[01:01] 公司server在洛杉矶,带宽100M,最近总是遇到规模超过2Gb/s的DDOS攻击,带宽几乎瞬间被吃完,机器掉线,机房不提供ddos防御,哪位兄弟有好办法缓解或者追踪攻击源IP? [01:01] 类似规模的攻击,机房肯定遇到的多了,我也知道通过机房网络可以查到攻击源IP,但机房现在唯一做的就是drop掉该IP的所有input包 [01:01] 哪位兄弟能给指点一二? 谢谢 === jjhuang_ is now known as jjhuang [03:10] leo__: ping [03:11] BlueT_ ping what ? [03:11] leo__: ping you, to see if you're around or not :p [03:12] leo__: how many IPs do you have in that DC? [03:12] leo__: and how many of them are still availible? [03:12] 5 Ips per box [03:12] 1 has been banned, and others availible [03:14] leo__: firstly you gotta check if the botnet's attacking your IP directly, or attacking your domain->IP [03:16] leo__: 相信你們應該已經把 server 換了一個 IP,然後 DNS record 也轉到新的 IP 上了吧? [03:16] certainly the IP is the attack target, i've changed the A record while tattacking [03:17] 是的 [03:17] 基本是这样的 [03:17] leo__: 轉到新 IP 後,攻擊有跟到新 IP 嗎? [03:17] 憋英语挺郁闷的,还以为你的外国人呢 [03:17] 没有 [03:18] 还是在原来的ip上 [03:18] 2中情况: [03:18] 1)这是自动程序设置的原因,没来得及及时 [03:18] 修改target ip [03:19] 估计是这个 [03:19] leo__: 你們被持續 attack 多久了?持續性的或是間斷性的?換 IP 多久了? [03:19] 我在想,有没有某些工具可以在机器上跑个daemon [03:20] 自动追踪下source IP ,即使是伪造的也好 [03:20] 期望可以判断出大概的网络 [03:20] 最近一个月已经不少于50次了 [03:21] leo__: 你們是把機器 co-location 在別人 DC 裡? [03:21] 间歇性的,每次会持续30到2个小时不等 [03:21] leo__: 大約攻擊的時段是...? [03:21] 直接在webnx买的dedicated server [03:22] oh [03:22] 比如昨天是USA时间 12:00-18:00 [03:23] 前天则是13-16 [03:23] 大概时间段是差不多的 [03:23] leo__: 貴公司的網站是哪種類型的? @@ 另外有收到對方寄的 email 了嗎? [03:24] www.123flashchat.com [03:24] 有自己的server端,卖chat服务,以及license [03:24] 对方威胁我们最大的一个客户 [03:25] 并没有对我们公司进行直接威胁 [03:25] leo__: oh, 所以是攻擊你們客戶, 不是你們公司 [03:25] 而且有人承认是他攻击的,germany的一个看起来不到20岁的小孩,据说有1000多台肉鸡 [03:25] 对 [03:26] 照片都发给客户了 [03:26] 客户发给我们的 [03:26] 一千多台... 小咖... :~ [03:26] 具体情况不清楚 [03:27] 方便的话我可以给你看下mrtg监控图 [03:27] leo__: 如果這些情報都正確的話,這些看起來應該不是真的很專業的 DDoS 業者 [03:27] leo__: sure :) [03:27] 恩 [03:27] moment [03:29] leo__: 一般來說,要處理這種狀況,最快的就是擺一台 Cisco 之類的設備在 IDC 那邊 (放在 DC 進線的地方) [03:29] leo__: 另外在 server 前端的 switch 做 port mirroring 把所有封包 mirror 到旁邊的 netFlow server [03:30] leo__: 或是用一台 netscaler 之類的設備也可以 [03:30] 机房现在回复我们的就是:他们遇到类似情况直接drop这个ip外网进出的所有包 [03:30] 恩 [03:31] 那也得先过滤出来哪些是非正常的流量啊 [03:31] 你说的是在机器前面加个流量清洗的设备是吧 [03:31] leo__: 在 netFlow 或是 netscaler 上做 monitor, 偵測到異常流量時,可以根據 pre-defined rule 經由 snmp 直接打 acl command 去外面的 cisco 把這個 ip/connection ban 掉 [03:33] leo__: 差不多。我之前在某 IDC 做事時,就是直接土炮一套半自動的系統 [03:33] leo__: 他說的是在 server 上 drop 還是在 router/switch 上 drop? [03:33] 哈哈,明白了,其实原理一样 [03:33] 在router上 [03:33] 边界router上 [03:33] leo__: 嗯,沒錯。 [03:33] 直接drop [03:34] leo__: 重點其實就是,在越外層 drop 越好。 [03:34] 不好意思阿,我还不知道怎么用irc单独给你发消息 [03:34] mrtg的信息我怎么发给你 [03:34] leo__: 不然那些無用的封包會把你的『線路』本身塞滿 [03:34] 恩 [03:34] 是 [03:35] leo__: 我有回應你的 pm,有看到嗎? [03:35] 基本是发现攻击的时候ping结果是90%以上丢包,1分钟差不多就100%了 [03:35] 看到了 [03:35] 哈哈 [03:35] leo__: 其實這種攻擊固定 IP 的 DDoS attack 都算容易處理 [03:36] 问题是:机房drop的是该IP相关的所有包 [03:36] 哦? [03:38] leo__: 這種 DDoS 基本處理 SOP 就是: 1. 換 IP. 2. 改 DNS A record. 3. 在能掌控的最外界 router 把 dst:old_ip 的所有 packet drop 掉。 4. 繼續喝咖啡 [03:39] leo__: 如果是會跟 DNS record 跑的 attack 才比較麻煩 [03:39] 那等下攻击的人反应过来,又攻击另外一个ip [03:40] 又攻击new ip [03:40] 结果一样 [03:40] leo__: 一般來說他們反應時間不會很快 [03:40] 同样是所有的ip都不能同了,带宽吃完了,再多的ip都没用 [03:40] 一台机器 [03:40] 恩 [03:41] leo__: 當然要抓也可以,就用 netflow/netscaler 去過濾囉 [03:41] leo__: 所以我剛才說,要在 IDC 那邊的 router drop packet 而不是在你 server 這邊 [03:42] 恩 [03:42] leo__: 在你 server 這邊 drop 的話,你的 cat.5e 本身還是會被塞滿 [03:42] leo__: 在 IDC 那邊 drop 的話,packets 才不會進來 [03:42] 恩 [03:43] * BlueT_ 看到這類事情就手癢 [03:43] 哈哈 [03:43] leo__: 我在 IDC 幹了四五年,前兩個月剛離開 [03:44] leo__: 基本上以前很常搞這類的問題 [03:44] leo__: 現在是 freelancer,所以碰不到 :p [03:46] 有空的话,给我们公司做个安全顾问怎么样阿 [03:47] 我估计老板是愿意付费的阿 [03:47] leo__: haha, 需要的話,我有在做 consultant service 呀 [03:47] 恩 [03:48] 这方面的东西都是自学的吗?我想学,能指点下从哪方面下手吗 [03:49] leo__: 其實很多 geek 都是非科班出身的 [03:49] leo__: 看對哪塊有興趣,就去碰去讀,然後突然有一天就用上了 XD [03:50] 哈哈 [03:50] consultant service 怎么收费的呢,方便的话我们私下谈下 [03:52] leo__: 可以呀,pm 聊? :) [03:52] leo__: 主要還是要先看你們需要哪些 service 囉 :3 [03:52] 恩 === pellaeon_ is now known as pellaeon