dmvy Опубликовано 5 сентября, 2012 · Жалоба Все началось со звонка отдела мониторинга на мой сотовый. Говорят о внезапном скачке входящего трафика на аплинках на 4-5Гбит (примерно 25% от обычного потребления). По достижению ПК вижу данную аномалию. Продолжаю смотреть другие графики - вижу, что на одном из шейперов есть скачок и он срезается. Также смотрю на график распределения по пакетам: скачок в 400kpps фиксируется на UDP 1024-1500байт. Становится понятно, что трафик идет на какого-то абонента. обычным tcpdump выделить паразитный трафик не удалось, поэтому пришлось поставить netdiag и запустить trafshow. Нужные потоки сразу увидел и добавил фильтр на этого абонента. Учитывая, что шейпер имеет два 10Г порта и достаточную производительность, чтобы осилить доп нагрузку: eth2 eth3 Kbps in Kbps out Kbps in Kbps out 6.24e+06 5.05e+06 5.96e+06 5.13e+06 6.21e+06 5.03e+06 5.95e+06 5.15e+06 6.12e+06 4.95e+06 6.08e+06 5.28e+06 6.23e+06 5.07e+06 6.02e+06 5.26e+06 6.19e+06 5.03e+06 5.99e+06 5.19e+06 6.24e+06 5.08e+06 5.90e+06 5.09e+06 6.54e+06 5.42e+06 5.92e+06 5.09e+06 6.52e+06 5.32e+06 5.80e+06 5.01e+06 6.40e+06 5.23e+06 5.92e+06 5.13e+06 6.48e+06 5.32e+06 5.96e+06 5.15e+06 --pkt/eth2----pkt/eth3- #recv #send:#recv #send 0 0 : 0 0 867k 722k: 843k 743k 864k 718k: 857k 758k 881k 737k: 852k 753k 873k 729k: 851k 751k 867k 724k: 856k 756k 873k 728k: 845k 744k 888k 743k: 852k 750k 877k 732k: 838k 737k 865k 719k: 837k 736k 881k 735k: 842k 740k 887k 742k: 841k 742k 880k 735k: 841k 740k 880k 735k: 848k 746k 880k 735k: 850k 749k для карточки intel x520 это почти предел (1900kpps), но на практике с дропами разгоняли до 2000kpps. в текущий момент в ksoftirq yе валится: top - 22:20:00 up 30 days, 4:16, 1 user, load average: 0.01, 0.04, 0.04 Tasks: 214 total, 1 running, 213 sleeping, 0 stopped, 0 zombie Cpu(s): 0.0%us, 0.0%sy, 0.0%ni, 99.0%id, 0.0%wa, 0.0%hi, 1.0%si, 0.0%st Mem: 6217860k total, 732200k used, 5485660k free, 394068k buffers Swap: 9767512k total, 0k used, 9767512k free, 193924k cached PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND 6571 root 20 0 2464 1232 892 R 1 0.0 0:00.20 top 43 root 20 0 0 0 0 S 0 0.0 21:21.11 ksoftirqd/13 1 root 20 0 2032 736 644 S 0 0.0 4:16.81 init 2 root 20 0 0 0 0 S 0 0.0 0:00.00 kthreadd 3 root RT 0 0 0 0 S 0 0.0 0:00.07 migration/0 4 root 20 0 0 0 0 S 0 0.0 0:08.87 ksoftirqd/0 5 root RT 0 0 0 0 S 0 0.0 0:00.00 watchdog/0 6 root RT 0 0 0 0 S 0 0.0 0:00.02 migration/1 7 root 20 0 0 0 0 S 0 0.0 0:34.75 ksoftirqd/1 8 root RT 0 0 0 0 S 0 0.0 0:00.00 watchdog/1 9 root RT 0 0 0 0 S 0 0.0 0:00.01 migration/2 10 root 20 0 0 0 0 S 0 0.0 0:36.97 ksoftirqd/2 11 root RT 0 0 0 0 S 0 0.0 0:00.00 watchdog/2 12 root RT 0 0 0 0 S 0 0.0 0:00.01 migration/3 вот анализ трафика с двух интерйесов: Source/32 Destination/32 Protocol Size CPS ───────────────────────────────────────────────────────────────────────────────────────── 122.38.158.198,1754 90.157.33.2 17 1550950K 3344K 211.180.146.130,4365 90.157.33.2 17 1484615K 2877K 123.140.37.61,1966 90.157.33.2 17 1472315K 2765K 1.227.13.6,4888 90.157.33.2 17 1412123K 2283K 115.88.74.156,1221 90.157.33.2 17 1386208K 2179K 122.254.254.214,4525 90.157.33.2 17 1347679K 1776K 175.119.175.77,4161 90.157.33.2 17 1308690K 1573K 112.216.53.36,1983 90.157.33.2 17 1302260K 1431K 115.95.170.253,2900 90.157.33.2 17 1295486K 1114K 61.32.173.122,1694 90.157.33.2 17 1209114K 355K 61.43.61.19,3782 90.157.33.2 17 775402K 1963K 211.60.144.194,4729 90.157.33.2 17 725192K 1031K 211.180.32.217,2077 90.157.33.2 17 711387K 1165K 61.43.61.22,1363 90.157.33.2 17 711144K 935K 61.39.65.17,2069 90.157.33.2 17 709394K 1166K 1.249.181.99,4231 90.157.33.2 17 