[brood]

Вчера 26/06/08 наш ip с 16:00 был атакован

16:29:45.315819 PPPoE [ses 0xc9f] IP 64.136.57.76.57005 > 82.207.117.186.25866: UDP, length 1

16:29:45.316050 PPPoE [ses 0xc9f] IP 64.136.57.76.57005 > 82.207.117.186.52558: UDP, length 1

16:29:45.316337 PPPoE [ses 0xc9f] IP 64.136.57.76.57005 > 82.207.117.186.34984: UDP, length 1

16:29:45.316386 PPPoE [ses 0xc9f] IP 64.136.57.76.57005 > 82.207.117.186.55301: UDP, length 1

байтные пакеты сожрали канал 4 мегабита полностью

Началось долгое общение с суппортом Укртелекома ОГО, который просто посылал подальше мол это ваша проблемма, лечитесь от вирусов.

На сервере все пакеты дропались но канал то был выжран.

Закончилось сегодня сменой ip

Принцип включения - поднят ppp с сервака через АДСЛ модем неуправляемый, получается что доступа к ранее стоящим роутерам нету.

Что делать в таких случаях?

Может есть какая-то организация типа http://www.spamhaus.org/ но по ДДОСам?

[nuclearcat]

В этом случае только ложить ppp соединение. Ничего вы не сделаете с UDP флудом, если его не хочет фильтровать апстрим. А так как вы скорее всего пользуетесь ADSL "эндюзерским", сомневаюсь что Укртел даже будет шевелится.

[brood]

У нас тариф ОГО! 4– Office 4 Мбіт/с 512 кбіт/с типа не ендюзерский с фиксированым айпи, самый дорогой тариф по ОГО.

То что телеком не шевелится то это понятно, интересно кому пожаловаться из антихакерских контор. Вот к примеру как от меня шел спам то мне сразу же стучали из спамкопа и ругались угрожая матом :)

Изменено 26 июня, 2008 пользователем brood

[brood]

сомневаюсь что Укртел даже будет шевелится.

Получается они не борятся за клиента? если бы у меня продолжалась атака дальше то единственной возможной ситуацией было-бы отключится

[Мартен]

Получается они не борятся за клиента? если бы у меня продолжалась атака дальше то единственной возможной ситуацией было-бы отключится

прикиньте реально, сколько зарабатывает УкрТелеком конкретно на вас. и прикиньте объем и стоимость геморроя, который вы хотите ему создать. и все станет ясно, нужны вы ему или нет :)

думаю, за человеко-часы, потраченные на решение ваших проблем они смогут заработать в несколько раз больше на новых подключениях. более того, скорее всего вы и так от них никуда не денетесь :) капитализм слабо коррелирует с человеческой моралью.

 

[Nafanya]

Получается они не борятся за клиента? если бы у меня продолжалась атака дальше то единственной возможной ситуацией было-бы отключится

прикиньте реально, сколько зарабатывает УкрТелеком конкретно на вас. и прикиньте объем и стоимость геморроя, который вы хотите ему создать. и все станет ясно, нужны вы ему или нет :)

думаю, за человеко-часы, потраченные на решение ваших проблем они смогут заработать в несколько раз больше на новых подключениях. более того, скорее всего вы и так от них никуда не денетесь :) капитализм слабо коррелирует с человеческой моралью.

какие человеко-часы? судя по логу ддоз идёт с одного хоста. это на маршрутизаторе 1 ацл прописать :)

 

[martin74]

udp атака продолжается до тех пор, пока хочет атакующий.. Вы от нее не закроетесь никак, ваш провайдер - вас закроет, но на него она останется...

А вам рекомендую whois на адрес, письмо админам...

 

А укртелеком за вас бороться и не собирался... С их структурой управления сетью... Все адсл терминированы в центре, региональные узлы - просто подключальщики абонентов...

 

какие человеко-часы? судя по логу ддоз идёт с одного хоста. это на маршрутизаторе 1 ацл прописать :)

На каком маршрутизаторе? В Киеве? А насколько быстро киевские админы поймут, чего надо то?

 

[Мартен]

какие человеко-часы? судя по логу ддоз идёт с одного хоста. это на маршрутизаторе 1 ацл прописать :)

это означает нестандартную ситуацию. для этого надо спеца мало-мальского, а ен просто обезьяну с инструкцией. а их мало :) и с одного ip это не ддос, это просто дос

[brood]

прикиньте реально, сколько зарабатывает УкрТелеком конкретно на вас. и прикиньте объем и стоимость геморроя, который вы хотите ему создать. и все станет ясно, нужны вы ему или нет :)

мы платим 400 баксов за канал 4 мегабита - это мало? а геморой в 1 строчку на роутере при у словии что я даже скажу что написать - это много?

 

[Мартен]

мы платим 400 баксов за канал 4 мегабита - это мало?

