DDOS атака на DNS сервера Опции

[admin]

У нас тут прошла небольшая атака на ДНС сервера...
К сожалению немного полежали.

Сейчас работа восстановлена почти полностью. По сему пойду попробую выбить себе немного сна.
На графике - трафик в Гигабитах/c

Эскизы прикрепленных изображений

 

[haker_fox]

У нас тут прошла небольшая атака на ДНС сервера...
К сожалению немного полежали.
Сейчас работа восстановлена почти полностью. По сему пойду попробую выбить себе немного сна.
На графике - трафик в Гигабитах/c

Атака - плохо!
А картинку мне форум не разрешает посмотреть, говорит, что нет прав...(

[uriy]

Вот значит почему так сайт тормозил. Картинку мне тоже посмотреть не дает.

[rezident]

Странно, но я вижу картинку. Правда она в PNG, может с этим как-то связано? Ну вот она же в JPG. Теперь видно?

[aaarrr]

Видимо она доступна только модераторам и администраторам. С вашей картинкой то же самое.

[Огурцов]

Картинка (обе) видна (была?) из под юбунты, из под XP не видна. Опера в обоих случаях.

[aaarrr]

Таки да - в FF видна.

[admin]

Честно не понял почему не видна картинка. Для тех кто ее не видет поясню,
нам стали "валить" два днс сервера dns1.2x4.ru dns2.2x4.ru, они каждый на гагабите сисели, но трафик пошел 4-6Гигабит в пиках.... соответственно никаких каналов не хватило.
Бедный датацентр даже застонал....

Сейчас более менее нормализировали.

[kurtis]

Если разлогиниться, то картинка видна, если обратно залогиниться, то исчезает.

[INT1]

Если разлогиниться, то картинка видна, если обратно залогиниться, то исчезает.

Аналогично.
И еще, именно в данной теме нет возможности (отсутствует опция) аттачить файлы.
И еще, на NEWTOPIC следует отказ с предложением залогиниться.

[GetSmart]

Если разлогиниться, то картинка видна, если обратно залогиниться, то исчезает.

У меня так же в FF.
Это похоже на политику - своим мы не дадим посмотреть, а чужие пусть смотрят. Может это глюк форума?

[admin]

хм... какая-то фигня видимо.

ДНС опять штормило.

[Огурцов]

Если разлогиниться, то картинка видна, если обратно залогиниться, то исчезает.

Да, возможно именно из-за этого.

попробуйте зачистить куки.

Вроде бы не помогло.

[admin]

Сегодня опять были проблемы с ДДОС атакой. ДНС сильно штормило.

[Intekus]

Сегодня опять были проблемы с ДДОС атакой. ДНС сильно штормило.

А существует ли какой-нибудь способ обхода на такие случаи, вроде обращения непосредственно по IP?

[rezident]

А существует ли какой-нибудь способ обхода на такие случаи, вроде обращения непосредственно по IP?

Поскольку форум хостится в Нидерландах, а доменное имя зарегистрировано в домене RU, то такой способ тоже проблематичен. По крайней мере вчера у меня не получалось даже по IP пробиться, когда москвичи утверждали что форум доступен/работает уже несколько часов. Думаю проблема в том, что хостинг виртуальный, т.е. форум не имеет своего выделенного сервера и постоянного "белого" IP-адреса там в Нидерландах. Т.е. без обращения к DNS-серверу датацентра 2x4.ru никак не обойтись. А поскольку заDDoSили именно его (DNS-сервер), то даже при нормальной работе виртуального хостинга там за рубежом к форуму было не пробиться. В т.ч. и по его IP-адресу.
Если в чем-то ошибаюсь, то пускай udofun поправит меня.

[SFx]

а я сделал просто, добавил в hosts записи о домене и доволен)

[voyt]

Поскольку форум хостится в Нидерландах, а доменное имя зарегистрировано в домене RU, то такой способ тоже проблематичен. По крайней мере вчера у меня не получалось даже по IP пробиться, когда москвичи утверждали что форум доступен/работает уже несколько часов. Думаю проблема в том, что хостинг виртуальный, т.е. форум не имеет своего выделенного сервера и постоянного "белого" IP-адреса там в Нидерландах. Т.е. без обращения к DNS-серверу датацентра 2x4.ru никак не обойтись. А поскольку заDDoSили именно его (DNS-сервер), то даже при нормальной работе виртуального хостинга там за рубежом к форуму было не пробиться. В т.ч. и по его IP-адресу.
Если в чем-то ошибаюсь, то пускай udofun поправит меня.

