Вы Гость ( Вход | Регистрация )

У кого-нибудь еще есть проблемы с флудом? Оценка: -----
  • (6 Страниц)
  • +
  • 1
  • 2
  • 3
  • »
опции темы

Пользователь офлайн Тимур
08 декабря 2006 - 01:42
Сообщение #1

Звание: вопрошающий
Группа: VIPnp
Сообщений: 4 014
Регистрация: 12 августа 03
Город: Moscow
Привет

Мы вчера и сегодня столкнулись с новой гадостью.

Несколько сотен машин наших клиентов стали делать пингфлуд на адрес 209.249.222.2
Очень неприятно, надо сказать.

Есть у кого-нибудь похожая проблема?

Я почему спрашиваю - если это так у многих, то это вирусная эпидемия, а если это только у нас, то это какие-то локальные хакеры устроили.

Тимур
 
Пользователь офлайн yvt1974
08 декабря 2006 - 02:03
Сообщение #2

Звание: Абитуриент
Группа: Пользователи
Сообщений: 16
Регистрация: 08 ноября 05
Было у одного товарища абсолютно тоже самое.
 
Пользователь офлайн Nag
08 декабря 2006 - 02:07
Сообщение #3

Звание: Site Author
Группа: Администраторы
Сообщений: 12 529
Регистрация: 04 октября 02
Город: Ekaterinburg
http://forum.nag.ru/index.php?showtopic=32187
Похоже кто-то зомбиков поднимает...
 
Пользователь офлайн [Eagle]
08 декабря 2006 - 02:17
Сообщение #4

Звание: Студент
Группа: Активный участник
Сообщений: 394
Регистрация: 23 сентября 05
Город: Moscow, Russia
Ботоводы активизировались... За последние пару дней около десятка флудов на разные зарубежные хосты было..
 
Пользователь офлайн MrBear
08 декабря 2006 - 02:48
Сообщение #5

Звание: Академик
Группа: VIP
Сообщений: 5 417
Регистрация: 05 октября 02
Судя по тому, что и количество спама резко возросло за последнее время, к Рождеству готовятся все... :)
 
Пользователь офлайн Serg_Klp
08 декабря 2006 - 02:49
Сообщение #6

Звание: Студент
Группа: Участник
Сообщений: 143
Регистрация: 25 марта 06
Ежедневно уже в течении последнего месяца сталкиваемся с этим. Разнообразный флуд на udp 80, udp 53, tcp 80, tcp 6667. На поверку оказываются ирсшными бэкдорами и прочим троянским парнокопытными. Причем абонент абсолютно об этом не подозревает - зачастую даже стоит антивирусный софт с прошлогодними апдейтами.. На вскидку из последнего: Agobot, Wootbot, SdBot, RBot, SpyBot, ForBot, IRCBot.
 
Пользователь офлайн Тимур
08 декабря 2006 - 07:11
Сообщение #7

Звание: вопрошающий
Группа: VIPnp
Сообщений: 4 014
Регистрация: 12 августа 03
Город: Moscow

Просмотр сообщенияSerg_Klp (08 декабря 2006 - 02:49) писал:

Ежедневно уже в течении последнего месяца сталкиваемся с этим. Разнообразный флуд на udp 80, udp 53, tcp 80, tcp 6667. На поверку оказываются ирсшными бэкдорами и прочим троянским парнокопытными. Причем абонент абсолютно об этом не подозревает - зачастую даже стоит антивирусный софт с прошлогодними апдейтами.. На вскидку из последнего: Agobot, Wootbot, SdBot, RBot, SpyBot, ForBot, IRCBot.


Мдя...

