DoS על השרת
מאת PHANTOm בתאריך 11/07/11, תחת כללי
החלטתי להביא כמה גרפים ותמונות, אין פה איזה פואנטה או משהו חכם להגיד על זה. סתם משהו ששרף לי כמה שעות היום להחליף אייפי ולנהל מו"מ עם האכסון. המחשב היחיד שתקף אותנו עדיין חי ובועט, הספקית שלו לוקחת את הזמן.
מה קרה? השרת אכל המון UDP לפורט 53 (DNS), ולא, אין שירות DNS על השרת. לא היה צריך לחסום שום דבר, מצד שני התעבורה נאכלה בכל מקרה. ברור שהיה אפשר בקלות לגרום יותר נזק. אני אצרף שורה לדוגמא מ tcpdump.
עובדה מענינת שגיליתי: iptables לא הוריד את ה CPU Usage בכלל. בשעות הבוקר הוספתי rule חדש ואין שום שינוי ל CPU בגרף. רק בשלב שבו הספקית ניתבה את האייפי והשרת הפסיק לאכול את ה UDP ה- usage ירד.
10:13:27.106154 IP (tos 0x0, ttl 113, id 42349, offset 0, flags [none], proto UDP (17), length 29) 66.147.172.2.30479 > 109.74.197.108.53: [|domain]
השאר תגובה
-
שלום, ברוכים הבאים ל BinaryVision!
תודה שביקרתם! תרגישו חופשי להצטרף לדיון ע"י השארת תגובות, כדי להיות מעודכנים אפשר להרשם לRSS.
בקרו בערוץ IRC שלנו: #binaryvision בשרת irc.nix.co.il
אחסון ב- Linode.com
12/07/11 בשעה 19:23
למה ש iptables יגרום לאיזהשהו שינוי? הכל קורה לפני iptables ואין לך שום דבר שמאזין לזה במילא…
בכל מקרה, באסה 🙂
17/07/11 בשעה 7:49
במקרה של מתקפה מ-כתובת ידוע, אפשר לעשות שימוש ב-Null route, זה חוסך את החוק מהחומת אש ומבטל את הכוח עיבוד שצריך בכדי ליישם את החוק.
http://en.wikipedia.org/wiki/Null_route