Если сайт на виртуальном хостинге и шарит IP c другими сайтами, то как правило у хостера есть свои технические домены (алтернативные) для сайта. Например, сайт_тайкой_то.имя_хостера.com или типа того.
А так вроде бы 2x4 делкарируют, что могут справляться с DDOS.
Была идея одно время - аппаратная защита от DDOS на абазе FPGA. Точнее аппаратный файрвол с фронтендом iptables на Linux'e. Думается мне, это богатая идея.

[vvs157]

то даже при нормальной работе виртуального хостинга там за рубежом к форуму было не пробиться. В т.ч. и по его IP-адресу.

По IP сейчас на 99% сайтов не попадете, так как на одном IP сидит как правило более одного сайта, то есть сайт на хостинге выбирается не по IP, а из Host Header Name Get запроса. Для решения проблемы можно прописать у себя на машине в hosts соответствие между именем и IP, но это не работает, если выход в интернет через прокси в том числе прозрачный. IP хостера часто меняться не может, так как DNS для сайта на ns1.2x4hosting.ru. и ns2.2x4hosting.ru. имеет TTL 3600 сек, то есть обновление IP невозможно чаще 1 раза в час.

Была идея одно время - аппаратная защита от DDOS на абазе FPGA. Точнее аппаратный файрвол с фронтендом iptables на Linux'e. Думается мне, это богатая идея.

Если DDoS'ом забили канал, то FPGA вам не поможет.

[voyt]

Если DDoS'ом забили канал, то FPGA вам не поможет.

Это понятно. Поэтому такие системы ставятся на магистральные каналы (> 10 GB).
Плюс, если это http-флудинг, что чаще бывает, то зомби отдаются страниц на аппаратном фронтенде с яваскриптом, который отрабатывает только не у зомби (только в браузере)...
В общем тема обширная и неоднозначная...

[bureau]

А существует ли какой-нибудь способ обхода на такие случаи, вроде обращения непосредственно по IP?

Попробуйте http://webtun7.info

[Xenia]

Может быть у кого-нибудь есть версия, кому Electronix насолил, если против него предпринимаются DDOS-атаки? Ведь в интернете разных сайтов и форумов полным полно. Это ж надо как-то выделиться из общего числа, чтобы врагов нажить.
Вот и воспрос у меня такой - кто наши враги? И за что они нас невзлюбили? Кому мы дорожку перешли?

[INT1]

Может быть у кого-нибудь есть версия, кому Electronix насолил, если против него предпринимаются DDOS-атаки? Ведь в интернете разных сайтов и форумов полным полно. Это ж надо как-то выделиться из общего числа, чтобы врагов нажить.
Вот и воспрос у меня такой - кто наши враги? И за что они нас невзлюбили? Кому мы дорожку перешли?

Так уже ж был прецедент, когда "юный хакер", не совсем здоровый на голову, поломал движек форума, причем, просто/банально воспользовался уязвимостью выложеной на всеобщее обозрение. Имхо, анализировать это дело,- раздел психиатрии..

[voyt]

Мне кажется, что это вымогательство. В последние время в интернете очень сильно распространился гоп-стоп. Аналогия братков 90-х, только вместо утюга DDOS.

[Xenia]

Так уже ж был прецедент, когда "юный хакер", не совсем здоровый на голову, поломал движек форума, причем, просто/банально воспользовался уязвимостью выложеной на всеобщее обозрение. Имхо, анализировать это дело,- раздел психиатрии...

