DDOS атака на DNS сервера Опции

[voyt]

И не говорите мне про антивирусники. Писатели троянов их регулярно обновляют, так что хорошо, если антивирусник обнаруживает очередную версию троянца через неделю после его появления.

А зачем антивирус?
Кстати, обнаружить кто там лезет куда его не просили, достаточно легко:

CODE

netstat --inet -e -p -a

P.S. Ось - Ubuntu 9.10

[admin]

Поскольку форум хостится в Нидерландах, а доменное имя зарегистрировано в домене RU, то такой способ тоже проблематичен. По крайней мере вчера у меня не получалось даже по IP пробиться, когда москвичи утверждали что форум доступен/работает уже несколько часов. Думаю проблема в том, что хостинг виртуальный, т.е. форум не имеет своего выделенного сервера и постоянного "белого" IP-адреса там в Нидерландах. Т.е. без обращения к DNS-серверу датацентра 2x4.ru никак не обойтись. А поскольку заDDoSили именно его (DNS-сервер), то даже при нормальной работе виртуального хостинга там за рубежом к форуму было не пробиться. В т.ч. и по его IP-адресу.
Если в чем-то ошибаюсь, то пускай udofun поправит меня.

поправлю, можно сделать если прописать IP.

а я сделал просто, добавил в hosts записи о домене и доволен)

Если вдруг будут опять проблемы с ДНС серверами, то доступ к форуму можно получить если прописать его айпи адрес локально на компьюторе за которым вы работаете.
Говоря проще нужно:

- добавит в файл c:\windows\system32\drivers\etc\hosts строчку вида:

Код

85.17.226.171 electronix.ru

- выполнить команду ipconfig /flushdns

далее проверить что все работает.

[rezident]

К сожалению, IP-адрес не панацея 08.10.2009 после полуночи через прямой ввод IP-адреса мне не удавалось попасть на форум. Выкидывало с ошибкой на server51.2x4.ru. Кстати, Xenia (Ксения) тогда тоже не могла по IP зайти, хотя по обычному "именному" пути у нее доступ к форуму был. http://caxapa.ru/168519.html

Update. Вот прямо сейчас попробовал в ссылке на этот топик заменить electronix.ru на его IP-адрес. В результате ссылка заменяется на https://server51.2x4.ruforum/index.php?showtopic=67995 и естественно страница с ошибкой. Слешь между адресом и forum не я пропустил. Это так заменяется IP-адрес. Я набираю все правильно http://85.17.226.171/forum/index.php?showtopic=67995

[vvs157]

То есть, если даже установлен фаерволл, или я запущу что то в этом духе я не у вижу, что мой комп кого то долбИт ?

90% современных троянцев умеют глушить 90% фаервоов. Особая категория (пока еще достаточно редкая) так называемых руткитов умеет прятать себя так, что ни в процессах, ни в открытых TCP соединениях ни файл заразы в файловой системе не видны.

К сожалению, IP-адрес не панацея
http://85.17.226.171/forum/index.php?showtopic=67995

По такой ссылке вы никогда на форум не попадете. Независимо от работы хостинга 2х2. Сейчас практически 99% сайтов по IP не работают, так как в запросе требуют еще и имя хоста, так как на одном IP живет куча других сайтов.

А зачем антивирус?

P.S. Ось - Ubuntu 9.10

А на Линуксе он практически пока не нужен. Хотя руткиты есть и для Линукса

[rezident]

По такой ссылке вы никогда на форум не попадете. Независимо от работы хостинга 2х2. Сейчас практически 99% сайтов по IP не работают, так как в запросе требуют еще и имя хоста, так как на одном IP живет куча других сайтов.

А как тогда поможет прописывание IP в локальной таблице DNS?

[vvs157]

А как тогда поможет прописывание IP в локальной таблице DNS?

Резолвер сначала лезет в локальный etc/hosts, если там нет хоста - запрашивает DNS, получив или из hosts или от DNS IP ресурса браузер открывает соединение по этому IP и посылает запрос GET в котором указывает Host Header Name, взятый из строки браузера. Если в строке браузера вы пишете явный IP, то сервер вам отдаст только так называемый Default Site, которого может и не быть вообще. То есть конкретный сайт на сервере определяется парой параметров - IP адресом и его именем, которое берется из строки браузера.

[rezident]

2 vvs157. Понятно.

[admin]

я так понял проблему решили.
ситуация вроде стабилизирована.

на днях начну закрывать мелкие косяки по форуму.

[Kopart]

я так понял проблему решили.
ситуация вроде стабилизирована.

на днях начну закрывать мелкие косяки по форуму.

Здесь есть хороший FAQ как защитить сайт от такого рода нападения.
Атака на DNS: http://habrahabr.ru/blogs/infosecurity/71848/
Будет полезным, если не вкурсе этих вариантов противодействия.  

[voyt]

Здесь есть хороший FAQ как защитить сайт от такого рода нападения.
Атака на DNS: http://habrahabr.ru/blogs/infosecurity/71848/
Будет полезным, если не вкурсе этих вариантов противодействия.  

Статья написана человеком, который, что называется, не понимает о чем пишет.
Лень объяснять почему, в комментариях почитайте.