это нормально. мы бы вас не оставили наедине с досером :) но мы и размерами сильно меньше.

а геморой в 1 строчку на роутере при у словии что я даже скажу что написать - это много?

да фигня конечно, просто заниматься им уверен лень. конечные исполнители (инженеры) от этого не выиграют никак, к сожалению

 

[nuclearcat]

прикиньте реально, сколько зарабатывает УкрТелеком конкретно на вас. и прикиньте объем и стоимость геморроя, который вы хотите ему создать. и все станет ясно, нужны вы ему или нет :)

мы платим 400 баксов за канал 4 мегабита - это мало? а геморой в 1 строчку на роутере при у словии что я даже скажу что написать - это много?

В масштабах Укртелекома - копейки. Когда проблема дойдет до стадии "массовая", тогда придумают автоматическую рубилку. А подобный "ручной привод" в сетях такого масштаба принято делать только для крупных клиентов (кто берет BGP и отнюдь не pppoe).

[martin74]

brood, вы в каком городе? И попробуйте дозвониться до киевской поддержки и объяснить им проблему...

[brood]

Собственно куда звонили:

8-800-507-8-800

8-2-542-12-12 тех отдел киев не звонить все равно ничего не делают

8-2-542-93-53

8-800-506-8-800 оставить электронный наряд

8-2-540-55-55 справка киев

Тут дело то не в том, а в том что делать если опять атака будет.

Телекому пофиг, что нету организации по борьбе с виртуальным тероризмом?

 

brood, вы в каком городе? И попробуйте дозвониться до киевской поддержки и объяснить им проблему...

Город Переяслав-Хмельницкий 30тысчь населения, укртелеком - цех (региональное отделение)

[martin74]

так вот... местные телекомовцы еще бы могли чем то помочь... Но сделать ничего не могут - ваш pppoe туннель идет мимо них и терминируется в Киеве. Для Киева - вы всего лишь один из многих тысяч абонентов со странными желаниями...

И чем вам поможет "организация по борьбе с виртуальным терроризмом"?

[brood]

И чем вам поможет "организация по борьбе с виртуальным терроризмом"?

Траса атаки идет через нескольких провайдеров, возможно когото из них под действием письма из такой организации замучила бы совесть и он как порядочный америкос дропнул бы трафик ...

Но это теоретически

 

[martin74]

мсье теоретик?

[mschedrin]

Может тогда написать лучше провайдеру, у которого хостится атакующий?

[nuclearcat]

А кто гарантирует что IP непроспуфленные?

[brood2]

Хух ребята как говориться ай нид нелп !!!!

Седьня повторилось

15:46:48.230820 IP 64.136.57.76.47641 > 82.207.93.100.9471: UDP, length 1

15:46:48.231051 IP 64.136.57.76.47641 > 82.207.93.100.21748: UDP, length 1

15:46:48.231154 IP 64.136.57.76.47641 > 82.207.93.100.23280: UDP, length 1

15:46:48.231300 IP 64.136.57.76.47641 > 82.207.93.100.19845: UDP, length 1

Что делать ????

[ingress]

а вам реальный очень сильно нужен?

висят какие то сервисы?

 

попросите серый адрес, если возможно, пусть ддос долбит железку укртелекома )

[brood2]

а вам реальный очень сильно нужен?

висят какие то сервисы?

 

попросите серый адрес, если возможно, пусть ддос долбит железку укртелекома )

Это несерьёзно

 

[brood]

Да в том то и дело, что нужен. Там мыло висит и официальный городской портал.

Самое интересное в том что мы поменяли айпи, а они опять начали атаку уже по новому адресу, получается что нам прийдется постоянно сидеть и ждать атаки и готовить новый айпишник.

Неужели никто не сталкивался с аналогичной проблеммой?

Я отписал на этот Mega Web Services (a United Online company) JUNO-LAX-WEBSERVICES-GS (NET-64-136-56-0-1) 64.136.56.0 - 64.136.63.255

на их абузу, но у них там мыло не рабочее, говорить нету такого адреса. Написал на abuse.com, жду что ответят. Пытались позвонить на телефон поддержки Mega Web Services - там постоянно занято. ЖЕСТЬ.

Изменено 2 июля, 2008 пользователем brood

[brood]

а вам реальный очень сильно нужен?

висят какие то сервисы?

 

попросите серый адрес, если возможно, пусть ддос долбит железку укртелекома )

Укртелеком не дает серого адреса, у него либо статический реальный либо динамический но тоже реальный

[brood]

Обратился в СБУ (типа вашего ФСБ) они смотрели квадратными глазами, наверное подумали что я ем какието грибы :), но все записали и сказали что разберутся

[ingress]

что то больно вас много брудов, непонятно кому отвечать :)

 

а в СБУ-ФСБ-КГБ обращаться - это ппц )))