Pytanko o DOS attack

[dargre`]

Zdarzyło mi się dwukrotnie, że z jednym z moich serwerów miewałem problem.

Wówczas od firmy (zza oceanu) otrzymywałem komunikat mniej więcej tak się zaczynający:

Your servers IP: xxxxxxx had undergo through a DOS attack.

Mam jakieś tam wyobrażenie o sprawie, ale chciałbym się zapytać fachowców, na ile taki atak jest możliwy, na ile niebezpieczny, na ile za to odpowiedzialny jest system ochrony na danym serwrze.

Żeby dyskutować o sprawie z usługodawcą muszę mieć na ten temat jakąś sensowną wiedzę.

Dodam, że po kilku-kilkunastu godzinach serwer zwykle wracał do swojej na ogół b.dobrej sprawności.

Aktualnie podobno w związku z ponownym atakiem, wg usługodawcy mój serwer jest przenoszony do innego data center, cytując:

we will be migrating your server to a latest Intel Dual-Core Dual Xeon Woodcrest server with hardware DDOS protection in the Atlanta data center

Trochę długo to twa, już ponad 12 godzin strony i emaile leżą, ale o dziwo wciąż mam dostęp do CPanel i FTP...

Jak powinienem się zachować? Ponaglać? Przerzucić wszytko póki co na inny serwer?

[Bełdzio]

DoS polega na tym, że jakiś ludź zalewa Ci serwer duza iloscia zadan co doprowadza do wyczerpania zasobow przez co inni uzytkownicy nie maja do niego dostepu. Skoro taka sytuacja ma miejsce co jakis czas, sprawdz w logach z jakiego IP nastepuje atak i wybij je

[EDDY]

Jakiego typu to jest serwer? Wirtualka, dedyk? Masz dostęp do logów? W ogóle coś Ci pokazali skąd i gdzie Cię atakują?

[truvati]

Witaj, atak nie jest niebezpieczny, jedyne co tracisz to dostęp do strony oraz transfer, atak ten polega na obciążeniu Twojego serwera bardzo dużą ilością wywołań strony (to DoS), natomiast DDoS jest to atak rozproszony, czyli osób robiących wywołania strony jest bardzo dużo i robią to z różnych lokacji. Zabezpieczenie przed DoS jest takie proste blokujesz ip skąd idzie atak, natomiast przy DDoS to już tragedia.

Swego czasu była taka akcja na serwery Microsoftu (tyle że ten atak był jawny, mówiono o nim już wcześniej i co najlepsze zachęcano wszytskich do udział brania udziału w tym ataku, więc Microsoft zabezpieczył się w ten sposób że część danych poprzenosił na niezależne serwer innych firm które w większości śmigają na serwerach linuksowych )

p.s. wszystko jest względne tzn. dla niektórych usługodawców polskiego „hostingu”, ruch jak dziennie generuje Onet.pl byłby właśnie czymś w rodzaju DDoS

[dargre`]

Witaj, atak nie jest niebezpieczny, jedyne co tracisz to dostęp do strony oraz transfer, atak ten polega na obciążeniu Twojego serwera bardzo dużą ilością wywołań strony (to DoS), natomiast DDoS jest to atak rozproszony, czyli osób robiących wywołania strony jest bardzo dużo i robią to ż różnych lokacji. Zabezpieczenie przed DoS jest takie proste blokujesz ip skąd idzie atak, natomiast przy DDoS to już tragedia.

No więc specjalnych danych co do ataku, skąd i ile nie mam.

Atak jest typu DDoS, więc niewesoło... Takich ataków już miałem na przestrzeni 3 m-cy szt. 3.

Serwer to zwykły share na LINUX-ie. Firma po 3-im ataku dziś rano odcięła moje strony i emaile, no i dała informację jak wyżej.

Właśnie dostałem od nich informację, że już jestem na nowym data center, strony działają (sprawdziłem, wszystko jest OK). Dodali, że jeszcze spec do mnie napisze jak wprowadzić dodatkowe zabezpieczenia.

