Jump to content
Калькуляторы

DDoS attack UDP flood как бороться? DDoS attack UDP flood как бороться?

Вчера 26/06/08 наш ip с 16:00 был атакован

16:29:45.315819 PPPoE [ses 0xc9f] IP 64.136.57.76.57005 > 82.207.117.186.25866: UDP, length 1

16:29:45.316050 PPPoE [ses 0xc9f] IP 64.136.57.76.57005 > 82.207.117.186.52558: UDP, length 1

16:29:45.316337 PPPoE [ses 0xc9f] IP 64.136.57.76.57005 > 82.207.117.186.34984: UDP, length 1

16:29:45.316386 PPPoE [ses 0xc9f] IP 64.136.57.76.57005 > 82.207.117.186.55301: UDP, length 1

байтные пакеты сожрали канал 4 мегабита полностью

Началось долгое общение с суппортом Укртелекома ОГО, который просто посылал подальше мол это ваша проблемма, лечитесь от вирусов.

На сервере все пакеты дропались но канал то был выжран.

Закончилось сегодня сменой ip

Принцип включения - поднят ppp с сервака через АДСЛ модем неуправляемый, получается что доступа к ранее стоящим роутерам нету.

Что делать в таких случаях?

Может есть какая-то организация типа http://www.spamhaus.org/ но по ДДОСам?

Share this post


Link to post
Share on other sites

В этом случае только ложить ppp соединение. Ничего вы не сделаете с UDP флудом, если его не хочет фильтровать апстрим. А так как вы скорее всего пользуетесь ADSL "эндюзерским", сомневаюсь что Укртел даже будет шевелится.

Share this post


Link to post
Share on other sites

У нас тариф ОГО! 4– Office 4 Мбіт/с 512 кбіт/с типа не ендюзерский с фиксированым айпи, самый дорогой тариф по ОГО.

То что телеком не шевелится то это понятно, интересно кому пожаловаться из антихакерских контор. Вот к примеру как от меня шел спам то мне сразу же стучали из спамкопа и ругались угрожая матом :)

Edited by brood

Share this post


Link to post
Share on other sites

сомневаюсь что Укртел даже будет шевелится.

Получается они не борятся за клиента? если бы у меня продолжалась атака дальше то единственной возможной ситуацией было-бы отключится

Share this post


Link to post
Share on other sites

Получается они не борятся за клиента? если бы у меня продолжалась атака дальше то единственной возможной ситуацией было-бы отключится
прикиньте реально, сколько зарабатывает УкрТелеком конкретно на вас. и прикиньте объем и стоимость геморроя, который вы хотите ему создать. и все станет ясно, нужны вы ему или нет :)

думаю, за человеко-часы, потраченные на решение ваших проблем они смогут заработать в несколько раз больше на новых подключениях. более того, скорее всего вы и так от них никуда не денетесь :) капитализм слабо коррелирует с человеческой моралью.

 

Share this post


Link to post
Share on other sites

Получается они не борятся за клиента? если бы у меня продолжалась атака дальше то единственной возможной ситуацией было-бы отключится
прикиньте реально, сколько зарабатывает УкрТелеком конкретно на вас. и прикиньте объем и стоимость геморроя, который вы хотите ему создать. и все станет ясно, нужны вы ему или нет :)

думаю, за человеко-часы, потраченные на решение ваших проблем они смогут заработать в несколько раз больше на новых подключениях. более того, скорее всего вы и так от них никуда не денетесь :) капитализм слабо коррелирует с человеческой моралью.

какие человеко-часы? судя по логу ддоз идёт с одного хоста. это на маршрутизаторе 1 ацл прописать :)

 

Share this post


Link to post
Share on other sites

udp атака продолжается до тех пор, пока хочет атакующий.. Вы от нее не закроетесь никак, ваш провайдер - вас закроет, но на него она останется...

А вам рекомендую whois на адрес, письмо админам...

 

А укртелеком за вас бороться и не собирался... С их структурой управления сетью... Все адсл терминированы в центре, региональные узлы - просто подключальщики абонентов...

 

какие человеко-часы? судя по логу ддоз идёт с одного хоста. это на маршрутизаторе 1 ацл прописать :)

На каком маршрутизаторе? В Киеве? А насколько быстро киевские админы поймут, чего надо то?

 

Share this post


Link to post
Share on other sites

какие человеко-часы? судя по логу ддоз идёт с одного хоста. это на маршрутизаторе 1 ацл прописать :)

это означает нестандартную ситуацию. для этого надо спеца мало-мальского, а ен просто обезьяну с инструкцией. а их мало :) и с одного ip это не ддос, это просто дос

Share this post


Link to post
Share on other sites

прикиньте реально, сколько зарабатывает УкрТелеком конкретно на вас. и прикиньте объем и стоимость геморроя, который вы хотите ему создать. и все станет ясно, нужны вы ему или нет :)
мы платим 400 баксов за канал 4 мегабита - это мало? а геморой в 1 строчку на роутере при у словии что я даже скажу что написать - это много?

