[Sysadmins] Защита от DDOS

[Sysadmins] Защита от DDOS

[Slava Dubrovskiy]

[-- Attachment #1: Type: text/plain, Size: 307 bytes --]

Здравствуйте.

Вот и нас накрыло :-) .
В связи с этим задумались про защиту. Расскажите, кто как защищается?
Вот пока выбираю между:
1. mod_evasive
2. mod_security
3. snort

-- 
WBR,
Dubrovskiy Vyacheslav


[-- Attachment #2: S/MIME Cryptographic Signature --]
[-- Type: application/x-pkcs7-signature, Size: 3249 bytes --]

Re: [Sysadmins] Защита от DDOS

[Sergey]

On Tuesday 10 April 2007, Slava Dubrovskiy wrote:

> Вот и нас накрыло :-) .
> В связи с этим задумались про защиту. Расскажите, кто как защищается?
> Вот пока выбираю между:
> 1. mod_evasive
> 2. mod_security
> 3. snort

Я, в похожей ситуации, поступил просто:

for RULE in `netstat -an|grep -v unix| \
    sed -e "s/^.*:80 *\(.*\):\(.*\)/-A INPUT -s \1 -j DROP/"| \
    sort|uniq -c|sort -n|egrep "[0-9]{3,7} -A"|sed -e "s/ /_/g"`; do

    echo $RULE

    RULE_R=`echo $RULE|sed -e "s/_/ /g"|sed -e "s/^.*\(-A .*\)/iptables \1/"`

    echo $RULE_R

    `$RULE_R`
done

То есть, если число коннектов трёхзначное, IP в drop. И в крон.

А, вообще, 
http://lists.altlinux.org/pipermail/devel-kernel/2007-January/006308.html

Но ни я сам не занялся, не поддержал никто.

-- 
С уважением, Сергей
a_s_y@sama.ru

Re: [Sysadmins] Защита от DDOS

[Avramenko Andrew]

> 1. mod_evasive
Мы у себя делали на нем - никаких нареканий не было, главное нужные 
цифры подобрать.

Против snort у меня только один показатель - регулярные дырки в нем. Это 
по-моему не средство безопасности, а средство опасности. Сколько для 
него уже рутовых эксплоитов было 2, 3?

Re: [Sysadmins] Защита от DDOS

[Slava Dubrovskiy]

[-- Attachment #1: Type: text/plain, Size: 991 bytes --]

Sergey пишет:
> On Tuesday 10 April 2007, Slava Dubrovskiy wrote:
>
>   
>> Вот и нас накрыло :-) .
>> В связи с этим задумались про защиту. Расскажите, кто как защищается?
>> Вот пока выбираю между:
>> 1. mod_evasive
>> 2. mod_security
>> 3. snort
>>     
>
> Я, в похожей ситуации, поступил просто:
>
> for RULE in `netstat -an|grep -v unix| \
>     sed -e "s/^.*:80 *\(.*\):\(.*\)/-A INPUT -s \1 -j DROP/"| \
>     sort|uniq -c|sort -n|egrep "[0-9]{3,7} -A"|sed -e "s/ /_/g"`; do
>
>     echo $RULE
>
>     RULE_R=`echo $RULE|sed -e "s/_/ /g"|sed -e "s/^.*\(-A .*\)/iptables \1/"`
>
>     echo $RULE_R
>
>     `$RULE_R`
> done
>
> То есть, если число коннектов трёхзначное, IP в drop. И в крон.
>   
А если по одному конекту с 10000 не существующих IP?

-- 
WBR,
Dubrovskiy Vyacheslav


[-- Attachment #2: S/MIME Cryptographic Signature --]
[-- Type: application/x-pkcs7-signature, Size: 3249 bytes --]

Re: [Sysadmins] Защита от DDOS

[Avramenko Andrew]

> А если по одному конекту с 10000 не существующих IP?
ИМХО DDOS обычно работает на динамические скрипты и один коннект с 
несуществующих ты просто не сможешь сделать таким способом.

Re: [Sysadmins] Защита от DDOS

[Michael Shigorin]

On Tue, Apr 10, 2007 at 09:34:37AM +0300, Slava Dubrovskiy wrote:
> Вот и нас накрыло :-) .  В связи с этим задумались про защиту.
> Расскажите, кто как защищается?

На прошлой или позапрошлой конференции был подробный доклад.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [Sysadmins] Защита от DDOS

[Sergey]

On Tuesday 10 April 2007, Slava Dubrovskiy wrote:

> А если по одному конекту с 10000 не существующих IP?

