/srv/irclogs.ubuntu.com/2011/09/16/#ubuntu-tw.txt

leo__公司server在洛杉矶,带宽100M,最近总是遇到规模超过2Gb/s的DDOS攻击,带宽几乎瞬间被吃完,机器掉线,机房不提供ddos防御,哪位兄弟有好办法缓解或者追踪攻击源IP?01:01
leo__类似规模的攻击,机房肯定遇到的多了,我也知道通过机房网络可以查到攻击源IP,但机房现在唯一做的就是drop掉该IP的所有input包01:01
leo__哪位兄弟能给指点一二? 谢谢01:01
=== jjhuang_ is now known as jjhuang
BlueT_leo__: ping03:10
leo__BlueT_  ping what ?03:11
BlueT_leo__: ping you, to see if you're around or not :p03:11
BlueT_leo__: how many IPs do you have in that DC?03:12
BlueT_leo__: and how many of them are still availible?03:12
leo__5 Ips per box03:12
leo__1 has been banned, and others availible03:12
BlueT_leo__: firstly you gotta check if the botnet's attacking your IP directly, or attacking your domain->IP03:14
BlueT_leo__: 相信你們應該已經把 server 換了一個 IP,然後 DNS record 也轉到新的 IP 上了吧?03:16
leo__certainly the IP is the attack target, i've changed the A record while tattacking03:16
leo__是的03:17
leo__基本是这样的03:17
BlueT_leo__: 轉到新 IP 後,攻擊有跟到新 IP 嗎?03:17
leo__憋英语挺郁闷的,还以为你的外国人呢03:17
leo__没有03:17
leo__还是在原来的ip上03:18
leo__2中情况:03:18
leo__1)这是自动程序设置的原因,没来得及及时03:18
leo__修改target ip03:18
leo__估计是这个03:19
BlueT_leo__: 你們被持續 attack 多久了?持續性的或是間斷性的?換 IP 多久了?03:19
leo__我在想,有没有某些工具可以在机器上跑个daemon03:19
leo__自动追踪下source IP ,即使是伪造的也好03:20
leo__期望可以判断出大概的网络03:20
leo__最近一个月已经不少于50次了03:20
BlueT_leo__: 你們是把機器 co-location 在別人 DC 裡?03:21
leo__间歇性的,每次会持续30到2个小时不等03:21
BlueT_leo__: 大約攻擊的時段是...?03:21
leo__直接在webnx买的dedicated server03:21
BlueT_oh03:22
leo__比如昨天是USA时间 12:00-18:0003:22
leo__前天则是13-1603:23
leo__大概时间段是差不多的03:23
BlueT_leo__: 貴公司的網站是哪種類型的? @@ 另外有收到對方寄的 email 了嗎?03:23
leo__www.123flashchat.com03:24
leo__有自己的server端,卖chat服务,以及license03:24
leo__对方威胁我们最大的一个客户03:24
leo__并没有对我们公司进行直接威胁03:25
BlueT_leo__: oh, 所以是攻擊你們客戶, 不是你們公司03:25
leo__而且有人承认是他攻击的,germany的一个看起来不到20岁的小孩,据说有1000多台肉鸡03:25
leo__03:25
leo__照片都发给客户了03:26
leo__客户发给我们的03:26
BlueT_一千多台... 小咖... :~03:26
leo__具体情况不清楚03:26
leo__方便的话我可以给你看下mrtg监控图03:27
BlueT_leo__: 如果這些情報都正確的話,這些看起來應該不是真的很專業的 DDoS 業者03:27
BlueT_leo__: sure :)03:27
leo__03:27
leo__moment03:27
BlueT_leo__: 一般來說,要處理這種狀況,最快的就是擺一台 Cisco 之類的設備在 IDC 那邊 (放在 DC 進線的地方)03:29
BlueT_leo__: 另外在 server 前端的 switch 做 port mirroring 把所有封包 mirror 到旁邊的 netFlow server03:29
