https://www.opennet.ru/openforum/vsluhforumID1/95511.html Здравствуйте. В общем уже какой день интернет канал забивается под завязку. Промониторил траф через darkstat и заметил что трафик идет через 123 UDP порт.<br>Прочитал про данный баг, но вот беда, описанные решения не подходят, monlist выключил, но канал все равно кто-то забивает по этому же порту.<br><br>Потом решил удалить ntp вообще, и даже после этого проблема осталась. Блокировака 123 порта через iptables тоже не спасла.<br><br>в iptables прописано: <br>-A INPUT -p udp -m udp --dport 123 -j DROP<br><br>ОС Centos 6<br> https://www.opennet.ru/openforum/vsluhforumID1/95511.html#21 Sun, 14 Dec 2014 13:49:25 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;&gt; из своих сеток. Возможно сканер ещё что то интересное покажет.<br>&gt;&gt;&gt; Расскажите это habrahabr. А то они уже день лежат из-за DDOS, а <br>&gt;&gt;&gt; провайдеру позвонить не догадались :D <br>&gt;&gt; Ну так не надо путать <br>&gt;&gt; Одно дело DDOS на 80 порт или другой порт который по определению <br>&gt;&gt; должен быть доступен всем в интернете.<br>&gt;&gt; А здесь понятно что DDOS идет на 123 порт и этот <br>&gt;&gt; порт не должен быть доступен всему интернету, да и вообще доступен <br>&gt;&gt; интернету вообще. Если конечно человек не предоставляет сервер точного времени.<br>&gt; А если предоставляет, как защищаться?) <br><br>ну ты решил проблему?если да,отпиши в скайп mws25mws<br><br> https://www.opennet.ru/openforum/vsluhforumID1/95511.html#20 Fri, 28 Mar 2014 11:02:45 GMT &gt;[оверквотинг удален]<br>&gt;&gt; порт.<br>&gt;&gt; Прочитал про данный баг, но вот беда, описанные решения не подходят, monlist <br>&gt;&gt; выключил, но канал все равно кто-то забивает по этому же порту.<br>&gt;&gt; Потом решил удалить ntp вообще, и даже после этого проблема осталась. Блокировака <br>&gt;&gt; 123 порта через iptables тоже не спасла.<br>&gt;&gt; в iptables прописано: <br>&gt;&gt; -A INPUT -p udp -m udp --dport 123 -j DROP <br>&gt;&gt; ОС Centos 6 <br>&gt; так, это вот же решение есть - http://www.opennet.ru/opennews/art.shtml?num=39075 <br>&gt; или я не прав?<br><br>извеняюсь не в тему ответил, не внимательно прочитал суть проблемы<br> https://www.opennet.ru/openforum/vsluhforumID1/95511.html#19 Fri, 28 Mar 2014 11:00:13 GMT &gt; Здравствуйте. В общем уже какой день интернет канал забивается под завязку. Промониторил <br>&gt; траф через darkstat и заметил что трафик идет через 123 UDP <br>&gt; порт.<br>&gt; Прочитал про данный баг, но вот беда, описанные решения не подходят, monlist <br>&gt; выключил, но канал все равно кто-то забивает по этому же порту. <br>&gt; Потом решил удалить ntp вообще, и даже после этого проблема осталась. Блокировака <br>&gt; 123 порта через iptables тоже не спасла.<br>&gt; в iptables прописано: <br>&gt; -A INPUT -p udp -m udp --dport 123 -j DROP <br>&gt; ОС Centos 6 <br><br>так, это вот же решение есть - http://www.opennet.ru/opennews/art.shtml?num=39075<br>или я не прав?<br> https://www.opennet.ru/openforum/vsluhforumID1/95511.html#18 Fri, 28 Mar 2014 06:04:48 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; видете ответ, то правите конфигу днс, чтобы рекусивные запросы разрешались только <br>&gt;&gt;&gt; из своих сеток. Возможно сканер ещё что то интересное покажет.<br>&gt;&gt; Расскажите это habrahabr. А то они уже день лежат из-за DDOS, а <br>&gt;&gt; провайдеру позвонить не догадались :D <br>&gt; Ну так не надо путать <br>&gt; Одно дело DDOS на 80 порт или другой порт который по определению <br>&gt; должен быть доступен всем в интернете.<br>&gt; А здесь понятно что DDOS идет на 123 порт и этот <br>&gt; порт не должен быть доступен всему интернету, да и вообще доступен <br>&gt; интернету вообще. Если конечно человек не предоставляет сервер точного времени.