Не сталкивался с ситуацией пока.

-- 
С уважением, Сергей
a_s_y@sama.ru

Re: [Sysadmins] Защита от DDOS

[Nick Gavrikov]

10.04.07, Slava Dubrovskiy написал(а):

> Вот и нас накрыло :-) .
> В связи с этим задумались про защиту. Расскажите, кто как защищается?

Слава богу, нам пока не доставалось. Но уродцы, пытающиеся пароль
подобрать к SSH/FTP/HTTP заколебали. Поступил с ними следующим
образом: скрипт смотрит логи и неизвестные ip-адреса, если от них
поступило больше пяти auth failure за последний час, отправляются в
DROP. Скрипт в крон. Пока никто не жаловался.

-- 
С уважением,
Nick Gavrikov

Re: [Sysadmins] Защита от DDOS

[Денис Смирнов]

[-- Attachment #1: Type: text/plain, Size: 1426 bytes --]

On Wed, Apr 11, 2007 at 06:47:29PM +0400, Nick Gavrikov wrote:

>> Вот и нас накрыло :-) .
>> В связи с этим задумались про защиту. Расскажите, кто как защищается?
NG> Слава богу, нам пока не доставалось. Но уродцы, пытающиеся пароль
NG> подобрать к SSH/FTP/HTTP заколебали. Поступил с ними следующим
NG> образом: скрипт смотрит логи и неизвестные ip-адреса, если от них
NG> поступило больше пяти auth failure за последний час, отправляются в
NG> DROP. Скрипт в крон. Пока никто не жаловался.

/me собирается это ещё и в своей Web-платформе реализовать. Чтобы дропать
таки не на файрволе, а прямо в web-приложении. Причем не дропать, а просто
вечный access denied, чтобы умник не понял что его уже заблокировали и он
зря пароли перебирает.

DDoS'ы бывают разные. Если это по UDP то остается только тихо склеить
ласты.

Если это DoS на http, то тот же nginx резко увеличивает живучесть. Но если
web-приложение тяжелое (читай CGI или php), то до свидания, остается
только положить нафиг этот сервис чтобы другие хоть работали.

Для ssh кстати есть множество готовых решений которые сами пинают iptables
без всяких логоанализаторов. С ftp/http хуже.

-- 
С уважением, Денис

http://freesource.info
----------------------------------------------------------------------------
> > >Как добиться сборки с gcc3.4?
> > select-gcc 3.4
> В hasher? Каким образом?
%set_gcc_version
		-- inger in devel@

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Sysadmins] Защита от DDOS

[Slava Dubrovskiy]

[-- Attachment #1: Type: text/plain, Size: 963 bytes --]

Денис Смирнов пишет:
>>> Вот и нас накрыло :-) .
>>> В связи с этим задумались про защиту. Расскажите, кто как защищается?
>>>       
> DDoS'ы бывают разные. Если это по UDP то остается только тихо склеить
> ласты.
>   
грустно :-(
> Если это DoS на http, то тот же nginx резко увеличивает живучесть.
Вот и я проталкиваю идею с nginx.
>  Но если web-приложение тяжелое (читай CGI или php), то до свидания, остается
> только положить нафиг этот сервис чтобы другие хоть работали.
>   
Именно http + fastCGI  и останавливать нельзя ...
Пока поставил avasive. Посмотрим...

-- 
WBR,
Dubrovskiy Vyacheslav


[-- Attachment #2: S/MIME Cryptographic Signature --]
[-- Type: application/x-pkcs7-signature, Size: 3249 bytes --]

Re: [Sysadmins] Защита от DDOS

[Денис Смирнов]

On Thu, Apr 12, 2007 at 02:42:28PM +0300, Slava Dubrovskiy wrote:

SD> Именно http + fastCGI  и останавливать нельзя ...
SD> Пока поставил avasive. Посмотрим...

Если DoS хиленький, то:
1. tcp есть tcp, мы таки реально можем блокировать по IP (в случае udp они
запросто могут быть поддельными);
2. грамотно писать web-приложение;

В общем от DoS'а web-приложения защититься можно. От DoS по UDP уже никак.
Задача не решаема в принципе :( Все что можно сделать -- увеличить
количество усилий, требуемых чтобы положить машинку.

-- 
С уважением, Денис

http://freesource.info
----------------------------------------------------------------------------
Наши кодеры - самые кодерастые кодеры в мире!