Dodam, że teraz stoję na tym samym data center, co słynny webhostingtalk.com.

Wydaje mi się, że jedna ze stron powoli się robi łakomym kąskiem dla co niektórych, no i sam jej typ (katalog stron) powoduje, że... no zresztą sam już nie wiem.

W końcu tych katalogów stron jest tyle, i to z większym PageRankiem i siłą rażenia...

Fakt, że mój jest wyjątkowo zadbany, ma sporo ciekawych rozwiązań, i bardzo szybko staje się popularny. Jeszcze tylko PR mu brakuje (jest 4), ale i to powinno przyjść.

Znają go już wszystkie największe tuzy z tej branży. Nawet co niektórzy zwracają się do mnie o pewne rozwiązania...

Przy czym nie mam tu na myśli polskich speców. To wyłącznie zagranica, w większości USA.

No więc jak sądzicie, czy to może mieć wpływ na te ataki? Czy to raczej jakieś hinduskie czy też ruskie wycinanie czego się da w pień...

PS. byłbym zapomniał podziękować Wam wszystkim. Nawet nie spodziewałem się tak sensownej reakcji. Brawo!

[truvati]

Może się komuś naraziłeś? ludzie bywają dziwni... a może strona kogoś uraziła

p.s. dziwne aby tak atakować bez powodu

[dargre`]

Może się komuś naraziłeś? ludzie bywają dziwni... a może strona kogoś uraziła

p.s. dziwne aby tak atakować bez powodu

E raczej się nikomu nie naraziłem, zawsze staram się być pomocny i aż nadmiernie uczynny...

Urazić też raczej nie ma czym... katalogiem stron?

Może najwyżej jakaś zawiść, ale raczej nie doczytałem się o takich przypadkach przy tego rodzaju stronach.

Jest jeden katalog dirmania.com, który mi się naraził i troszkę im nasmarowałem, ale akurat narazili się też dziesiątkom innym, którzy byli już znacznie mniej tolerancyjni niż ja...

[mwic]

p.s. dziwne aby tak atakować bez powodu

Sa dzieciaki ktore robia to nawet dla frajdy (choc w Twoim przypadku, kiedy ataki pojawiają sie cyklicznie to nie musi byc to kwestia 'kaprysu').

Jesli bardzo meczy Cie ten problem mozesz poprosic o liste IP atakujacych komputerow i zaczac cos dzialac.

Wiekszosc DDoSnetów jest zbudowana na bazie prostego trojana, ktory to laczy sie z okreslonym serwerem i czeka na komendy (np. na serwerach ircowych). Jesli uda Ci sie uzyskac adresy ip maszyn atakujacych (i beda to stale adresy) mozesz sprobowac skontaktowac sie z ich ISP i poprosic o wyjasnienie sprawy (wyslanie jakiegos technika z prosba o przeskanowanie systemu i wyslanie tobie binarki z trojanem).

Kiedy masz taki pliczek to pozostaje Ci sprawdzic dane, jakich uzywa do laczenia sie z serwerem. Moze pojsc bardzo latwo (po prostu po otwarciu pliku .exe w kodzie znajdziesz gotowe dane), nieco gorzej (binarka bedzie zaszyfrowana/spakowana i bedziesz musial sie z tym uporac) lub jeszcze ciezej (gdy po dobraniu sie do wlasciwego pliku okaze sie, ze adres serwera, login itp. sa dodatkowo zaszyfrowane - wtedy najlatwiej jest po prostu odpalic jakis sniffer, uruchomic trojana i podazac za tropem).

Kiedy dojdziesz do odpowiedniego serwera i okaze sie, ze jest to jakis publiczny serwer (IRC np.) to wystarczy poslac wiadomosc do administratora i oni powinni sie tym zajac (bo bedzie im zalezalo na tym, aby to cos nie siedzialo na ich maszynach). Jesli natomiast jest to np. serwer prywatny, postawiony na wykupionym hostingu to dobrze by bylo skontaktowac sie z dostawca i wyjasnic sprawe.

