Morbid Опубликовано 3 ноября, 2016 · Жалоба За последний месяц, очень сильно возросла проблема с DVRами :( Пользователи понакупают говна всякого, и наружу выставляют все это. В итоге генерируют большое кол-во соединений наружу, что весьма печально. tcp 6 5 ESTABLISHED src=193.169.xxx.xxx dst=168.253.25.46 sport=31752 dport=25102 [uNREPLIED] src=168.253.25.46 dst=193.169.xxx.xxx sport=25102 dport=31752 mark=0 use=1 tcp 6 111 SYN_SENT src=193.169.xxx.xxx dst=137.144.52.129 sport=30548 dport=23 [uNREPLIED] src=137.144.52.129 dst=193.169.xxx.xxx sport=23 dport=30548 mark=0 use=1 tcp 6 285 ESTABLISHED src=193.169.xxx.xxx dst=168.253.25.55 sport=41976 dport=601 [uNREPLIED] src=168.253.25.55 dst=193.169.xxx.xxx sport=601 dport=41976 mark=0 use=1 tcp 6 283 ESTABLISHED src=193.169.xxx.xxx dst=168.253.25.0 sport=45048 dport=40997 [uNREPLIED] src=168.253.25.0 dst=193.169.xxx.xxx sport=40997 dport=45048 mark=0 use=1 tcp 6 279 ESTABLISHED src=193.169.xxx.xxx dst=168.253.25.61 sport=52331 dport=1091 [uNREPLIED] src=168.253.25.61 dst=193.169.xxx.xxx sport=1091 dport=52331 mark=0 use=1 tcp 6 265 ESTABLISHED src=193.169.xxx.xxx dst=168.253.25.54 sport=19481 dport=54964 [uNREPLIED] src=168.253.25.54 dst=193.169.xxx.xxx sport=54964 dport=19481 mark=0 use=1 tcp 6 253 ESTABLISHED src=193.169.xxx.xxx dst=168.253.25.4 sport=30478 dport=22816 [uNREPLIED] src=168.253.25.4 dst=193.169.xxx.xxx sport=22816 dport=30478 mark=0 use=1 tcp 6 251 ESTABLISHED src=193.169.xxx.xxx dst=168.253.25.62 sport=26819 dport=53444 [uNREPLIED] src=168.253.25.62 dst=193.169.xxx.xxx sport=53444 dport=26819 mark=0 use=1 tcp 6 216 ESTABLISHED src=193.169.xxx.xxx dst=168.253.25.15 sport=31147 dport=34896 [uNREPLIED] src=168.253.25.15 dst=193.169.xxx.xxx sport=34896 dport=31147 mark=0 use=1 tcp 6 29 SYN_SENT src=193.169.xxx.xxx dst=116.42.144.186 sport=30548 dport=2323 [uNREPLIED] src=116.42.144.186 dst=193.169.xxx.xxx sport=2323 dport=30548 mark=0 use=1 tcp 6 27 SYN_SENT src=193.169.xxx.xxx dst=19.140.1.68 sport=6769 dport=23 [uNREPLIED] src=19.140.1.68 dst=193.169.xxx.xxx sport=23 dport=6769 mark=0 use=1 tcp 6 178 ESTABLISHED src=193.169.xxx.xxx dst=168.253.25.38 sport=20489 dport=36096 [uNREPLIED] src=168.253.25.38 dst=193.169.xxx.xxx sport=36096 dport=20489 mark=0 use=1 tcp 6 150 ESTABLISHED src=193.169.xxx.xxx dst=168.253.25.47 sport=23110 dport=60114 [uNREPLIED] src=168.253.25.47 dst=193.169.xxx.xxx sport=60114 dport=23110 mark=0 use=1 И такого 2 ляма... вопрос как бороться? кроме как блокировать абонента на уровне порта. Попробовал через connlimit машина ушла в штопор... Есть какие либо мысли? (проблема только с белыми адресами) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tartila Опубликовано 3 ноября, 2016 · Жалоба За последний месяц, очень сильно возросла проблема с DVRами :( Пользователи понакупают говна всякого, и наружу выставляют все это. В итоге генерируют большое кол-во соединений наружу, что весьма печально. tcp 6 5 ESTABLISHED src=193.169.xxx.xxx dst=168.253.25.46 sport=31752 dport=25102 [uNREPLIED] src=168.253.25.46 dst=193.169.xxx.xxx sport=25102 dport=31752 mark=0 use=1 tcp 6 111 SYN_SENT src=193.169.xxx.xxx dst=137.144.52.129 sport=30548 dport=23 [uNREPLIED] src=137.144.52.129 dst=193.169.xxx.xxx sport=23 dport=30548 mark=0 use=1 tcp 6 285 ESTABLISHED src=193.169.xxx.xxx dst=168.253.25.55 sport=41976 dport=601 [uNREPLIED] src=168.253.25.55 dst=193.169.xxx.xxx sport=601 dport=41976 mark=0 use=1 tcp 6 283 ESTABLISHED src=193.169.xxx.xxx dst=168.253.25.0 sport=45048 dport=40997 [uNREPLIED] src=168.253.25.0 dst=193.169.xxx.xxx sport=40997 dport=45048 mark=0 use=1 tcp 6 279 ESTABLISHED src=193.169.xxx.xxx dst=168.253.25.61 sport=52331 dport=1091 [uNREPLIED] src=168.253.25.61 dst=193.169.xxx.xxx sport=1091 dport=52331 mark=0 use=1 tcp 6 265 ESTABLISHED src=193.169.xxx.xxx dst=168.253.25.54 sport=19481 dport=54964 [uNREPLIED] src=168.253.25.54 dst=193.169.xxx.xxx sport=54964 dport=19481 mark=0 use=1 tcp 6 253 ESTABLISHED src=193.169.xxx.xxx dst=168.253.25.4 sport=30478 dport=22816 [uNREPLIED] src=168.253.25.4 dst=193.169.xxx.xxx sport=22816 dport=30478 mark=0 use=1 tcp 6 251 ESTABLISHED src=193.169.xxx.xxx dst=168.253.25.62 sport=26819 dport=53444 [uNREPLIED] src=168.253.25.62 dst=193.169.xxx.xxx sport=53444 dport=26819 mark=0 use=1 tcp 6 216 ESTABLISHED src=193.169.xxx.xxx dst=168.253.25.15 sport=31147 dport=34896 [uNREPLIED] src=168.253.25.15 dst=193.169.xxx.xxx sport=34896 dport=31147 mark=0 use=1 tcp 6 29 SYN_SENT src=193.169.xxx.xxx dst=116.42.144.186 sport=30548 dport=2323 [uNREPLIED] src=116.42.144.186 dst=193.169.xxx.xxx sport=2323 dport=30548 mark=0 use=1 tcp 6 27 SYN_SENT src=193.169.xxx.xxx dst=19.140.1.68 sport=6769 dport=23 [uNREPLIED] src=19.140.1.68 dst=193.169.xxx.xxx sport=23 dport=6769 mark=0 use=1 tcp 6 178 ESTABLISHED src=193.169.xxx.xxx dst=168.253.25.38 sport=20489 dport=36096 [uNREPLIED] src=168.253.25.38 dst=193.169.xxx.xxx sport=36096 dport=20489 mark=0 use=1 tcp 6 150 ESTABLISHED src=193.169.xxx.xxx dst=168.253.25.47 sport=23110 dport=60114 [uNREPLIED] src=168.253.25.47 dst=193.169.xxx.xxx sport=60114 dport=23110 mark=0 use=1 И такого 2 ляма... вопрос как бороться? кроме как блокировать абонента на уровне порта. Попробовал через connlimit машина ушла в штопор... Есть какие либо мысли? (проблема только с белыми адресами) NOTRACK на белые адреса? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Morbid Опубликовано 3 ноября, 2016 · Жалоба Как крайний вариант, возможно. Так как не решит всей проблемы, поскольку они ДДоСят, и приходят жалобы на таких клиентов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nickD Опубликовано 3 ноября, 2016 · Жалоба Аналогичная проблема, прям эпидемия пока с одним разбирался еще два в сети нашел, убивают conntrack. Пока отключил юзера, думал connlimit спасет но пока не пробывал. А что с connlimit не так. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nickD Опубликовано 3 ноября, 2016 · Жалоба Может ограничит скорость поступления от них syn, а затем connlimit Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 4 ноября, 2016 · Жалоба Не авторизовывать и все. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nuclearcat Опубликовано 4 ноября, 2016 · Жалоба Вырубать таких клиентов сразу же, пока не отключат железку или не пофиксят, ибо оставлять их работать - преступление. А то как всегда, многие думают как бы убрать свою проблему, а на то, что они ддосят кого-то пофиг. А потом будут визги и писки "спасите-помогите" когда на такого горе-провайдера ддос в гигабит 100 приедет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hsvt Опубликовано 4 ноября, 2016 (изменено) · Жалоба Вырубали таких, доходило до абсурда, выключали - звонят просят включить мол поправили и так всю неделю, потом скандал по телефону, истеричные юр. лица женских особей которые ничего слышать и понимать не хочят, но пару регистраторов зато имеют с вирусами, которые ни как не обслуживаются и на админе экономить можно, ваще збс. А вообще прежде чем одну тему создавать — надо посмотреть на соседние, совсем недавно создали http://forum.nag.ru/forum/index.php?showtopic=123201 Изменено 4 ноября, 2016 пользователем hsvt Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Morbid Опубликовано 4 ноября, 2016 · Жалоба Тему по вашей ссылке читаю, создал отдельно: 1) Потому что там человека ДДоСят, а не он ддосит. 2) Потому что здесь и определенный ДДоС, именно регистраторы. Одна из целей темы, может быть кто-то глубоко изучил суть проблемы с ДВРами, и знает решение проблемы. Ну примеру залочить порт какой либо или еще что-то. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
satboy Опубликовано 4 ноября, 2016 · Жалоба Так закрывайте по умолчанию на внешниках 21,22,23,123,3389... Чтобы клиент платил например 50 рублей в месяц, за возможность работать по указанным портам, учитывая бесплатность внешних IP у многих.. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nickD Опубликовано 4 ноября, 2016 · Жалоба Подтверждаю, Connlimit подыхает, грузя все процы, даже если его натравить хоть на один ip. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Morbid Опубликовано 5 ноября, 2016 · Жалоба Так закрывайте по умолчанию на внешниках 21,22,23,123,3389... Чтобы клиент платил например 50 рублей в месяц, за возможность работать по указанным портам, учитывая бесплатность внешних IP у многих.. Задача же не денеге стрясти с абонента. (которые они и так платит за белый ИП). А решить проблему так? что бы она и мне и другим не мешала (в ввиде ДДоСА на чужие сети). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nuclearcat Опубликовано 5 ноября, 2016 · Жалоба Если юзер безмозглый скандалист, а вы под него продавливаетесь - у вас единственный выход, чинить сеть юзера, например подарить юзеру роутер с openwrt, на который у вас есть доступ и где вы сможете заблочить весь исходящий траффик конкретно с DVR, и открыть лишь порты для доступа извне. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DGM Опубликовано 5 ноября, 2016 · Жалоба Собственно, выше Вам все сказали: либо режете порты на вход для этих клиентов, либо помогаете настраивать клиенту оборудование. Или оставляете все как есть и ждете, пока к Вам ответка прилетит в виде 300G и 300MPPS какого-нибудь tcp-SYN или GRE. От этих всяких криво настроенных роутеров с DVR-ами еще много беды будет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 5 ноября, 2016 · Жалоба Подтверждаю, Connlimit подыхает, грузя все процы, даже если его натравить хоть на один ip. Подозреваю что он у вас настроен не правильно: вероятно он сразу возвращает ресет, а надо дропать син пакет, тогда клиент не будет так активно долбится. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nickD Опубликовано 6 ноября, 2016 · Жалоба Убираю connlimit, оставляю --syn -j reject Все ok. Отсюда вывод не юзабелен connlimit. Блин, не ужели в linux, нету инструмента ограничивающих тупо количество сессий, везде токо скорость. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Badyavka Опубликовано 6 ноября, 2016 (изменено) · Жалоба Такая же проблема. Подскажите, что вообще послужило причиной этой проблемы? Вирус в новом регистраторе из коробки? Или кто-то специально это делает при настройке? Если поставить абоненту обычный роутер, к примеру, тплинк, там в настройках можно включить - фильтрацию от атак ICMP-FLOOD - фильтрацию UDP-FLOOD - фильтрацию от атак TCP-SYN-FLOOD Включение этих защит поможет заблокировать атаки регистратора, который подключен к lan порту? Изменено 6 ноября, 2016 пользователем Badyavka Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stas_k Опубликовано 6 ноября, 2016 · Жалоба тплинк, там в настройках можно включить - фильтрацию от атак ICMP-FLOOD - фильтрацию UDP-FLOOD - фильтрацию от атак TCP-SYN-FLOOD Включение этих защит поможет заблокировать атаки регистратора, который подключен к lan порту? это не спортивно. поможет. оно тупо банит ip источника по всем протоколам. неаккуратно включенная фильтрация UDP-FLOOD рубит на корню торренты и иногда видеочат скайпа. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nuclearcat Опубликовано 6 ноября, 2016 · Жалоба Такая же проблема. Подскажите, что вообще послужило причиной этой проблемы? Вирус в новом регистраторе из коробки? Или кто-то специально это делает при настройке? В том, что клиенты "пробрасывают" порт веб-сервера DVR "наружу". Пароли не меняют + безопасности в софте этих DVR нет никакой. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 7 ноября, 2016 · Жалоба Такая же проблема. Подскажите, что вообще послужило причиной этой проблемы? Вирус в новом регистраторе из коробки? Или кто-то специально это делает при настройке? У вас там чо инет отключили? Ботнет мираи замутился как раз на этих регистраторах, им положили Dyn -DNS прова в америке из за чего на позапрошлой неделе у них там инторнеты плохо похали. Там не вирус, там дефолтные пароли и относительно проста херня которая как когда то кодеред от одного заражённого к другому но при этом ещё и рулится централизованно. В результате у чуваков по желанию дохера гигабит говна может лится куда захотят. Учитывая общепланитарный низкий уровень интеллекта и высокий рас***яйства оно ещё лет 5 будет жить, пока регистраторы частично сами не сдохнут а частично их не прикроют. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Стич Опубликовано 10 ноября, 2016 (изменено) · Жалоба https://habrahabr.ru/company/erlyvideo/blog/314146/ Изменено 10 ноября, 2016 пользователем Стич Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 11 ноября, 2016 · Жалоба Ну и кто этим будет заниматься? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...