Re: [Sysadmins] Защита от DDOS

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 272 bytes --]

On Thu, Apr 12, 2007 at 01:21:29PM +0400, Денис Смирнов wrote:
> On Wed, Apr 11, 2007 at 06:47:29PM +0400, Nick Gavrikov wrote:
[...]
> DDoS'ы бывают разные. Если это по UDP то остается только тихо склеить
> ласты.

Что имеется в виду?  Лучше ссылку.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [Sysadmins] Защита от DDOS

[Денис Смирнов]

[-- Attachment #1: Type: text/plain, Size: 1251 bytes --]

On Thu, Apr 12, 2007 at 04:14:15PM +0400, Dmitry V. Levin wrote:
>> DDoS'ы бывают разные. Если это по UDP то остается только тихо склеить
>> ласты.
DVL> Что имеется в виду?  Лучше ссылку.

Ссылку сходу не найду. Имеются в виду вариант, когда идет UDP поток с
большого количества хостов с подделаными адресами с целью просто
перегрузить канал.  При нынешней распространенности бот сетей это
универсальное оружие, гарантировано делающее ресурс неработоспособным.
Теоретически аплинк может пойти на встречу и просто зарезать у себя на
firewall'е этот траифик, если только не перегружены его собственные
каналы. Но маловероятно что он на это пойдет, ибо предпочтет таки взять
деньги с клиента за этот трафик.

Собственно все остальные виды DoS атак это попытки удешевить атаку, сделав
сервер недоступный не забивая весь канал (вроде того же syn flodd).
Соответственно против них есть смысл предпринимать какие-то действия.
Против тупого забивания канала приемов мне неизвестно :( 

Помнится несколько лет назад этим методом попросту уничтожали мелких ISP.

-- 
С уважением, Денис

http://freesource.info
----------------------------------------------------------------------------
Documentation - The worst part of programming.

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Sysadmins] Защита от DDOS

[Nick Gavrikov]

12.04.07, Денис Смирнов написал(а):

> Теоретически аплинк может пойти на встречу и просто зарезать у себя на
> firewall'е этот траифик, если только не перегружены его собственные
> каналы. Но маловероятно что он на это пойдет, ибо предпочтет таки взять
> деньги с клиента за этот трафик.

Кстати, в моем договоре на colocation была фраза, что если меня
DDOSят, то это мои и исключительно мои трудности. Провайдер даже
пальцем пошевелить не обязан чтобы мне помочь и вправе потом выставить
мне счет за трафик. :-(

Оказывать услуги colocation на каких-либо других условиях отказались.


-- 
С уважением,
Nick Gavrikov

Re: [Sysadmins] Защита от DDOS

[Денис Смирнов]

[-- Attachment #1: Type: text/plain, Size: 1058 bytes --]

On Thu, Apr 12, 2007 at 07:28:13PM +0400, Nick Gavrikov wrote:

>> Теоретически аплинк может пойти на встречу и просто зарезать у себя на
>> firewall'е этот траифик, если только не перегружены его собственные
>> каналы. Но маловероятно что он на это пойдет, ибо предпочтет таки взять
>> деньги с клиента за этот трафик.
NG> Кстати, в моем договоре на colocation была фраза, что если меня
NG> DDOSят, то это мои и исключительно мои трудности. Провайдер даже
NG> пальцем пошевелить не обязан чтобы мне помочь и вправе потом выставить
NG> мне счет за трафик. :-(
NG> Оказывать услуги colocation на каких-либо других условиях отказались.

Я не нашел оператора который бы согласился.
Теоретически, как я понимаю, реально это сделать если у тебя своя AS --
просот положить роутинг на себя вообще. Но класть его придется _на всю
свою сеть_, что мягко скажем ужас.

-- 
С уважением, Денис

http://freesource.info
----------------------------------------------------------------------------
ЗАКОН ШИРЛИ
 Большинство людей достойны друг друга.

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Sysadmins] Защита от DDOS

[Konstantin A. Lepikhov]

Hi Денис!

Thursday 12, at 07:54:58 PM you wrote:

> Я не нашел оператора который бы согласился.
> Теоретически, как я понимаю, реально это сделать если у тебя своя AS --
> просот положить роутинг на себя вообще. Но класть его придется _на всю
> свою сеть_, что мягко скажем ужас.
что собственно и делают, если почитать листы на MSK-IX. Там правда народ
довольно оперативно фильтрует.

-- 
WBR et al.

