[01:01] <leo__> 公司server在洛杉矶，带宽100M，最近总是遇到规模超过2Gb/s的DDOS攻击，带宽几乎瞬间被吃完，机器掉线，机房不提供ddos防御，哪位兄弟有好办法缓解或者追踪攻击源IP？
[01:01] <leo__> 类似规模的攻击，机房肯定遇到的多了，我也知道通过机房网络可以查到攻击源IP，但机房现在唯一做的就是drop掉该IP的所有input包
[01:01] <leo__> 哪位兄弟能给指点一二？ 谢谢
[03:10] <BlueT_> leo__: ping
[03:11] <leo__> BlueT_  ping what ?
[03:11] <BlueT_> leo__: ping you, to see if you're around or not :p
[03:12] <BlueT_> leo__: how many IPs do you have in that DC?
[03:12] <BlueT_> leo__: and how many of them are still availible?
[03:12] <leo__> 5 Ips per box
[03:12] <leo__> 1 has been banned, and others availible
[03:14] <BlueT_> leo__: firstly you gotta check if the botnet's attacking your IP directly, or attacking your domain->IP
[03:16] <BlueT_> leo__: 相信你們應該已經把 server 換了一個 IP，然後 DNS record 也轉到新的 IP 上了吧？
[03:16] <leo__> certainly the IP is the attack target, i've changed the A record while tattacking
[03:17] <leo__> 是的
[03:17] <leo__> 基本是这样的
[03:17] <BlueT_> leo__: 轉到新 IP 後，攻擊有跟到新 IP 嗎？
[03:17] <leo__> 憋英语挺郁闷的，还以为你的外国人呢
[03:17] <leo__> 没有
[03:18] <leo__> 还是在原来的ip上
[03:18] <leo__> 2中情况：
[03:18] <leo__> 1）这是自动程序设置的原因，没来得及及时
[03:18] <leo__> 修改target ip
[03:19] <leo__> 估计是这个
[03:19] <BlueT_> leo__: 你們被持續 attack 多久了？持續性的或是間斷性的？換 IP 多久了？
[03:19] <leo__> 我在想，有没有某些工具可以在机器上跑个daemon
[03:20] <leo__> 自动追踪下source IP ，即使是伪造的也好
[03:20] <leo__> 期望可以判断出大概的网络
[03:20] <leo__> 最近一个月已经不少于50次了
[03:21] <BlueT_> leo__: 你們是把機器 co-location 在別人 DC 裡？
[03:21] <leo__> 间歇性的，每次会持续30到2个小时不等
[03:21] <BlueT_> leo__: 大約攻擊的時段是...?
[03:21] <leo__> 直接在webnx买的dedicated server
[03:22] <BlueT_> oh
[03:22] <leo__> 比如昨天是USA时间 12：00-18：00
[03:23] <leo__> 前天则是13-16
[03:23] <leo__> 大概时间段是差不多的
[03:23] <BlueT_> leo__: 貴公司的網站是哪種類型的？ @@ 另外有收到對方寄的 email 了嗎？
[03:24] <leo__> www.123flashchat.com
[03:24] <leo__> 有自己的server端，卖chat服务，以及license
[03:24] <leo__> 对方威胁我们最大的一个客户
[03:25] <leo__> 并没有对我们公司进行直接威胁
[03:25] <BlueT_> leo__: oh, 所以是攻擊你們客戶, 不是你們公司
[03:25] <leo__> 而且有人承认是他攻击的，germany的一个看起来不到20岁的小孩，据说有1000多台肉鸡
[03:25] <leo__> 对
[03:26] <leo__> 照片都发给客户了
[03:26] <leo__> 客户发给我们的
[03:26] <BlueT_> 一千多台... 小咖... :~
[03:26] <leo__> 具体情况不清楚
[03:27] <leo__> 方便的话我可以给你看下mrtg监控图
[03:27] <BlueT_> leo__: 如果這些情報都正確的話，這些看起來應該不是真的很專業的 DDoS 業者
[03:27] <BlueT_> leo__: sure :)
[03:27] <leo__> 恩
[03:27] <leo__> moment
[03:29] <BlueT_> leo__: 一般來說，要處理這種狀況，最快的就是擺一台 Cisco 之類的設備在 IDC 那邊 (放在 DC 進線的地方)
[03:29] <BlueT_> leo__: 另外在 server 前端的 switch 做 port mirroring 把所有封包 mirror 到旁邊的 netFlow server
