tak samo będzie z dropem(po zresetowaniu maszyny regułki do iptablesów znikają).

Podaj całe ip, jak to nie prywatne łącze to spokojnie zgłosisz abuse i kolega maszynke straci.

A na przyszłość bardziej bym Ci polecał taki całkiem fajny kombajn jakim jest CSF, ma nakładke na webmina.
 
To znaczy, że jak blokuje dany IP w iptables to reguła netstats pokazuje połączenie które i tak nie dochodzi do serwera?

Tak, jeżeli zrestartuje maszynę, wszystkie reguły muszę wpisywać od nowa.
iptables-save nie zapisuje ich na stałe.

Te ip 89.70 jest to jego prywatne łącze, wiem co to za osoba i normalnie się z tym nie kryje że mnie atakuję, ale jeżeli to jego osiedlowe IP to co mogę innego zrobić oprócz blokady.

Atakował mnie także z maszyny, ale nie mogę wyłapać odpowiedniego momentu aby zobaczyć adres ip. Wtedy bym to zgłosił do serwerowni.

Dzięki za to informacje CSF, przetestuję.
 
Murach said:
To znaczy, że jak blokuje dany IP w iptables to reguła netstats pokazuje połączenie które i tak nie dochodzi do serwera?

Tak, jeżeli zrestartuje maszynę, wszystkie reguły muszę wpisywać od nowa.
iptables-save nie zapisuje ich na stałe.

Te ip 89.70 jest to jego prywatne łącze, wiem co to za osoba i normalnie się z tym nie kryje że mnie atakuję, ale jeżeli to jego osiedlowe IP to co mogę innego zrobić oprócz blokady.

Atakował mnie także z maszyny, ale nie mogę wyłapać odpowiedniego momentu aby zobaczyć adres ip. Wtedy bym to zgłosił do serwerowni.

Dzięki za to informacje CSF, przetestuję.
Click to expand...


Jak chcesz być skurwielem to zadzwoń do jego providera internetowego i opisz sytuacje :D Jeżeli atakował ze swojego własnego łącza a ty na to dasz dowody może mieć ładny przepierdol.
CSF przy odpowiednich ustawieniach sam wycina wszystko do tego ma bardzo zaawansowane logi, tylko od razu ostrzegam żebyś sprawdził wszystkie porty na udp i tcp z których twoja maszyna bd korzystać, bo standardowo on blokuje wszystko poza kilkoma portami, też miałem ładne kwiatki na dedyku jak pierwszy raz to konfigurowałem więc zanim zainstalujesz radziłbym poczytać readme.
CSF ma zintegrowanego fail2bana, na pewno wyłapie te wszystkie ataki i sporządzi odpowiednie logi, netstat to fajne urządzonko ale przy większych ddosach mało użyteczne.
 
Grandine said:
REJECT dodatkowo pokazuje errory, rób jak uważasz.
Click to expand...

Co ty pierdolisz, reject odrzuca i wysyła natychmiastowe powiadomienie w fladze TCP o stanie połączenia, powodzie odrzucenia wg rfc793. Dodatkowe errory to pokazuje -j LOG --log-level ...
 
Dulin said:
Co ty pierdolisz, reject odrzuca i wysyła natychmiastowe powiadomienie w fladze TCP o stanie połączenia, powodzie odrzucenia wg rfc793. Dodatkowe errory to pokazuje -j LOG --log-level ...
Click to expand...

Nie chodziło mi o logi czy errory a o info dla nadawcy z próbą połączenia, może trochę źle to ująłem.

@down

hajs sie zgadza
 
Last edited by a moderator:
A takie pytanie z innej półki, żeby nie zakładać kolejnego tematu.
Zna ktoś zapytanie SQL na to aby usunąć wszystkie konta które nie mają postaci ?

Jakiś wsiok za spamował mi bazę i stworzył 110 tys pustych kont ehh ; p
 
Be A Mafia said:
Albo google skłamało.
Click to expand...

Haha już wszyscy wiedzą kim on jest. Wyszukiwarką google :D.

@Quanti czy jak ty tam miałeś
Widać czasem że nie wiesz co sam piszesz bo wypowiadasz się w tematach posługując się wyszukiwarką szukając w niej odpowiedzi na dany temat o którym nie masz zielonego pojęcia albo masz tylko trochę. Jeśli nie znasz odpowiedzi to nie pisz jeśli ją znasz pisz lub nie pisz ale ty piszesz i będziesz pisał bo jesteś tak jak by cichym spamerem który nabija sobie chyba tylko posty i niszczy swoją reputacje. Pamiętasz tą zgache? jak znalazłem temat z 2010roku na forum o konsoleinfo o jakimś emulatorze czy czymś do ps2 :D:D szkoda że mod tak szybko edytował swój post a zarazm ty też swój. Była to kolejna twoje otlandowo postowa zasada (ctrl + c ---> ctrl + v i lekki edit żeby google nie znalazło) Uhehe łe!

Weście go zbanujcie bo żal gościa chyba potwierdzi to większość.. Albo mam pomysł zróbmy ankietę?
 
Back
Top