Re: [Sysadmins] Защита от DDOS

[Nick Gavrikov]

12.04.07, Konstantin A. Lepikhov написал(а):

> > Я не нашел оператора который бы согласился.
> > Теоретически, как я понимаю, реально это сделать если у тебя своя AS --
> > просот положить роутинг на себя вообще. Но класть его придется _на всю
> > свою сеть_, что мягко скажем ужас.
> что собственно и делают, если почитать листы на MSK-IX. Там правда народ
> довольно оперативно фильтрует.

Класть всю сеть - это уже крайняя мера, т.е. исключительно способ
защититься от попадания на огромные бабки. Вполне возможно, что это
для компании будет последним что она сделает перед тем как
окончательно разориться :-(

Есть ли у кого-нибудь опыт борьбы с инициаторами DDoS, например через
суд? И вообще реально ли найти и доказать вину инициаторов?


-- 
С уважением,
Nick Gavrikov

Re: [Sysadmins] Защита от DDOS

[Денис Смирнов]

On Thu, Apr 12, 2007 at 10:48:08PM +0400, Nick Gavrikov wrote:

NG> Есть ли у кого-нибудь опыт борьбы с инициаторами DDoS, например через
NG> суд? И вообще реально ли найти и доказать вину инициаторов?

В случае DDoS с ботсети? Не думаю что это вообще реально уже после начала
атаки. Разве что если он жадный и решит этот же ботнет для следующей атаки
заюзать.

-- 
С уважением, Денис

http://freesource.info
----------------------------------------------------------------------------
Кстати, готов поделиться этой багой с кем-нибудь.
		-- ldv in #9695

Re: [Sysadmins] Защита от DDOS

[Sergey]

On Thursday 12 April 2007, Денис Смирнов wrote:

> Теоретически аплинк может пойти на встречу и просто зарезать у себя на
> firewall'е этот траифик, 

Практически - тоже. По крайней мере, у Транстелекома это в договоре прописано.
Согласны резать с момента уведомления о проблеме, но вот что уже влетело, то
влетело. Эквант тоже не отказывается.

-- 
С уважением, Сергей
a_s_y@sama.ru

Re: [Sysadmins] Защита от DDOS

[Денис Смирнов]

On Fri, Apr 13, 2007 at 05:12:54PM +0500, Sergey wrote:

>> Теоретически аплинк может пойти на встречу и просто зарезать у себя на
>> firewall'е этот траифик, 
S> Практически - тоже. По крайней мере, у Транстелекома это в договоре прописано.
S> Согласны резать с момента уведомления о проблеме, но вот что уже влетело, то
S> влетело. Эквант тоже не отказывается.

/me начал думать о том чтобы переехать к транстелекому.

-- 
С уважением, Денис

http://freesource.info
----------------------------------------------------------------------------
А Howto я для кого писал ?
		-- ed in devel-kernel@

Re: [Sysadmins] Защита от DDOS

[Peter Evdokimov]

On Fri, 13 Apr 2007 19:41:37 +0400
Денис Смирнов wrote:

> /me начал думать о том чтобы переехать к транстелекому.

трижды подумай, прежде чем. хотя может быть там, где ты хочешь
подцепиться обстановка несколько иная. во владимире - лучше не стоит =)


sy,
	peter

Re: [Sysadmins] Защита от DDOS

[Денис Смирнов]

On Fri, Apr 13, 2007 at 08:16:17PM +0400, Peter Evdokimov wrote:

>> /me начал думать о том чтобы переехать к транстелекому.
 PE> трижды подумай, прежде чем. хотя может быть там, где ты хочешь
 PE> подцепиться обстановка несколько иная. во владимире - лучше не стоит =)

Меня интересует исключительно хостинг :)

-- 
С уважением, Денис

http://freesource.info
----------------------------------------------------------------------------
Прежде чем вешать багу, убедитесь в том, что её уже повесили до вас
		-- ldv in devel@

Re: [Sysadmins] Защита от DDOS

[Sergey]

On Friday 13 April 2007, Денис Смирнов wrote:

>  PE> трижды подумай, прежде чем. хотя может быть там, где ты хочешь
>  PE> подцепиться обстановка несколько иная. во владимире - лучше не стоит =)
> 
> Меня интересует исключительно хостинг :)

А вот этого про ТТК я не знаю, я с их деятельностью только в плане 
магистрального оператора знаком более-менее. Время от времени у них
канал берём.

-- 
С уважением, Сергей
a_s_y@sama.ru