Простите, но организация DDOS-атаки такого уровня, чтобы подавить работу сайта, несоизмерима с запуском эксплойта, найденного в интернете "юным хакером". Для того, чтобы тормознуть работу современного сервера при нынешних высоких скоростях доступа, требуется "захватить" не один и не десять, а по крайней мере тысячи или десятки тысяч компьютеров в сети, которые бы непрерывно "долбили" по одному и тому же IP-адресу. С бухты барахты такие вещи не делаются, а требуют многомесячной подготовки по "захвату" контингента, посредством внедрения вредоносного кода на сервера. DDOS-атака с частных компьютеров не будет столь же эффективной из-за относительно низких скоростей сетевого доступа. И лишь после того, как значительное количество серверов оказалось "захваченными", можно начать атаку. И при этом отдавать себе отчет в том, что этой атакой столь длительная работа по "захвату агентуры" пойдет насмарку, т.к. этой самой атакой она засветится в глазах администраторов задействованных ресурсов. Администратор может до поры до времени не знать, что его сервер заражен, но не ведать, что его сервер участвовал в DDOS-атаке, он не может - анализатор лога сразу же сообщит ему об этом и заставит очистить сервер от вируса.
Что-то подобное случилось в отношении грузинских официальных сайтов после событий в Абхазии. Тогда российские хакеры под воздействием патриотических настроений фактически разрядили свои "стратегические запасы", которые возможно копили не один год. Именно от этого атака получилась столь мощной.
Понятно, что ради терроризации какого-нибудь сайта типа "кроватка.ру" такие ресурсы задействованы не будут. Нужно очень крепко кому-то насолить, чтобы против тебя предприняли DDOS-атаку. И насолить не зеленым юнцам, а лицам, обладающим соответствующими знаниями и возможностями.
Не исключено, что такими лицами могут оказаться представители фирм, производящих микропроцессорную технику и программное обеспечение к ней. Ведь это только нам кажется, что мы белые и пушистые, а при взгляде со стороны мы - сборище народа, который попирает всевозможные авторские, лицензионные и прочие смежные права, признанные в цивилизованном мире. Поэтому здешние электронщики вполне могут выглядеть со стороны куда как опаснее юнцов, обменивающихся между собой нелицензионными музыкальными записями, фильмами, литературными произведениями и т.п. Опаснее потому, что юнцы это делают "для дома для семьи", а местные электронщики - на продажу.

[rezident]

Xenia, вы наверное упустили из виду, что DDoS-атаке подвергся DNS-сервер, расположенный в датацентре в России, а не фтп-сервер, расположенный там же, и не хостер форума electronix.ru, расположенный в Нидерландах. Т.е. атака была не только и не столько на electronix.ru. Атака была направлена на часть RUнета. Я это так понимаю.

[vvs157]

Может быть у кого-нибудь есть версия, кому Electronix насолил, если против него предпринимаются DDOS-атаки?

Это атака на DNS-хостера, а не на сайт

[Xenia]

Это атака на DNS-хостера, а не на сайт

Ну и кто у нас DNS-хостер?

[vvs157]

Ну и кто у нас DNS-хостер?

2x4hosting.ru
С заглавной страницы хостера

В связи с большой DDOS атакой на DNS сервера 2x4.ru сервера временно не доступны. Сейчас ведутся работы по увеличению канальной емкости серверов. Все сервера работают в нормальном режиме. Кому необходимо ускорить получение работоспособности сайтов - просим перевести домены на сторонние DNS сервера. Последние как правило можно заказать у вашего доменного регистратора (webnames.ru nic.ru r01.ru godaddy.com everydns.net) Администрация 2x4.ru

Простите, но организация DDOS-атаки такого уровня, чтобы подавить работу сайта, несоизмерима с запуском эксплойта, найденного в интернете "юным хакером". Для того, чтобы тормознуть работу современного сервера при нынешних высоких скоростях доступа, требуется "захватить" не один и не десять, а по крайней мере тысячи или десятки тысяч компьютеров в сети

На самом деле все намного проще. Для проведения DDoS атаки так называемая бот-сеть просто сдается в аренду практически всем желающим, причем относительно недорого. Бот-сеть создается путем массосого распространения троянов типа Conficker (он же Kido) на машинах простых пользователей, а не на серверах. В DDoS атаках серверы как правило не участвуют. На максимуме активности такая бот сеть может содержать несколько миллионов зараженных компов и имеет несколько центров управления. И никакой предварительной многомесячной подготовки не требуется. Причем запуск DDoS'а практически не сказывается на живучести бот-сети. Вот вы сейчас сидите в Интернете и можете даже не позревать, что именно ваш комп кого-то сейчас "долбит". И не говорите мне про антивирусники. Писатели троянов их регулярно обновляют, так что хорошо, если антивирусник обнаруживает очередную версию троянца через неделю после его появления.

[INT1]

То есть, если даже установлен фаерволл, или я запущу что то в этом духе я не у вижу, что мой комп кого то долбИт ?

[voyt]

И не говорите мне про антивирусники. Писатели троянов их регулярно обновляют, так что хорошо, если антивирусник обнаруживает очередную версию троянца через неделю после его появления.

