 Несколько вопросов по DDoS,  nops, 15-Дек-09, 19:23 [смотреть все]Друзья! Всем привет!Имеем CentOS 5.2 на нём поднят биллинг и хостинг. Вопрос в следующем.
Есть сервер, на нём хостится 8 сайтов, 3 домена 2-го уровня, а остальные субдомены каждого из верхнего уровня.
Есть подозрение, что мой сервак атакуют, а именно DDoS.
У меня сначала возрастают пинги с 50мс до 400-600мс и даже до 2000 мс. Так он держится минут 10-15 и потом не отвечает. У меня написан скрипт, если не пингуется IP-адрес в сети интернет, то сервак сам идёт в перезагрузку.
Спустя время, от 5 минут до нескольких часов сервер наконец-то начинает отвечать, и с нормальными пингами от 30 до 60 мс. Вопрос в следующем, как определить что именно произошло с сервером, почему он перестал отвечать, и если подтвердится что это DDoS, то как определить какой именно домен атакуют... Заранее благодарен.
|
- Несколько вопросов по DDoS, Michael, 19:33 , 15-Дек-09 (1)
>Вопрос в следующем, как определить что именно произошло с сервером, почему он
>перестал отвечать, tcpdump, trafshow, смотреть логи
> как определить >какой именно домен атакуют...
никак. только перекидывать домены по одному на другой сервер и следить за изменениями
- Несколько вопросов по DDoS, Michael, 19:34 , 15-Дек-09 (2)
>
>> как определить >какой именно домен атакуют...
>
>никак. только перекидывать домены по одному на другой сервер и следить за
>изменениями если валят http запросами, то можно посмотреть логи
но судя по симптомам - это не ваш случай
- Несколько вопросов по DDoS, nops, 20:03 , 15-Дек-09 (3)
>tcpdump, trafshow, смотреть логи А где посмотреть эти логи? tcpdump.log(по логике) отсутствует, tcpdump есть только в /usr/sbin
trafshow вообще не найден на сервере.
Что и где рыть, не могу понять.... >никак. только перекидывать домены по одному на другой сервер и следить за
>изменениями а если нет возможности перекидывать домены на другой сервер? Есть один IP. может просто заблокировать dns запись? чтобы домен не разрешался? Это как вариант....
- Несколько вопросов по DDoS, Pahanivo, 08:37 , 16-Дек-09 (4)
>А где посмотреть эти логи? tcpdump.log(по логике) отсутствует, tcpdump есть только в
>/usr/sbin продолжатель дела петросяна? ))
man tcpdump
- Несколько вопросов по DDoS, nops, 12:17 , 16-Дек-09 (5)
>продолжатель дела петросяна? ))
>man tcpdump Нет, просто я ещё очень слаб в Linux.
Поэтому и спрашиваю.....
- Несколько вопросов по DDoS, linuxgid, 13:34 , 17-Дек-09 (6)
по личному опыту скажу - да, это ДДоС.
Я сам не знаю как бороться с ддос атаками, потому я нанимал человека для борьбы с этой проблемой...
- Несколько вопросов по DDoS, nops, 07:35 , 18-Дек-09 (7)
>по личному опыту скажу - да, это ДДоС.
>Я сам не знаю как бороться с ддос атаками, потому я нанимал
>человека для борьбы с этой проблемой... А не подскажешь что он сделал? помет поглядишь, что поменял, что добавил.....
- Несколько вопросов по DDoS, nops, 05:56 , 24-Дек-09 (8)
Друзья! У меня сейчас вообще вызывает подозрение что это DDoS.
Машинка, на которой всё это крутиться, она и шлюз и хостинг.
Смотрю по биллинговой системе, запросов и пакетов, перед падением, не много.
вот скрин: http://www.novour.com/3.jpg
Почему тогда сер уходит в даун, умане приложу.
Помогите плиззззз разобраться.
- Несколько вопросов по DDoS, Slavaz, 12:00 , 24-Дек-09 (9)
>Друзья! У меня сейчас вообще вызывает подозрение что это DDoS.
>Машинка, на которой всё это крутиться, она и шлюз и хостинг.
>Смотрю по биллинговой системе, запросов и пакетов, перед падением, не много.
>вот скрин: http://www.novour.com/3.jpg
>Почему тогда сер уходит в даун, умане приложу.
>
>Помогите плиззззз разобраться. Там один из подозрительных адресов 77.88.25.28
набираешь в комстроке whois 77.88.25.28 Ищешь "Network security issues:". После двоеточия будет емайл. Пишешь жалобу на указанный емайл с доказательствами своей правоты. Всё. Процентов 99, что это участник ботнета :) А вообще можешь закрыть порт 65535, если есть права на такое...
- Несколько вопросов по DDoS, nops, 13:47 , 24-Дек-09 (10)
>А вообще можешь закрыть порт 65535, если есть права на такое... Если честно, то я в фаерволе закрыл этот порт, но на него всё равно сыпется трафик.............
- Несколько вопросов по DDoS, nops, 13:48 , 24-Дек-09 (11)
>Там один из подозрительных адресов 77.88.25.28 Этот адрес принадлежит поисковому боту Яндекса spider33.yandex.ru вот кто это.
- Несколько вопросов по DDoS, Slavaz, 15:35 , 24-Дек-09 (12)
>>Там один из подозрительных адресов 77.88.25.28
>Этот адрес принадлежит поисковому боту Яндекса spider33.yandex.ru вот кто это. Гхм... поисковый паук ложит сервак? Что-то не так с сайтом (слишком тяжеловесный?).
- Несколько вопросов по DDoS, Александр Лейн, 04:20 , 05-Янв-10 (13)
а человек в здравом уме будет все ставить на одну машину?? не кажется ли вам, что это уже слишком? vmware esxi и каждую машину на отдельный хост. снорт+ эйсид тоже запретила церковь??? поюзайте снорта, он прояснит ситуацию во многом, даже картинку покажет. и графики построит.
|
Версия для распечатки