<br><br>А если предоставляет, как защищаться?)<br> https://www.opennet.ru/openforum/vsluhforumID1/95511.html#17 Thu, 27 Mar 2014 11:18:45 GMT &gt;&gt; Как уже писали, надо звонить прову и просить сделать фильтр на его <br>&gt;&gt; железе. Работы одна минута. С вашей стороны надо взять приличный сканер <br>&gt;&gt; и посмотреть какие порты/сервисы видны из Инета. Если открыт 53-й, то <br>&gt;&gt; проверяете не является ли ваш днс публичным: nslookup ya.ru ваш.ип.адрес. Если <br>&gt;&gt; видете ответ, то правите конфигу днс, чтобы рекусивные запросы разрешались только <br>&gt;&gt; из своих сеток. Возможно сканер ещё что то интересное покажет.<br>&gt; Расскажите это habrahabr. А то они уже день лежат из-за DDOS, а <br>&gt; провайдеру позвонить не догадались :D <br><br>Ну так не надо путать<br>Одно дело DDOS на 80 порт или другой порт который по определению должен быть доступен всем в интернете. <br>А здесь понятно что DDOS идет на 123 порт и этот порт не должен быть доступен всему интернету, да и вообще доступен интернету вообще. Если конечно человек не предоставляет сервер точного времени. <br> https://www.opennet.ru/openforum/vsluhforumID1/95511.html#16 Thu, 27 Mar 2014 10:57:30 GMT &gt; Как уже писали, надо звонить прову и просить сделать фильтр на его <br>&gt; железе. Работы одна минута. С вашей стороны надо взять приличный сканер <br>&gt; и посмотреть какие порты/сервисы видны из Инета. Если открыт 53-й, то <br>&gt; проверяете не является ли ваш днс публичным: nslookup ya.ru ваш.ип.адрес. Если <br>&gt; видете ответ, то правите конфигу днс, чтобы рекусивные запросы разрешались только <br>&gt; из своих сеток. Возможно сканер ещё что то интересное покажет.<br><br>Расскажите это habrahabr. А то они уже день лежат из-за DDOS, а провайдеру позвонить не догадались :D <br><br> https://www.opennet.ru/openforum/vsluhforumID1/95511.html#15 Thu, 27 Mar 2014 09:19:26 GMT Хотя еще лучше: <br><br>&gt;&gt;К сожалению, у нас нет средств защиты от ддос атак. Это у нас также прописано в договоре. Единственное, что можем Вам посоветовать - это смена IP адреса. https://www.opennet.ru/openforum/vsluhforumID1/95511.html#14 Thu, 27 Mar 2014 08:09:22 GMT &gt; Если даже Вы напишете сто правил в iptables которые будут запрещать прием <br>&gt; пакетов ни никуда не денутся. Они по любому попадут на сетевой <br>&gt; интерфейс и вы их получите. Так что если есть проблема и <br>&gt; она реально начинает докучать то звоним провайдеру и просим заблокировать уже <br>&gt; у них данный трафик, так он не дойдет до сетефого интерфейса <br>&gt; точно.<br><br>Их ответ: <br>&gt;&gt;Здравствуйте, в данной ситуации может помочь смена IP адреса. Если Вас устроит данный вариант, то, пожалуйста, свяжитесь с Вашим менеджером или с начальником ******<br><br>После объяснения, что смена IP не решение, они предложили тупо закрыть порт:<br>&gt;&gt;Пожалуйста, уточните, закрытие порта решит проблему?<br><br>Мне в принципе не так важен этот порт, но может как нибудь можно заблокировать именно данный трафик? Или ограничить размер пакетов по этому порту ? <br> https://www.opennet.ru/openforum/vsluhforumID1/95511.html#13 Tue, 25 Mar 2014 04:41:59 GMT &gt; да, я не силен в области защиты. Поэтому и зашел сюда попросить <br>&gt; помочь с данной проблемой.<br><br> DDoS обычно просто так, от фонаря, не делаются. Мне кажется, что Вы преувеличиваете масштаб "атаки". :) Поставьте пакет iptraf (он же - iptraf-ng) и посмотрите - какой поток льется на Ваш сетевой интерфейс ежесекундно. Еще вариант - прикрутить какти (нагиос) и помониторить величину трафика. Это если задаться целью разобраться в проблеме.<br><br><br>