У меня собственно один тупой вопрос.
Вот у меня образовался ботнет на сотню машин. И что мне теперь делать?
Отключать? Клиенты начинают беситься - требуют чтобы их включили.
Включать? Они успешно топят сеть.
Шейпить? У клиентов все равно ничерта не работает, потому что вири дают жару - считай что отключил.
Чинить?
Во-первых я не могу выставить столько саппортеров.
Во-вторых, последние вири какие-то совсем злобные. С CD-ROM'а не получается - нужно снимать винт и лечить со здоровой машины. То есть каждому саппорту нужно давать ноутбук.
В третьих это все равно не помогает, потому что дело кончается тем, что нужно переставлять ОС
Требовать чтобы сами полечились? Сами они полечиться толком не могут.
Пусть вызывают сторонний саппорт? Сторонний саппорт ломит бешенные деньги. Клиенты бесятся.
 
Пользователь офлайн leveler
08 декабря 2006 - 08:21
Сообщение #8

Звание: Доцент
Группа: VIP
Сообщений: 2 018
Регистрация: 11 октября 05
Город: Новосибирск

Просмотр сообщенияТимур (08 декабря 2006 - 07:11) писал:

У меня собственно один тупой вопрос.
Вот у меня образовался ботнет на сотню машин. И что мне теперь делать?
Отключать? Клиенты начинают беситься - требуют чтобы их включили.
Включать? Они успешно топят сеть.
Шейпить? У клиентов все равно ничерта не работает, потому что вири дают жару - считай что отключил.
Чинить?
Во-первых я не могу выставить столько саппортеров.
Во-вторых, последние вири какие-то совсем злобные. С CD-ROM'а не получается - нужно снимать винт и лечить со здоровой машины. То есть каждому саппорту нужно давать ноутбук.
В третьих это все равно не помогает, потому что дело кончается тем, что нужно переставлять ОС
Требовать чтобы сами полечились? Сами они полечиться толком не могут.
Пусть вызывают сторонний саппорт? Сторонний саппорт ломит бешенные деньги. Клиенты бесятся.

Нужно просто это дело не запускать и по-тихоничку чинить абонентов. При чем за бабки. Можно даже своим сказать, чтобы на таких могли калымить. =) Тогда их работники в нерабочее время будут чинить себе же в удовольствие.
Ну а еще можно попробовать отключать не всех абонентов, а по списку через одного. Или только тех, чей номер в списке делится на три. Или у кого номер является простым числом. =Р
 
Пользователь офлайн Гoсть
08 декабря 2006 - 09:32
Сообщение #9

Звание: Пэнсионэр
Группа: VIP
Сообщений: 2 247
Регистрация: 11 августа 05
Тимур, надо отключать, вариантов нет.
Иначе можно дождаться больших претензий с другой стороны, и отключат уже тебя :(
 
Пользователь офлайн Прохожий
08 декабря 2006 - 12:29
Сообщение #10

Звание: Злостный провокатор
Группа: VIP
Сообщений: 12 008
Регистрация: 15 марта 04
Город: из обеих столиц
Однако, если так дальше пойдет, то детекторы аномалий трафика и прочие виредавилки станут штатной принадлежностью. Вопрос будет стоять просто: тратишь на них несколько десятков килобаксов и живешь, или не тратишь и не живешь...
 
Пользователь офлайн UglyAdmin
08 декабря 2006 - 12:42
Сообщение #11

Звание: инженер
Группа: VIP
Сообщений: 3 518
Регистрация: 16 октября 03
Город: Пенза
Увы, типовое решение годится только для типовой сети, а где Вы их видели у альтернативщиков.
На самом деле не всё так плохо, новые типы аномалий появляются не слишком часто, можно на основе анализа NetFlow сделать неплохой детектор.

Из вирусологии: чем злобнее вирус, тем он менее жизнеспособен, т.к. слишком быстро убивает хозяина. Наиболее успешный вирус - герпес, заражено более половины населения Земли, но никому особо жить не мешает. А вирусы с быстрым летальным исходом, как правило строго локализованы и давят их в первую очередь...
 
