URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 95536
[ Назад ]

Исходное сообщение
"Обнаружение\логирование UDP атак."
Отправлено fire002 , 06-Апр-14 17:32

Собственно, ось дебиан. На ней запущены игровые сервера на разных портах.
Частенько прилетают ддосы, если ntp и dns amplification закрыты еще до серверов, то обычный udp флуд долетает нормально, причем в основном не палится в логах ядра, если только не bad udp checksum
Вобщем стоит зачада, чтоб не логировать все подряд, т.к это очень дохрена, включать логи только если канал загружен\перегружен. Логов много не нужно, нужно только узнавать на какой IP\Port летит траф и s.ip+s.port

Содержание

Обнаружение\логирование UDP атак.,Pahanivo, 17:39 , 06-Апр-14
- Обнаружение\логирование UDP атак.,fire002, 18:14 , 06-Апр-14
  - Обнаружение\логирование UDP атак.,Pahanivo, 13:19 , 07-Апр-14
Обнаружение\логирование UDP атак.,erera22, 21:15 , 07-Апр-14
- Обнаружение\логирование UDP атак.,Pahanivo, 09:12 , 08-Апр-14
  - Обнаружение\логирование UDP атак.,fire002, 15:59 , 08-Апр-14

Сообщения в этом обсуждении

"Обнаружение\логирование UDP атак."
Отправлено Pahanivo , 06-Апр-14 17:39

> только узнавать на какой IP\Port летит траф и s.ip+s.port
вы полагаете что флуд идет с одного айпи? про ботнеты вы вообще в курсе?
для подобных вещей есть софтины - гугля про них знает

"Обнаружение\логирование UDP атак."
Отправлено fire002 , 06-Апр-14 18:14

>> только узнавать на какой IP\Port летит траф и s.ip+s.port
> вы полагаете что флуд идет с одного айпи? про ботнеты вы вообще
> в курсе?
> для подобных вещей есть софтины - гугля про них знает
Нет, не полагаю. Знаю что ипов много, не исключен спуф.
Вероятно я не совсем верно описал, мне нужен софт который определяет такие вот аномалии, когда на сыпется очень много трафа на IP\Port

"Обнаружение\логирование UDP атак."
Отправлено Pahanivo , 07-Апр-14 13:19

snort и еже с ним
http://serverfault.com/questions/269556/udp-flood-attack-lin... вот тут пасоны айпэтаблз юзаю - тоже по логам можно увидеть ...
гугл великая сила ))

"Обнаружение\логирование UDP атак."
Отправлено erera22 , 07-Апр-14 21:15

Вариант номер раз. Хороший.
Уведомить о возможном паразитном трафике своего провайдера и попросить привязать свои адреса (порты коммутатора) к его системе мониторинга. При достижении определенных лимитов высылать уведомление, либо применить автоматом некие меры. И да, провайдеру быть готовым к подобной нагрузке тоже выгодно заранее. Если это не жесткий blackhole'р, которому насрать.
Вариант номер два. Убогий.
Использовать системные утилиты, начиная от обработки данных с netstat (/proc/net/udp) или данных фаерволла, и ... Только толку-то? Если нагрузка на сервер будет значительной, фильтровать придется на вышестоящих устройствах.

"Обнаружение\логирование UDP атак."
Отправлено Pahanivo , 08-Апр-14 09:12

> Вариант номер два. Убогий.
> Использовать системные утилиты, начиная от обработки данных с netstat (/proc/net/udp)
> или данных фаерволла, и ... Только толку-то? Если нагрузка на сервер
> будет значительной, фильтровать придется на вышестоящих устройствах.
дак товарисчу и надо лишь поймать факт - думаю всем понятно что фильтровать дос на конечной точке безсмысленно )

"Обнаружение\логирование UDP атак."
Отправлено fire002 , 08-Апр-14 15:59

> дак товарисчу и надо лишь поймать факт - думаю всем понятно что
> фильтровать дос на конечной точке безсмысленно )
Именно, фильтровать все это дело будет другое оборудование. Важем сам факт атаки, d\sIP + d\sPORT + размер пакетов, тоже как вариант.
2erera22 -- провайдеру собственно вообще похер, как складывается впечатление, они даже флоу не делают. Прилетает 10гбит, им пнх.