Podalem tutaj jedynie uproszczony scenariusz zakladajac, ze jest to wlasnie siec tego typu.

[truvati]

Może ip z których prowadzona atak pozwolą na ustalenie kto/dlaczego

a tak jeszcze pe.esem.

pamiętam raz na forum padł temat w którym jakiś "super webamster" bezczelnie ukradł jednemu z userów tego forum design jego strony, pokrzywdzony otrzymał natychmiastową pomoc około 20 osób które zrobiły coś w stylu DDoS wysyłając żądanie do serwera "bezczelnego webmastera" o plik .jpg co spowodowało totalny pad strony

[EDDY]

Mogą to być też różne spamersko-badziewiaste boty, głównie z Chin, które robią bardzo często masakrę z serwerem.

Tylko dlaczego nie przestudiujesz logów serwera? Teraz możemy jedynie opracowywać różne scenariusze, nie mając konkretnych danych.

[dargre`]

Mogą to być też różne spamersko-badziewiaste boty, głównie z Chin, które robią bardzo często masakrę z serwerem.

Tylko dlaczego nie przestudiujesz logów serwera? Teraz możemy jedynie opracowywać różne scenariusze, nie mając konkretnych danych.

Nie studuiję, bo z jednej strony robi to za mnie firma, a z drugiej nie zdążyłem jeszcze...

A właśnie jakiś Indianin albo też Pakistanin ładuje mi w tempie ekspresu coraz to nowy link do katalogu. Zdążył 40 wrzucić. Już go zbanowałem, ale kto wie czy nie pójdzie po innym IP...

Wkrótce zajmę się logami, także firma hostingowa, co trzeba im na duży plus zapisać, opracowuje dla mnie schemat obrony przed atakami. Co jak co ale support to oni mają na najwyższym poziomie.

Ktoś wspomniał o kradzionym layout... To raczej ktoś mi mógłby chieć wykraść, bo jest w 100% moim pomysłem i fakt, że podoba się wielu bardzo, może aż za bardzo.

[jamesisko]

Hehe, jakis czas temu admin mi przyglokowal google - bo jak szalone napastowalo moje strony. Soft zabezpieczajacy zakwalifikowal to jako dos'a. Googlarka indeksowala strony tekstowe od 12 do 30 giga dziennie .. jedna domene.

[dargre`]

Hehe, jakis czas temu admin mi przyglokowal google - bo jak szalone napastowalo moje strony. Soft zabezpieczajacy zakwalifikowal to jako dos'a. Googlarka indeksowala strony tekstowe od 12 do 30 giga dziennie .. jedna domene.

No kurcze, to może też faktycznie być powód. U nie też boty szaleją jak najęte...

[dargre`]

Kończąc temat,

Postudiowałem trochę logi i prawdę mówiąc niczego wielkiego nie znalazłem. Trochę dużo wizyt botów, ale nie do przesady.

Jak już wspomniałem moje strony już działają normalnie, a oto ostatnia, póki co kończąca sprawę wypowiedż mojego usługodawcy:

Greetings!

In an effort to offer an overall better service and to prevent your server from future DDOS attacks, we will carryout the following upgrades to your server within the followings weeks. We will email you when the upgrade is taking place. The upgrades are shameless and there will be no downtime for your websites.

*New Cisco Distributed Denial of Service Hardware Protection System to prevent the server from future DDOS attacks.

* Upgrade to your current Intel Dual Xeon Server to a Intel Dual Xeon Woodcrest Server - The Woodcrest's performance is almost 2x the performance of its older Intel Dual Xeon Servers.

Have a good day!

Chyba brzmi dość wiarygodnie ?

[EDDY]

Gdzie masz tak dobry support i ile płacisz?