Пользователь офлайн umike
08 декабря 2006 - 12:48
Сообщение #12

Звание: Аспирант
Группа: Активный участник
Сообщений: 754
Регистрация: 14 декабря 03
два случая за последние два дня

в первом случае - icmp неизвестного объема, весь фрагментированный. В принципе легко вырезал. Во втором - жуткий udp на www.antiddos.com :)

По хорошему везде где можно надо резать 135-139, 445 порты. Кол-во эпидемий резко снижается.
+ антивирь и антиспам на почтовике неплохо могут помочь.

Сообщение отредактировал umike: 08 декабря 2006 - 12:52

 
Пользователь офлайн leiden
08 декабря 2006 - 13:04
Сообщение #13

Звание: Доцент
Группа: VIP
Сообщений: 1 537
Регистрация: 15 декабря 02
Город: Moscow
Вообще говоря во вторник был откровенный ДДОС внутри России (со всех сторон внутрь нашей сети к клиенту). Но слабоват оказался - и мы, и клиент переварили и не вздрогнули.
В среду был флуд со всех сторон в сторону забугра (во вполне конкретного оператора). Явно кто-то поднял зомбо-сеть по всей России. Суммарный объем - мегабит 300 случилось. Вообще говоря - массовую и заметную на общем фоне зомбо-сеть в России я видел в первый раз. Вот такие вот пироги, господа. Наше отношение к клиентам-операторам, у которых сидит фрагмент зомбо-сети, но нам и нашей сети она вреда своим трафиком не наносит - мы еще не сформулировали. Думаем - ибо много тонких моментов. Если зомбо-сеть нам вредит - будем выключать вплоть до излечения не раздумывая.
 
Пользователь офлайн nuclearcat
08 декабря 2006 - 13:27
Сообщение #14

Звание: Академик
Группа: VIP
Сообщений: 6 581
Регистрация: 31 января 04
Я считаю, что надо включать соответствующие органы и отслеживать - откуда и как ведется управление. Эффективными меры становятся при борьбе с источником проблемы,а не их последствиями.
 
Пользователь офлайн SergeiK
08 декабря 2006 - 13:36
Сообщение #15

Звание: Valenok
Группа: VIP
Сообщений: 2 312
Регистрация: 13 июля 05
Город: Out of the world
Что интересно - проснулись некоторые трояны, которых никто до этого не видел. Из антивирусов. Аськой многие вирусы и эксполером ловились.
Даже виндами со всеми патчами. Обновления к антивирусам запаздывали на пару дней!
Похоже на хорошо подготовленную и спланированную акцию, но цели ее - только ли Новогодний спам - не знаю.
 
Пользователь офлайн Прохожий
08 декабря 2006 - 13:42
Сообщение #16

Звание: Злостный провокатор
Группа: VIP
Сообщений: 12 008
Регистрация: 15 марта 04
Город: из обеих столиц
ИМХО, ситуацию здорово спасает то, что "плохие парни" здорово поумнели и повзрослели. Если раньше была гопота, которая размахивала "ножичком" часто и перед всеми, в основном из молодого куража, то теперь эта подросшая личность имеет уже вполне качественное вооружение, которое, как известно, профессионалы никогда не достают, если только действительно не собираются стрелять.

На самом деле 300 мбит/с более, чем достаточно, чтобы положить не очень крупный сервис, особенно если это не тупой пинг, а валидные запросы.

ИМХО, ситуация могла бы быть на много хуже. Если бы вместо сфокусированных и экономически обоснованных атак на отдельные конторы началась бы сетевая анархия в стиле Герострата...
 
Пользователь офлайн SergeiK
08 декабря 2006 - 13:54
Сообщение #17

Звание: Valenok
Группа: VIP
Сообщений: 2 312
Регистрация: 13 июля 05
Город: Out of the world
Ну с одной стороны - да. Типа нет бессмысленного и беспощадного флуда как со Сламером и тому подобного.

С другой стороны, обнаружив в офисе на компьютерах и за файрволом, со всеми обновлениями и свежими антивирусами несколько троянов, которые реально рассылают вирус некоторые системные адмминистраторы Вянды сильно удивляются.