651763K 781K 175.124.191.101,1486 90.157.33.2 17 465039K 3642K 115.90.131.154,4312 90.157.33.2 17 154668K 1171K 219.249.160.139,2416 90.157.33.2 17 102468K 774K 39.112.187.101,1440 90.157.33.2 17 88083K 647K 211.202.163.57,3616 90.157.33.2 17 65968K 345K 39.112.187.101,1468 90.157.33.2 17 61630K 531K 1.249.89.139,3832 90.157.33.2 17 40118K 333K 176.215.18.112,27005 90.157.33.2 17 476K 3823 Source/32 Destination/32 Protocol Size CPS ───────────────────────────────────────────────────────────────────────────────────────── 58.150.39.203,1711 90.157.33.2 17 1579416K 3392K 118.130.221.237,3411 90.157.33.2 17 1458250K 2553K 211.60.12.130,4754 90.157.33.2 17 1448484K 2382K 210.124.175.250,3530 90.157.33.2 17 1420372K 2662K 118.44.65.116,3540 90.157.33.2 17 1352551K 1225K 115.95.103.106,2654 90.157.33.2 17 1344566K 1626K 110.11.13.173,4824 90.157.33.2 17 1314088K 1461K 211.119.27.195,3055 90.157.33.2 17 1299689K 1285K 1.217.86.162,4693 90.157.33.2 17 695790K 999K 1.249.181.99,3035 90.157.33.2 17 671149K 895K 175.124.191.101,1493 90.157.33.2 17 485319K 3737K 211.59.139.26,3055 90.157.33.2 17 209182K 1569K 222.236.129.170,7844 90.157.33.2 17 106906K 821K 58.232.202.149,4421 90.157.33.2 17 96423K 704K 1.249.89.139,3800 90.157.33.2 17 42816K 342K 89.113.229.157,27005 90.157.33.2 17 918K 7523 188.226.46.211,27005 90.157.33.2 17 76K 4835 109.202.150.81,80 90.157.33.2 17 44K 292 109.75.167.45,80 90.157.33.2 17 11K 125 делаем анализ ip-адресов и получаем: 1.217.86.162 country: KR 1.227.13.6 country: KR 1.249.181.99 country: KR 1.249.181.99 country: KR 1.249.89.139 country: KR 1.249.89.139 country: KR 39.112.187.101 country: KR 39.112.187.101 country: KR 58.150.39.203 country: KR 58.232.202.149 country: KR 61.32.173.122 country: KR 61.39.65.17 country: KR 61.43.61.19 country: KR 61.43.61.22 country: KR 89.113.229.157 country: RU 109.202.150.81 country: DK 109.75.167.45 country: GB 110.11.13.173 country: KR 112.216.53.36 country: KR 115.88.74.156 country: KR 115.90.131.154 country: KR 115.95.103.106 country: KR 115.95.170.253 country: KR 118.130.221.237 country: KR 118.44.65.116 Address : Jungja-dong, Bundang-gu, Sungnam-ci 122.254.254.214 country: KR 122.38.158.198 country: KR 123.140.37.61 country: KR 175.119.175.77 country: KR 175.124.191.101 country: KR 175.124.191.101 country: KR 176.215.18.112 country: RU 188.226.46.211 country: RU 210.124.175.250 Address : ., INCHON Nam-gu Juan-2dong 211.119.27.195 Address : 827, Seoul Jung-gu Namdaemunno 5(o)-ga 211.180.146.130 Address : 827, Seoul Jung-gu Namdaemunno 5(o)-ga 211.180.32.217 Address : 827, Seoul Jung-gu Namdaemunno 5(o)-ga 211.202.163.57 Address : 267, Seoul Namdaemunno 5(o)-ga Jung-gu SK NamsanGreen Bldg. 211.59.139.26 Address : 267, Seoul Namdaemunno 5(o)-ga Jung-gu SK NamsanGreen Bldg. 211.60.12.130 Address : 827, Seoul Jung-gu Namdaemunno 5(o)-ga 211.60.144.194 Address : 1025-10 yeongji building floor3, Ingye-dong Suwon Si Paldal-gu GYEONGGI-DO 219.249.160.139 Address : 267, Seoul Namdaemunno 5(o)-ga Jung-gu SK NamsanGreen Bldg. 222.236.129.170 Address : 267, Seoul Namdaemunno 5(o)-ga Jung-gu SK NamsanGreen Bldg. преимущественно Корея, но существует представитель Еканет 89.113.229.157 route: 89.113.224.0/20 descr: OOO_Ekanet origin: AS34869 Эр-Телеком 176.215.18.112 route: 176.215.16.0/22 origin: AS51604 org: ORG-CHYB1-RIPE descr: CJSC "ER-Telecom Holding" Yekaterinburg branch и Экстрим 188.226.46.211 route: 188.226.0.0/17 descr: MiraLogic Telecommunication Systems origin: AS12668 mnt-by: EXTRIM-MNT В итоге на порт абонента попадает либо 50Мбит, либо 100Мбит прошлой ночью. По большей части это происходит из-за городских операторов, с кем есть пиринг. DDoS идет, но по сути на инфраструктуру это не влияет никак. Единственное, кто страдает - это сам абонент, но поделать с этим что-то трудно. Коллеги, если кто в силах разузнать в Еканете, Эр-Телекоме и Экстриме об этих абонентах и причинах такой активности - хотелось бы узнать... В приложении графики. Часть снята вчера, часть сегодня. