Главная // Блоги // Блог muff

DoS-атака на сервер

Опубликовано muff в Ср, 2011-05-25 14:35
Версия для печатиОтправить другуPDF version

В связи с распределенной DoS-атакой на ресурс есть проблемы с доступом к сайту... Частично уже "реанимировал" ресурс, но атака все еще дает о себе знать. Подготовился кто-то неплохо. Атака началась одновременно на 2 интерфейса сервера на 3 порта (21, 22 и 80). В сумме атака началась на 120-140 kpps, около 120 Mb/s. Зафиксировал в начале атаки около 4 тысяч хостов. Вот несколько скриншотов.

 

Нагрузка на порту коммутатора во время атаки:

Картинки

Нагрузка на одном из интерфейсов сервера по количеству пакетов:

Картинки

Нагрузка на входящем интерфейсе маршрутизатора, к которому подключен сервер:

Картинки

 

Вот такие вот дела... Просьба для постоянных читателей блога отнестись с пониманием к сложившейся ситуации. Возможны перебои в работе ресурса.

Ваша оценка: Нет Средняя: 3.8 (4 голоса)

Да, бывает и такое. А с какой

Опубликовано Studio в Чт, 2011-05-26 16:08.

Да, бывает и такое. А с какой страны идут атаки, если не секрет? Держитесь!

В том то и дело, что атака

Опубликовано muff в Чт, 2011-05-26 16:21.

В том то и дело, что атака распределенная. Но в основном - из азиатских стран.

Вчера вечером атака прекратилась, что очень порадовало.

 Такая атака свидетельствует

Опубликовано Гость в Чт, 2011-05-26 18:41.

 Такая атака свидетельствует о том что сервер слаб. Не так ли?

Против

Опубликовано muff в Чт, 2011-05-26 19:53.

Против распределенной DoS мало какой сервер устоит - тут уже нужен другой подход.

Зашитится от DDoS можно только распределенной защитой. Пример - обьединение серверов в облако, установка аппаратных файрволов и контент-сканеров сетевого трафика, интергация систем защиты с маршрутизаторами  и тд. Как понимаете - это удовольствие совсем не из дешевых.

 ддос 120 мгбит? это слабо.

Опубликовано Гость в Чт, 2011-05-26 20:55.

 ддос 120 мгбит? это слабо. они даже не могут вычислить кто атакует. "азиатские страны", звучит неубедительно

 

Может поделитесь

Опубликовано muff в Чт, 2011-05-26 21:36.

Может поделитесь информацией, как обнаружить "владельца" бот-нета?

Среди атакующих - айпишки из Африки, Южной Америки, Азии... Для примера... Обнаружено, что в числе атакующих с десяток машин из этой подсети:

inetnum:      222.254.0.0 - 222.254.63.255
netname:      HNPT-NET
country:      vn
descr:        Ha Noi Post and Telecom Company
admin-c:      VD25-AP
tech-c:       LQ306-AP
status:       ALLOCATED NON-PORTABLE
changed:      hm-changed [at] vnnic [dot] net [dot] vn 20070511
mnt-by:       MAINT-VN-VNPT
source:       APNIC

Что это дает? Блокировать всю сеть?

P.S. Если можете поделиться интересной информацией - просьба предоставить контакты через форму обратной связи. С удовольствием пообщаюсь.

Тот Гость явно тупит...

Опубликовано Гость в Вс, 2011-07-31 03:36.

Тот Гость явно тупит...

Это к чему? Более подробно,

Опубликовано muff в Вс, 2011-07-31 11:47.

Это к чему? Более подробно, пожалуйста. Было бы неплохо - открыть ветку для обсуждения на форуме.  И огромная просьба - относиться с уважением ко всем посетителям ресурса.

Настройки просмотра комментариев

Выберите нужный метод показа комментариев и нажмите "Сохранить установки".

Вставай, Україно!

Статьи

Всякое разное

Литература