А некоторое руководство, поняв, что на этом компьютере у них клиент-банк, доступ к внутренней 1C - вздрагивает и пугается. И пытается внушить админу, что он дурак, ничего не делал и никак не защищался. И до некоторых начинает доходить, что если бы была задача украсть у них данные - эти данные бы украли. Чему, кстати, в значительной мере способствуют 100мегатные каналы и безлимитка (то ли дело 5-8 лет назад! По 33600 или даже 128К так просто дамп базы не украдешь!).

Приходиться и тем и другим объяснять, что ни то ни другое - не панацея, и что даже выключенный компьютер в сейфе не может быть 100% безопасным.
И всем приходится искать баланс между функционалом и безопасностью. Который все тоньше и который все сложнее найти, к сожалению.

Сообщение отредактировал SergeiK: 08 декабря 2006 - 13:58

 
Пользователь офлайн Nag
08 декабря 2006 - 14:06
Сообщение #18

Звание: Site Author
Группа: Администраторы
Сообщений: 12 529
Регистрация: 04 октября 02
Город: Ekaterinburg

Просмотр сообщенияleiden (08 декабря 2006 - 13:04) писал:

Вообще говоря - массовую и заметную на общем фоне зомбо-сеть в России я видел в первый раз. Вот такие вот пироги, господа. Наше отношение к клиентам-операторам, у которых сидит фрагмент зомбо-сети, но нам и нашей сети она вреда своим трафиком не наносит - мы еще не сформулировали. Думаем - ибо много тонких моментов. Если зомбо-сеть нам вредит - будем выключать вплоть до излечения не раздумывая.
Традиционно: Статью!
 
Пользователь офлайн Serg_Klp
08 декабря 2006 - 14:38
Сообщение #19

Звание: Студент
Группа: Участник
Сообщений: 143
Регистрация: 25 марта 06

Просмотр сообщенияТимур (08 декабря 2006 - 07:11) писал:

Мдя...

У меня собственно один тупой вопрос.
Вот у меня образовался ботнет на сотню машин. И что мне теперь делать?
/покушано/

Мы действуем по следующей схеме:

Лежит сеть - "физически" отключаем абонента, информируем о причине, даем два варианта на выбор - лечится сам или лечим мы "оперативно и со скидкой". Обычно выбирают второе. Все довольны, только приходится побегать.

Последнюю подхваченную абонентом гадость удавалось излечить (не сочтите за рекламу) только 6-ым педантным Каспером при полном скане всей системы ибо остальные антивирусники активные модули благополучно находили и удаляли, но в системе оставались тела троянов, которые через пару перезапусков ПС снова приводили к полному заражению системы.

Если сеть не лежит - просто блокируем атаку (такая атака как правило описуема 1-2 правилами файервола), что в большинстве случаев абонент замечает (стал медленнее работать компьютер, интернет, открывающиеся лишние окошки вместо нужного google.com) и своими силами устраняет.

Проблема в своевременной и моментальной реакции со стороны провайдера. Дежурный админ всё время должен "пасти" траффик и увидев её, в ту же минуту отреагировать на атаку.. Иначе "лежащая" часами сеть может войти в правило на каждый вечер, а для абонентов такой сети это означало бы одно - смена провайдера.

З.Ы.: Даешь в Винде интегрированное ограничение packets per second, а то железками ограничивать как-то дороговато получается.
 
Пользователь офлайн Прохожий
08 декабря 2006 - 15:20
Сообщение #20

Звание: Злостный провокатор
Группа: VIP
Сообщений: 12 008
Регистрация: 15 марта 04
Город: из обеих столиц

Цитата

З.Ы.: Даешь в Винде интегрированное ограничение packets per second, а то железками ограничивать как-то дороговато получается.
В винде, вообсче-то очень много чего есть... Жаль только, мало кто умеет этим всем пользоваться...
 
  • (6 Страниц)
  • +
  • 1
  • 2
  • 3
  • »
  • Вы не можете создать новую тему
  • Вы не можете ответить в тему

1 человек читают эту тему
0 пользователей, 1 гостей, 0 скрытых пользователей