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dmvy Опубликовано 5 сентября, 2012 · Жалоба забыл описать тип трафика. это пакеты по 1024байта на порт udp 27015, что соответствует серверу counter-strike. если попасть на веб сервер абонента, то можно увидеть, что он как раз занимается хостингом игровых серверов, что наверняка связано с атакой. если поставить цель помочь юзеру, то можно либо заблокировать хосты из первго сообщения, либо прогнать пакеты через wireshark, чтобы найти отклонения от протокола и написать нужный packet filter. существенной нагрузки на iptables и cpu это правило не даст, так что симитировать dpi на несколько гигабит можно. еще раз прочитал. от местных операторов трафик легальный, т.к. идет с порта 27005 и объем не велик. они в атаке не участвуют, а просто играют Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
romane Опубликовано 6 сентября, 2012 · Жалоба фиксируется на UDP Где уверенность что не спуффинг? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dmvy Опубликовано 6 сентября, 2012 · Жалоба фиксируется на UDP Где уверенность что не спуффинг? спуфинг чего? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
karpa13a Опубликовано 6 сентября, 2012 · Жалоба спуфинг чего? src ip:port Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bitbucket Опубликовано 7 сентября, 2012 · Жалоба Практика показывает, что ТАМ абузы никто не читает и большей частью их игнорируют, у нас ситуация ЧУТЬ-ЧУТЬ получше и то у небольших коммерческих операторов, монстры телекома видимо просто не справляются с потоком абуз. А хостеров всевозможных частных вов, кс и т.д. гнать из сети в хостинговые компании - сейчас ддос дешев: админ сервера кого-то "обидел" - и в ответ полетел ддос. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TheUser Опубликовано 7 сентября, 2012 · Жалоба А не пора ли отгородится от ***оглазых соответствующими комьюнитями магистралов? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bitbucket Опубликовано 7 сентября, 2012 · Жалоба А не пора ли отгородится от ***оглазых соответствующими комьюнитями магистралов? Вам тогда игруны мозг съедят. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 7 сентября, 2012 · Жалоба А хостеров всевозможных частных вов, кс и т.д. гнать из сети в хостинговые компании - сейчас ддос дешев: админ сервера кого-то "обидел" - и в ответ полетел ддос. У них там вроде инет гигабитами на дом развешивают... А не пора ли отгородится от ***оглазых соответствующими комьюнитями магистралов? А как же телевизоры самсунг и лыжа будут жить без своих ботнет центров!? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nuclearcat Опубликовано 8 сентября, 2012 · Жалоба Давненько подумываю зарезать к епеням SYN от китайцев, заепали доморощенные узкоглазые скрипткиддисы брутфорсящие госсервера у меня на площадке. Похоже у них там студентов в универах сажают, чтобы "поломали" сервер какой-нить госконторы. Причем арбузы они тупо игнорят. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bitbucket Опубликовано 8 сентября, 2012 · Жалоба Причем арбузы они тупо игнорят. Арбузы игнорят и в более кошерных странах... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
inxs Опубликовано 11 сентября, 2012 · Жалоба А чем вы такой анализ трафика делаете? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...