 

Share this post


Link to post
Share on other sites

мы платим 400 баксов за канал 4 мегабита - это мало?
это нормально. мы бы вас не оставили наедине с досером :) но мы и размерами сильно меньше.
а геморой в 1 строчку на роутере при у словии что я даже скажу что написать - это много?
да фигня конечно, просто заниматься им уверен лень. конечные исполнители (инженеры) от этого не выиграют никак, к сожалению

 

Share this post


Link to post
Share on other sites

прикиньте реально, сколько зарабатывает УкрТелеком конкретно на вас. и прикиньте объем и стоимость геморроя, который вы хотите ему создать. и все станет ясно, нужны вы ему или нет :)
мы платим 400 баксов за канал 4 мегабита - это мало? а геморой в 1 строчку на роутере при у словии что я даже скажу что написать - это много?

В масштабах Укртелекома - копейки. Когда проблема дойдет до стадии "массовая", тогда придумают автоматическую рубилку. А подобный "ручной привод" в сетях такого масштаба принято делать только для крупных клиентов (кто берет BGP и отнюдь не pppoe).

Share this post


Link to post
Share on other sites

brood, вы в каком городе? И попробуйте дозвониться до киевской поддержки и объяснить им проблему...

Share this post


Link to post
Share on other sites

Собственно куда звонили:

8-800-507-8-800

8-2-542-12-12 тех отдел киев не звонить все равно ничего не делают

8-2-542-93-53

8-800-506-8-800 оставить электронный наряд

8-2-540-55-55 справка киев

Тут дело то не в том, а в том что делать если опять атака будет.

Телекому пофиг, что нету организации по борьбе с виртуальным тероризмом?

 

brood, вы в каком городе? И попробуйте дозвониться до киевской поддержки и объяснить им проблему...
Город Переяслав-Хмельницкий 30тысчь населения, укртелеком - цех (региональное отделение)

Share this post


Link to post
Share on other sites

так вот... местные телекомовцы еще бы могли чем то помочь... Но сделать ничего не могут - ваш pppoe туннель идет мимо них и терминируется в Киеве. Для Киева - вы всего лишь один из многих тысяч абонентов со странными желаниями...

И чем вам поможет "организация по борьбе с виртуальным терроризмом"?

Share this post


Link to post
Share on other sites

И чем вам поможет "организация по борьбе с виртуальным терроризмом"?
Траса атаки идет через нескольких провайдеров, возможно когото из них под действием письма из такой организации замучила бы совесть и он как порядочный америкос дропнул бы трафик ...

Но это теоретически

 

Share this post


Link to post
Share on other sites

Хух ребята как говориться ай нид нелп !!!!

Седьня повторилось

15:46:48.230820 IP 64.136.57.76.47641 > 82.207.93.100.9471: UDP, length 1

15:46:48.231051 IP 64.136.57.76.47641 > 82.207.93.100.21748: UDP, length 1

15:46:48.231154 IP 64.136.57.76.47641 > 82.207.93.100.23280: UDP, length 1

15:46:48.231300 IP 64.136.57.76.47641 > 82.207.93.100.19845: UDP, length 1

Что делать ????

Share this post


Link to post
Share on other sites

а вам реальный очень сильно нужен?

висят какие то сервисы?

 

попросите серый адрес, если возможно, пусть ддос долбит железку укртелекома )

Share this post


Link to post
Share on other sites

а вам реальный очень сильно нужен?

висят какие то сервисы?

 

попросите серый адрес, если возможно, пусть ддос долбит железку укртелекома )

Это несерьёзно

 

Share this post


Link to post
Share on other sites

Да в том то и дело, что нужен. Там мыло висит и официальный городской портал.

Самое интересное в том что мы поменяли айпи, а они опять начали атаку уже по новому адресу, получается что нам прийдется постоянно сидеть и ждать атаки и готовить новый айпишник.

Неужели никто не сталкивался с аналогичной проблеммой?

Я отписал на этот Mega Web Services (a United Online company) JUNO-LAX-WEBSERVICES-GS (NET-64-136-56-0-1) 64.136.56.0 - 64.136.63.255

на их абузу, но у них там мыло не рабочее, говорить нету такого адреса. Написал на abuse.com, жду что ответят. Пытались позвонить на телефон поддержки Mega Web Services - там постоянно занято. ЖЕСТЬ.

Edited by brood

Share this post


Link to post
Share on other sites

а вам реальный очень сильно нужен?

висят какие то сервисы?

 

попросите серый адрес, если возможно, пусть ддос долбит железку укртелекома )

Укртелеком не дает серого адреса, у него либо статический реальный либо динамический но тоже реальный

Share this post


Link to post
Share on other sites

Обратился в СБУ (типа вашего ФСБ) они смотрели квадратными глазами, наверное подумали что я ем какието грибы :), но все записали и сказали что разберутся

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.