leo__ | 公司server在洛杉矶,带宽100M,最近总是遇到规模超过2Gb/s的DDOS攻击,带宽几乎瞬间被吃完,机器掉线,机房不提供ddos防御,哪位兄弟有好办法缓解或者追踪攻击源IP? | 01:01 |
---|---|---|
leo__ | 类似规模的攻击,机房肯定遇到的多了,我也知道通过机房网络可以查到攻击源IP,但机房现在唯一做的就是drop掉该IP的所有input包 | 01:01 |
leo__ | 哪位兄弟能给指点一二? 谢谢 | 01:01 |
=== jjhuang_ is now known as jjhuang | ||
BlueT_ | leo__: ping | 03:10 |
leo__ | BlueT_ ping what ? | 03:11 |
BlueT_ | leo__: ping you, to see if you're around or not :p | 03:11 |
BlueT_ | leo__: how many IPs do you have in that DC? | 03:12 |
BlueT_ | leo__: and how many of them are still availible? | 03:12 |
leo__ | 5 Ips per box | 03:12 |
leo__ | 1 has been banned, and others availible | 03:12 |
BlueT_ | leo__: firstly you gotta check if the botnet's attacking your IP directly, or attacking your domain->IP | 03:14 |
BlueT_ | leo__: 相信你們應該已經把 server 換了一個 IP,然後 DNS record 也轉到新的 IP 上了吧? | 03:16 |
leo__ | certainly the IP is the attack target, i've changed the A record while tattacking | 03:16 |
leo__ | 是的 | 03:17 |
leo__ | 基本是这样的 | 03:17 |
BlueT_ | leo__: 轉到新 IP 後,攻擊有跟到新 IP 嗎? | 03:17 |
leo__ | 憋英语挺郁闷的,还以为你的外国人呢 | 03:17 |
leo__ | 没有 | 03:17 |
leo__ | 还是在原来的ip上 | 03:18 |
leo__ | 2中情况: | 03:18 |
leo__ | 1)这是自动程序设置的原因,没来得及及时 | 03:18 |
leo__ | 修改target ip | 03:18 |
leo__ | 估计是这个 | 03:19 |
BlueT_ | leo__: 你們被持續 attack 多久了?持續性的或是間斷性的?換 IP 多久了? | 03:19 |
leo__ | 我在想,有没有某些工具可以在机器上跑个daemon | 03:19 |
leo__ | 自动追踪下source IP ,即使是伪造的也好 | 03:20 |
leo__ | 期望可以判断出大概的网络 | 03:20 |
leo__ | 最近一个月已经不少于50次了 | 03:20 |
BlueT_ | leo__: 你們是把機器 co-location 在別人 DC 裡? | 03:21 |
leo__ | 间歇性的,每次会持续30到2个小时不等 | 03:21 |
BlueT_ | leo__: 大約攻擊的時段是...? | 03:21 |
leo__ | 直接在webnx买的dedicated server | 03:21 |
BlueT_ | oh | 03:22 |
leo__ | 比如昨天是USA时间 12:00-18:00 | 03:22 |
leo__ | 前天则是13-16 | 03:23 |
leo__ | 大概时间段是差不多的 | 03:23 |
BlueT_ | leo__: 貴公司的網站是哪種類型的? @@ 另外有收到對方寄的 email 了嗎? | 03:23 |
leo__ | www.123flashchat.com | 03:24 |
leo__ | 有自己的server端,卖chat服务,以及license | 03:24 |
leo__ | 对方威胁我们最大的一个客户 | 03:24 |
leo__ | 并没有对我们公司进行直接威胁 | 03:25 |
BlueT_ | leo__: oh, 所以是攻擊你們客戶, 不是你們公司 | 03:25 |
leo__ | 而且有人承认是他攻击的,germany的一个看起来不到20岁的小孩,据说有1000多台肉鸡 | 03:25 |
leo__ | 对 | 03:25 |
leo__ | 照片都发给客户了 | 03:26 |
leo__ | 客户发给我们的 | 03:26 |
BlueT_ | 一千多台... 小咖... :~ | 03:26 |
leo__ | 具体情况不清楚 | 03:26 |
leo__ | 方便的话我可以给你看下mrtg监控图 | 03:27 |
BlueT_ | leo__: 如果這些情報都正確的話,這些看起來應該不是真的很專業的 DDoS 業者 | 03:27 |
BlueT_ | leo__: sure :) | 03:27 |
leo__ | 恩 | 03:27 |
leo__ | moment | 03:27 |
BlueT_ | leo__: 一般來說,要處理這種狀況,最快的就是擺一台 Cisco 之類的設備在 IDC 那邊 (放在 DC 進線的地方) | 03:29 |
BlueT_ | leo__: 另外在 server 前端的 switch 做 port mirroring 把所有封包 mirror 到旁邊的 netFlow server | 03:29 |
