brood Posted June 26, 2008 Вчера 26/06/08 наш ip с 16:00 был атакован 16:29:45.315819 PPPoE [ses 0xc9f] IP 64.136.57.76.57005 > 82.207.117.186.25866: UDP, length 1 16:29:45.316050 PPPoE [ses 0xc9f] IP 64.136.57.76.57005 > 82.207.117.186.52558: UDP, length 1 16:29:45.316337 PPPoE [ses 0xc9f] IP 64.136.57.76.57005 > 82.207.117.186.34984: UDP, length 1 16:29:45.316386 PPPoE [ses 0xc9f] IP 64.136.57.76.57005 > 82.207.117.186.55301: UDP, length 1 байтные пакеты сожрали канал 4 мегабита полностью Началось долгое общение с суппортом Укртелекома ОГО, который просто посылал подальше мол это ваша проблемма, лечитесь от вирусов. На сервере все пакеты дропались но канал то был выжран. Закончилось сегодня сменой ip Принцип включения - поднят ppp с сервака через АДСЛ модем неуправляемый, получается что доступа к ранее стоящим роутерам нету. Что делать в таких случаях? Может есть какая-то организация типа http://www.spamhaus.org/ но по ДДОСам? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
nuclearcat Posted June 26, 2008 В этом случае только ложить ppp соединение. Ничего вы не сделаете с UDP флудом, если его не хочет фильтровать апстрим. А так как вы скорее всего пользуетесь ADSL "эндюзерским", сомневаюсь что Укртел даже будет шевелится. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
brood Posted June 26, 2008 (edited) У нас тариф ОГО! 4– Office 4 Мбіт/с 512 кбіт/с типа не ендюзерский с фиксированым айпи, самый дорогой тариф по ОГО. То что телеком не шевелится то это понятно, интересно кому пожаловаться из антихакерских контор. Вот к примеру как от меня шел спам то мне сразу же стучали из спамкопа и ругались угрожая матом :) Edited June 26, 2008 by brood Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
brood Posted June 26, 2008 сомневаюсь что Укртел даже будет шевелится. Получается они не борятся за клиента? если бы у меня продолжалась атака дальше то единственной возможной ситуацией было-бы отключится Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Мартен Posted June 26, 2008 Получается они не борятся за клиента? если бы у меня продолжалась атака дальше то единственной возможной ситуацией было-бы отключитсяприкиньте реально, сколько зарабатывает УкрТелеком конкретно на вас. и прикиньте объем и стоимость геморроя, который вы хотите ему создать. и все станет ясно, нужны вы ему или нет :)думаю, за человеко-часы, потраченные на решение ваших проблем они смогут заработать в несколько раз больше на новых подключениях. более того, скорее всего вы и так от них никуда не денетесь :) капитализм слабо коррелирует с человеческой моралью. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Nafanya Posted June 26, 2008 Получается они не борятся за клиента? если бы у меня продолжалась атака дальше то единственной возможной ситуацией было-бы отключитсяприкиньте реально, сколько зарабатывает УкрТелеком конкретно на вас. и прикиньте объем и стоимость геморроя, который вы хотите ему создать. и все станет ясно, нужны вы ему или нет :)думаю, за человеко-часы, потраченные на решение ваших проблем они смогут заработать в несколько раз больше на новых подключениях. более того, скорее всего вы и так от них никуда не денетесь :) капитализм слабо коррелирует с человеческой моралью. какие человеко-часы? судя по логу ддоз идёт с одного хоста. это на маршрутизаторе 1 ацл прописать :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
martin74 Posted June 26, 2008 udp атака продолжается до тех пор, пока хочет атакующий.. Вы от нее не закроетесь никак, ваш провайдер - вас закроет, но на него она останется... А вам рекомендую whois на адрес, письмо админам... А укртелеком за вас бороться и не собирался... С их структурой управления сетью... Все адсл терминированы в центре, региональные узлы - просто подключальщики абонентов... какие человеко-часы? судя по логу ддоз идёт с одного хоста. это на маршрутизаторе 1 ацл прописать :) На каком маршрутизаторе? В Киеве? А насколько быстро киевские админы поймут, чего надо то? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Мартен Posted June 26, 2008 какие человеко-часы? судя по логу ддоз идёт с одного хоста. это на маршрутизаторе 1 ацл прописать :) это означает нестандартную ситуацию. для этого надо спеца мало-мальского, а ен просто обезьяну с инструкцией. а их мало :) и с одного ip это не ддос, это просто дос Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
brood Posted June 26, 2008 прикиньте реально, сколько зарабатывает УкрТелеком конкретно на вас. и прикиньте объем и стоимость геморроя, который вы хотите ему создать. и все станет ясно, нужны вы ему или нет :)мы платим 400 баксов за канал 4 мегабита - это мало? а геморой в 1 строчку на роутере при у словии что я даже скажу что написать - это много? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Мартен Posted June 26, 2008 мы платим 400 баксов за канал 4 мегабита - это мало?это нормально. мы бы вас не оставили наедине с досером :) но мы и размерами сильно меньше.а геморой в 1 строчку на роутере при у словии что я даже скажу что написать - это много?да фигня конечно, просто заниматься им уверен лень. конечные исполнители (инженеры) от этого не выиграют никак, к сожалению Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