BlueT_leo__: 或是用一台 netscaler 之類的設備也可以03:30
leo__机房现在回复我们的就是:他们遇到类似情况直接drop这个ip外网进出的所有包03:30
leo__03:30
leo__那也得先过滤出来哪些是非正常的流量啊03:31
leo__你说的是在机器前面加个流量清洗的设备是吧03:31
BlueT_leo__: 在 netFlow 或是 netscaler 上做 monitor, 偵測到異常流量時,可以根據 pre-defined rule 經由 snmp 直接打 acl command 去外面的 cisco 把這個 ip/connection ban 掉03:31
BlueT_leo__: 差不多。我之前在某 IDC 做事時,就是直接土炮一套半自動的系統03:33
BlueT_leo__: 他說的是在 server 上 drop 還是在 router/switch 上 drop?03:33
leo__哈哈,明白了,其实原理一样03:33
leo__在router上03:33
leo__边界router上03:33
BlueT_leo__: 嗯,沒錯。03:33
leo__直接drop03:33
BlueT_leo__: 重點其實就是,在越外層 drop 越好。03:34
leo__不好意思阿,我还不知道怎么用irc单独给你发消息03:34
leo__mrtg的信息我怎么发给你03:34
BlueT_leo__: 不然那些無用的封包會把你的『線路』本身塞滿03:34
leo__03:34
leo__03:34
BlueT_leo__: 我有回應你的 pm,有看到嗎?03:35
leo__基本是发现攻击的时候ping结果是90%以上丢包,1分钟差不多就100%了03:35
leo__看到了03:35
leo__哈哈03:35
BlueT_leo__: 其實這種攻擊固定 IP 的 DDoS attack 都算容易處理03:35
leo__问题是:机房drop的是该IP相关的所有包03:36
leo__哦?03:36
BlueT_leo__: 這種 DDoS 基本處理 SOP 就是: 1. 換 IP.  2. 改 DNS A record.  3. 在能掌控的最外界 router 把 dst:old_ip 的所有 packet drop 掉。  4. 繼續喝咖啡03:38
BlueT_leo__: 如果是會跟 DNS record 跑的 attack 才比較麻煩03:39
leo__那等下攻击的人反应过来,又攻击另外一个ip03:39
leo__又攻击new ip03:40
leo__结果一样03:40
BlueT_leo__: 一般來說他們反應時間不會很快03:40
leo__同样是所有的ip都不能同了,带宽吃完了,再多的ip都没用03:40
leo__一台机器03:40
leo__03:40
BlueT_leo__: 當然要抓也可以,就用 netflow/netscaler 去過濾囉03:41
BlueT_leo__: 所以我剛才說,要在 IDC 那邊的 router drop packet 而不是在你 server 這邊03:41
leo__03:42
BlueT_leo__: 在你 server 這邊 drop 的話,你的 cat.5e 本身還是會被塞滿03:42
BlueT_leo__: 在 IDC 那邊 drop 的話,packets 才不會進來03:42
leo__03:42
* BlueT_ 看到這類事情就手癢03:43
leo__哈哈03:43
BlueT_leo__: 我在 IDC 幹了四五年,前兩個月剛離開03:43
BlueT_leo__: 基本上以前很常搞這類的問題03:44
BlueT_leo__: 現在是 freelancer,所以碰不到 :p03:44
leo__有空的话,给我们公司做个安全顾问怎么样阿03:46
leo__我估计老板是愿意付费的阿03:47
BlueT_leo__: haha, 需要的話,我有在做 consultant service 呀03:47
leo__03:47
leo__这方面的东西都是自学的吗?我想学,能指点下从哪方面下手吗03:48
BlueT_leo__: 其實很多 geek 都是非科班出身的03:49
BlueT_leo__: 看對哪塊有興趣,就去碰去讀,然後突然有一天就用上了 XD03:49
leo__哈哈03:50
leo__consultant service 怎么收费的呢,方便的话我们私下谈下03:50
BlueT_leo__: 可以呀,pm 聊? :)03:52
BlueT_leo__: 主要還是要先看你們需要哪些 service 囉 :303:52
leo__03:52
=== pellaeon_ is now known as pellaeon

Generated by irclog2html.py 2.7 by Marius Gedminas - find it at mg.pov.lt!