[03:30] <BlueT_> leo__: 或是用一台 netscaler 之類的設備也可以
[03:30] <leo__> 机房现在回复我们的就是：他们遇到类似情况直接drop这个ip外网进出的所有包
[03:30] <leo__> 恩
[03:31] <leo__> 那也得先过滤出来哪些是非正常的流量啊
[03:31] <leo__> 你说的是在机器前面加个流量清洗的设备是吧
[03:31] <BlueT_> leo__: 在 netFlow 或是 netscaler 上做 monitor, 偵測到異常流量時，可以根據 pre-defined rule 經由 snmp 直接打 acl command 去外面的 cisco 把這個 ip/connection ban 掉
[03:33] <BlueT_> leo__: 差不多。我之前在某 IDC 做事時，就是直接土炮一套半自動的系統
[03:33] <BlueT_> leo__: 他說的是在 server 上 drop 還是在 router/switch 上 drop？
[03:33] <leo__> 哈哈，明白了，其实原理一样
[03:33] <leo__> 在router上
[03:33] <leo__> 边界router上
[03:33] <BlueT_> leo__: 嗯，沒錯。
[03:33] <leo__> 直接drop
[03:34] <BlueT_> leo__: 重點其實就是，在越外層 drop 越好。
[03:34] <leo__> 不好意思阿，我还不知道怎么用irc单独给你发消息
[03:34] <leo__> mrtg的信息我怎么发给你
[03:34] <BlueT_> leo__: 不然那些無用的封包會把你的『線路』本身塞滿
[03:34] <leo__> 恩
[03:34] <leo__> 是
[03:35] <BlueT_> leo__: 我有回應你的 pm，有看到嗎？
[03:35] <leo__> 基本是发现攻击的时候ping结果是90%以上丢包，1分钟差不多就100%了
[03:35] <leo__> 看到了
[03:35] <leo__> 哈哈
[03:35] <BlueT_> leo__: 其實這種攻擊固定 IP 的 DDoS attack 都算容易處理
[03:36] <leo__> 问题是：机房drop的是该IP相关的所有包
[03:36] <leo__> 哦？
[03:38] <BlueT_> leo__: 這種 DDoS 基本處理 SOP 就是： 1. 換 IP.  2. 改 DNS A record.  3. 在能掌控的最外界 router 把 dst:old_ip 的所有 packet drop 掉。  4. 繼續喝咖啡
[03:39] <BlueT_> leo__: 如果是會跟 DNS record 跑的 attack 才比較麻煩
[03:39] <leo__> 那等下攻击的人反应过来，又攻击另外一个ip
[03:40] <leo__> 又攻击new ip
[03:40] <leo__> 结果一样
[03:40] <BlueT_> leo__: 一般來說他們反應時間不會很快
[03:40] <leo__> 同样是所有的ip都不能同了，带宽吃完了，再多的ip都没用
[03:40] <leo__> 一台机器
[03:40] <leo__> 恩
[03:41] <BlueT_> leo__: 當然要抓也可以，就用 netflow/netscaler 去過濾囉
[03:41] <BlueT_> leo__: 所以我剛才說，要在 IDC 那邊的 router drop packet 而不是在你 server 這邊
[03:42] <leo__> 恩
[03:42] <BlueT_> leo__: 在你 server 這邊 drop 的話，你的 cat.5e 本身還是會被塞滿
[03:42] <BlueT_> leo__: 在 IDC 那邊 drop 的話，packets 才不會進來
[03:42] <leo__> 恩
[03:43]  * BlueT_ 看到這類事情就手癢
[03:43] <leo__> 哈哈
[03:43] <BlueT_> leo__: 我在 IDC 幹了四五年，前兩個月剛離開
[03:44] <BlueT_> leo__: 基本上以前很常搞這類的問題
[03:44] <BlueT_> leo__: 現在是 freelancer，所以碰不到 :p
[03:46] <leo__> 有空的话，给我们公司做个安全顾问怎么样阿
[03:47] <leo__> 我估计老板是愿意付费的阿
[03:47] <BlueT_> leo__: haha, 需要的話，我有在做 consultant service 呀
[03:47] <leo__> 恩
[03:48] <leo__> 这方面的东西都是自学的吗？我想学，能指点下从哪方面下手吗
[03:49] <BlueT_> leo__: 其實很多 geek 都是非科班出身的
[03:49] <BlueT_> leo__: 看對哪塊有興趣，就去碰去讀，然後突然有一天就用上了 XD
[03:50] <leo__> 哈哈
[03:50] <leo__> consultant service 怎么收费的呢，方便的话我们私下谈下
[03:52] <BlueT_> leo__: 可以呀，pm 聊？ :)
[03:52] <BlueT_> leo__: 主要還是要先看你們需要哪些 service 囉 :3
[03:52] <leo__> 恩