nuclearcat Posted June 26, 2008 прикиньте реально, сколько зарабатывает УкрТелеком конкретно на вас. и прикиньте объем и стоимость геморроя, который вы хотите ему создать. и все станет ясно, нужны вы ему или нет :)мы платим 400 баксов за канал 4 мегабита - это мало? а геморой в 1 строчку на роутере при у словии что я даже скажу что написать - это много? В масштабах Укртелекома - копейки. Когда проблема дойдет до стадии "массовая", тогда придумают автоматическую рубилку. А подобный "ручной привод" в сетях такого масштаба принято делать только для крупных клиентов (кто берет BGP и отнюдь не pppoe). Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
martin74 Posted June 27, 2008 brood, вы в каком городе? И попробуйте дозвониться до киевской поддержки и объяснить им проблему... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
brood Posted June 27, 2008 Собственно куда звонили: 8-800-507-8-800 8-2-542-12-12 тех отдел киев не звонить все равно ничего не делают 8-2-542-93-53 8-800-506-8-800 оставить электронный наряд 8-2-540-55-55 справка киев Тут дело то не в том, а в том что делать если опять атака будет. Телекому пофиг, что нету организации по борьбе с виртуальным тероризмом? brood, вы в каком городе? И попробуйте дозвониться до киевской поддержки и объяснить им проблему... Город Переяслав-Хмельницкий 30тысчь населения, укртелеком - цех (региональное отделение) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
martin74 Posted June 27, 2008 так вот... местные телекомовцы еще бы могли чем то помочь... Но сделать ничего не могут - ваш pppoe туннель идет мимо них и терминируется в Киеве. Для Киева - вы всего лишь один из многих тысяч абонентов со странными желаниями... И чем вам поможет "организация по борьбе с виртуальным терроризмом"? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
brood Posted June 27, 2008 И чем вам поможет "организация по борьбе с виртуальным терроризмом"?Траса атаки идет через нескольких провайдеров, возможно когото из них под действием письма из такой организации замучила бы совесть и он как порядочный америкос дропнул бы трафик ...Но это теоретически Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
martin74 Posted June 27, 2008 мсье теоретик? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
mschedrin Posted June 27, 2008 Может тогда написать лучше провайдеру, у которого хостится атакующий? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
nuclearcat Posted June 28, 2008 А кто гарантирует что IP непроспуфленные? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
brood2 Posted July 1, 2008 Хух ребята как говориться ай нид нелп !!!! Седьня повторилось 15:46:48.230820 IP 64.136.57.76.47641 > 82.207.93.100.9471: UDP, length 1 15:46:48.231051 IP 64.136.57.76.47641 > 82.207.93.100.21748: UDP, length 1 15:46:48.231154 IP 64.136.57.76.47641 > 82.207.93.100.23280: UDP, length 1 15:46:48.231300 IP 64.136.57.76.47641 > 82.207.93.100.19845: UDP, length 1 Что делать ???? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ingress Posted July 1, 2008 а вам реальный очень сильно нужен? висят какие то сервисы? попросите серый адрес, если возможно, пусть ддос долбит железку укртелекома ) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
brood2 Posted July 2, 2008 а вам реальный очень сильно нужен? висят какие то сервисы? попросите серый адрес, если возможно, пусть ддос долбит железку укртелекома ) Это несерьёзно Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
brood Posted July 2, 2008 (edited) Да в том то и дело, что нужен. Там мыло висит и официальный городской портал. Самое интересное в том что мы поменяли айпи, а они опять начали атаку уже по новому адресу, получается что нам прийдется постоянно сидеть и ждать атаки и готовить новый айпишник. Неужели никто не сталкивался с аналогичной проблеммой? Я отписал на этот Mega Web Services (a United Online company) JUNO-LAX-WEBSERVICES-GS (NET-64-136-56-0-1) 64.136.56.0 - 64.136.63.255 на их абузу, но у них там мыло не рабочее, говорить нету такого адреса. Написал на abuse.com, жду что ответят. Пытались позвонить на телефон поддержки Mega Web Services - там постоянно занято. ЖЕСТЬ. Edited July 2, 2008 by brood Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
brood Posted July 2, 2008 а вам реальный очень сильно нужен? висят какие то сервисы? попросите серый адрес, если возможно, пусть ддос долбит железку укртелекома ) Укртелеком не дает серого адреса, у него либо статический реальный либо динамический но тоже реальный Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
brood Posted July 2, 2008 Обратился в СБУ (типа вашего ФСБ) они смотрели квадратными глазами, наверное подумали что я ем какието грибы :), но все записали и сказали что разберутся Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ingress Posted July 2, 2008 что то больно вас много брудов, непонятно кому отвечать :) а в СБУ-ФСБ-КГБ обращаться - это ппц ))) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...