Отлов нарушителей порядка

DOS, но не MS

Посмотреть аномальную активность пользователей на сервере можно так:

 netstat -nptcp | egrep -v 'Active|Address' | awk '{print $5}' | cut -d . -f 1-4 | sort | uniq -c | sort -n | tail -n 20 

Если с IP-адреса больше сотни соединений, это уже подозрительно 🙂 Можно сравнить с ТОП-20 соединений, например, с httpd (Apache):

 sockstat -4 | awk '/httpd/{print $7}' | cut -d : -f1 | sort | uniq -c | sort -n | tail -n 10 

Если топовый адрес из первого списка светится и в этом списке, значит что-то делает плохое, ДОСит, подбирает пароли и т.п., нужно ориентироваться уже по логу.

Можно просто посмотреть, на какие порты этот адрес ломится (4-я колонка):

 netstat -nptcp | grep IP 
Kill ‘em all

Если уже совсем понятно, что кто-то страдает ерундой, можно насильно разорвать соединения с этим адресом, для освобождения ресурсов:

 netstat -nptcp | egrep 'IP' | awk '{print $4" "$5}' | sed 's/\./ /4;s/\./ /7' | xargs -n 4 tcpdrop 

Вместо одного IP-адреса можно указать несколько IP-адресов, разделяя их пайпом, например:

 egrep 'IP1|IP2|IPn' 

Перед сбросом соединений, IP-адрес злостного нарушителя рекомендуется забанить в фаерволе. 🙂


Теги: , , , , , , , , , , , , ,

DDoS?

сегодня глючит Twitter и Flickr. Досят их, что ли…?


Теги: , , ,

Добро побеждает зло

Вот так, други мои, делаешь людям добро, а получаешь DDoS-атаку на свою задницу:

Dear FreeDns.ws users!
Unfortunately, our servers has been affected by a DDoS attack.
We are working on resultion of this problem in cooperation with our providers.
Normal operation of our service will be restored in 24 hours.
Thank you for understanding,
FreeDns.ws Administration.


Теги: , , , , ,

Пограничные войны

Не секрет, что настоящую сильную DDoS-атаку может отбить (отфильтровать) только серьезная железка [магистрального] провайдера. Бороться своими силами (силами серверной ОСи) можно только с небольшими атаками и с разными другими мелкими неприятностями, как то подбор паролей (брутфорс), наплыв нецелевого траффика (китайцев на русский сайт 🙂 ), взлом сайтов и т.п.

От наплыва посетителей из нежелательных стран можно бороться путем блокирования IP-адреса по коду страны, для этого понядобится установленный GeoIP и следующий  код в файле .htaccess:

SetEnvIf GEOIP_COUNTRY_CODE CN BadCountry
SetEnvIf GEOIP_COUNTRY_CODE TW BadCountry
Order Deny,Allow
Deny from env=BadCountry

Allow from 1.2.3.4 # разрешенный адрес заблокированнй страны
Allow from 2.3.4.5 # разрешенный адрес заблокированнй страны

Можно открыть доступ только определенным странам:

SetEnvIf GEOIP_COUNTRY_CODE UA GoodCountry
SetEnvIf GEOIP_COUNTRY_CODE RU GoodCountry
Order Allow,Deny
Allow from env=GoodCountry
Under Attack: рубим с плеча

Если сайт подвергается DDoS-атаке и вы определили, что все запросы идут из какой-то определенной страны, будет лучше, если заблокировать страну в фаерволе, чтобы не было большой нагрузки на Apache.

 

Читать остальную часть заметки »

Теги: , , , , , , , , , , , , , , , , ,

ДОС-атаки популярных сервисов сетевых блогов


Фото: Reuters

Три крупнейших сервиса блогов – livejournal.com, twitter.com и facebook.com – подверглись  массовой DDoS-атаке, в следствие чего некоторое время были не доступны. Администрация Твиттера пообещала опубликовать причину перебоев. После восстановления работоспособности сервиса Твиттер, он еще некоторое время был недоступен Украине и России.

Газета.ру отожгла:

..недоступность двух крупнейших блог-площадок вызвала панику среди интернет-пользователей, большинство которых работает в городских офисах и много времени проводит, комментируя виртуальные дневники и читая микроблоги.

А вы чем занимаетесь в офисе? 😉

З.Ы.
Интерфакс наехал на сеть вКонтакте, обозвав сервис «Порнографической сетью Рунета». Оправдания администрации ресурса — не хуже самого наезда:

Исполнительный директор сети «Вконтакте» Лев Левиев удивлен заявлением МВД о том, что администрация ресурса не сотрудничает с правоохранительными органами. «К нам ежедневно поступают десятки запросов из правоохранительных органов. В соответствии с законом «О милиции» мы предоставляем всю необходимую информацию и удаляем противоправные материалы», – заявил он «Интерфаксу». «Половина порнографического контента приходится на сеть «Вконтакте» по той причине, что нам принадлежит половина трафика Рунета«, – объяснил он цифры, озвученные представителем МВД.

Представляете, что было бы с пользователями а так же любителями порно и педофилии, если бы упал этот сервис?))
Наверное решили бы, что наступил Армагеддон))


Теги: , , , , , , , , , , ,