А зачем антивирус?
Кстати, обнаружить кто там лезет куда его не просили, достаточно легко:

CODE

netstat --inet -e -p -a

P.S. Ось - Ubuntu 9.10

[admin]

Поскольку форум хостится в Нидерландах, а доменное имя зарегистрировано в домене RU, то такой способ тоже проблематичен. По крайней мере вчера у меня не получалось даже по IP пробиться, когда москвичи утверждали что форум доступен/работает уже несколько часов. Думаю проблема в том, что хостинг виртуальный, т.е. форум не имеет своего выделенного сервера и постоянного "белого" IP-адреса там в Нидерландах. Т.е. без обращения к DNS-серверу датацентра 2x4.ru никак не обойтись. А поскольку заDDoSили именно его (DNS-сервер), то даже при нормальной работе виртуального хостинга там за рубежом к форуму было не пробиться. В т.ч. и по его IP-адресу.
Если в чем-то ошибаюсь, то пускай udofun поправит меня.

поправлю, можно сделать если прописать IP.

а я сделал просто, добавил в hosts записи о домене и доволен)

Если вдруг будут опять проблемы с ДНС серверами, то доступ к форуму можно получить если прописать его айпи адрес локально на компьюторе за которым вы работаете.
Говоря проще нужно:

- добавит в файл c:\windows\system32\drivers\etc\hosts строчку вида:

Код

85.17.226.171 electronix.ru

- выполнить команду ipconfig /flushdns

далее проверить что все работает.

[rezident]

К сожалению, IP-адрес не панацея 08.10.2009 после полуночи через прямой ввод IP-адреса мне не удавалось попасть на форум. Выкидывало с ошибкой на server51.2x4.ru. Кстати, Xenia (Ксения) тогда тоже не могла по IP зайти, хотя по обычному "именному" пути у нее доступ к форуму был. http://caxapa.ru/168519.html

Update. Вот прямо сейчас попробовал в ссылке на этот топик заменить electronix.ru на его IP-адрес. В результате ссылка заменяется на https://server51.2x4.ruforum/index.php?showtopic=67995 и естественно страница с ошибкой. Слешь между адресом и forum не я пропустил. Это так заменяется IP-адрес. Я набираю все правильно http://85.17.226.171/forum/index.php?showtopic=67995

[vvs157]

То есть, если даже установлен фаерволл, или я запущу что то в этом духе я не у вижу, что мой комп кого то долбИт ?

90% современных троянцев умеют глушить 90% фаервоов. Особая категория (пока еще достаточно редкая) так называемых руткитов умеет прятать себя так, что ни в процессах, ни в открытых TCP соединениях ни файл заразы в файловой системе не видны.

К сожалению, IP-адрес не панацея
http://85.17.226.171/forum/index.php?showtopic=67995

По такой ссылке вы никогда на форум не попадете. Независимо от работы хостинга 2х2. Сейчас практически 99% сайтов по IP не работают, так как в запросе требуют еще и имя хоста, так как на одном IP живет куча других сайтов.

А зачем антивирус?

P.S. Ось - Ubuntu 9.10

А на Линуксе он практически пока не нужен. Хотя руткиты есть и для Линукса

[rezident]

По такой ссылке вы никогда на форум не попадете. Независимо от работы хостинга 2х2. Сейчас практически 99% сайтов по IP не работают, так как в запросе требуют еще и имя хоста, так как на одном IP живет куча других сайтов.

А как тогда поможет прописывание IP в локальной таблице DNS?

[vvs157]

А как тогда поможет прописывание IP в локальной таблице DNS?

Резолвер сначала лезет в локальный etc/hosts, если там нет хоста - запрашивает DNS, получив или из hosts или от DNS IP ресурса браузер открывает соединение по этому IP и посылает запрос GET в котором указывает Host Header Name, взятый из строки браузера. Если в строке браузера вы пишете явный IP, то сервер вам отдаст только так называемый Default Site, которого может и не быть вообще. То есть конкретный сайт на сервере определяется парой параметров - IP адресом и его именем, которое берется из строки браузера.

[rezident]

2 vvs157. Понятно.

[admin]

я так понял проблему решили.
ситуация вроде стабилизирована.

на днях начну закрывать мелкие косяки по форуму.

[Kopart]

я так понял проблему решили.
ситуация вроде стабилизирована.

на днях начну закрывать мелкие косяки по форуму.

Здесь есть хороший FAQ как защитить сайт от такого рода нападения.
Атака на DNS: http://habrahabr.ru/blogs/infosecurity/71848/
Будет полезным, если не вкурсе этих вариантов противодействия.  

[voyt]

Здесь есть хороший FAQ как защитить сайт от такого рода нападения.
Атака на DNS: http://habrahabr.ru/blogs/infosecurity/71848/
Будет полезным, если не вкурсе этих вариантов противодействия.  

Статья написана человеком, который, что называется, не понимает о чем пишет.
Лень объяснять почему, в комментариях почитайте.