BlueT_ | leo__: 或是用一台 netscaler 之類的設備也可以 | 03:30 |
leo__ | 机房现在回复我们的就是:他们遇到类似情况直接drop这个ip外网进出的所有包 | 03:30 |
leo__ | 恩 | 03:30 |
leo__ | 那也得先过滤出来哪些是非正常的流量啊 | 03:31 |
leo__ | 你说的是在机器前面加个流量清洗的设备是吧 | 03:31 |
BlueT_ | leo__: 在 netFlow 或是 netscaler 上做 monitor, 偵測到異常流量時,可以根據 pre-defined rule 經由 snmp 直接打 acl command 去外面的 cisco 把這個 ip/connection ban 掉 | 03:31 |
BlueT_ | leo__: 差不多。我之前在某 IDC 做事時,就是直接土炮一套半自動的系統 | 03:33 |
BlueT_ | leo__: 他說的是在 server 上 drop 還是在 router/switch 上 drop? | 03:33 |
leo__ | 哈哈,明白了,其实原理一样 | 03:33 |
leo__ | 在router上 | 03:33 |
leo__ | 边界router上 | 03:33 |
BlueT_ | leo__: 嗯,沒錯。 | 03:33 |
leo__ | 直接drop | 03:33 |
BlueT_ | leo__: 重點其實就是,在越外層 drop 越好。 | 03:34 |
leo__ | 不好意思阿,我还不知道怎么用irc单独给你发消息 | 03:34 |
leo__ | mrtg的信息我怎么发给你 | 03:34 |
BlueT_ | leo__: 不然那些無用的封包會把你的『線路』本身塞滿 | 03:34 |
leo__ | 恩 | 03:34 |
leo__ | 是 | 03:34 |
BlueT_ | leo__: 我有回應你的 pm,有看到嗎? | 03:35 |
leo__ | 基本是发现攻击的时候ping结果是90%以上丢包,1分钟差不多就100%了 | 03:35 |
leo__ | 看到了 | 03:35 |
leo__ | 哈哈 | 03:35 |
BlueT_ | leo__: 其實這種攻擊固定 IP 的 DDoS attack 都算容易處理 | 03:35 |
leo__ | 问题是:机房drop的是该IP相关的所有包 | 03:36 |
leo__ | 哦? | 03:36 |
BlueT_ | leo__: 這種 DDoS 基本處理 SOP 就是: 1. 換 IP. 2. 改 DNS A record. 3. 在能掌控的最外界 router 把 dst:old_ip 的所有 packet drop 掉。 4. 繼續喝咖啡 | 03:38 |
BlueT_ | leo__: 如果是會跟 DNS record 跑的 attack 才比較麻煩 | 03:39 |
leo__ | 那等下攻击的人反应过来,又攻击另外一个ip | 03:39 |
leo__ | 又攻击new ip | 03:40 |
leo__ | 结果一样 | 03:40 |
BlueT_ | leo__: 一般來說他們反應時間不會很快 | 03:40 |
leo__ | 同样是所有的ip都不能同了,带宽吃完了,再多的ip都没用 | 03:40 |
leo__ | 一台机器 | 03:40 |
leo__ | 恩 | 03:40 |
BlueT_ | leo__: 當然要抓也可以,就用 netflow/netscaler 去過濾囉 | 03:41 |
BlueT_ | leo__: 所以我剛才說,要在 IDC 那邊的 router drop packet 而不是在你 server 這邊 | 03:41 |
leo__ | 恩 | 03:42 |
BlueT_ | leo__: 在你 server 這邊 drop 的話,你的 cat.5e 本身還是會被塞滿 | 03:42 |
BlueT_ | leo__: 在 IDC 那邊 drop 的話,packets 才不會進來 | 03:42 |
leo__ | 恩 | 03:42 |
* BlueT_ 看到這類事情就手癢 | 03:43 | |
leo__ | 哈哈 | 03:43 |
BlueT_ | leo__: 我在 IDC 幹了四五年,前兩個月剛離開 | 03:43 |
BlueT_ | leo__: 基本上以前很常搞這類的問題 | 03:44 |
BlueT_ | leo__: 現在是 freelancer,所以碰不到 :p | 03:44 |
leo__ | 有空的话,给我们公司做个安全顾问怎么样阿 | 03:46 |
leo__ | 我估计老板是愿意付费的阿 | 03:47 |
BlueT_ | leo__: haha, 需要的話,我有在做 consultant service 呀 | 03:47 |
leo__ | 恩 | 03:47 |
leo__ | 这方面的东西都是自学的吗?我想学,能指点下从哪方面下手吗 | 03:48 |
BlueT_ | leo__: 其實很多 geek 都是非科班出身的 | 03:49 |
BlueT_ | leo__: 看對哪塊有興趣,就去碰去讀,然後突然有一天就用上了 XD | 03:49 |
leo__ | 哈哈 | 03:50 |
leo__ | consultant service 怎么收费的呢,方便的话我们私下谈下 | 03:50 |
BlueT_ | leo__: 可以呀,pm 聊? :) | 03:52 |
BlueT_ | leo__: 主要還是要先看你們需要哪些 service 囉 :3 | 03:52 |
leo__ | 恩 | 03:52 |
=== pellaeon_ is now known as pellaeon |
Generated by irclog2html.py 2.7 by Marius Gedminas - find it at mg.pov.lt!