Какво може да се направи, в случай, че някой здраво ти пъха флууд към дадена машина? Пускам пинг до гейтуея, имам 0% загуби. Пускам пинг към бордер рутер на друг доставчик, връща 80% загуби. Подозирам, че е флууд, защото и друг път се е случвало, а симптомите са били същите Кое е най-доброто, което би могло да се направи?

Другата ситуация - сървър на колокейшън, хостващ сайтове на корпоративни клиенти, поглъща флууд, което ме кара да спирам единия интерфейс, който е към Интернет. Виждам от къде идва флууда - американски и канадски бивши шел сървърчета на Redhat 6.2, вързани на дебела жица и явно оставени без сериозен надзор. Проблемът е, че се получава даунтайм, което ощетява клиентите. Обаче и да не го изгася, пак същата работа. Предложения?

От постинга не ставя ясно за какъв flood става въпрос. При симптоми на flood първо трябва да се установи какво точно става с помощта на трафик монитор, например iptraf, както и tcpdump. Възможно е да се касае за изпращане на многобройни icmp пакети, многобройни tcp пакети с вдигнат SYN бит, udp flood, например на udp port 53 (DNS) и т.н. Също така трябва да не анализира дали тъй нареченият flood идва от един и същ source адрес, или от различни, трябва да се разбере дали идва и от една или много автономни системи. След това е необходимо да се филтрират тези пакети от първият възможен рутер до който имаш достъп. Няма нищо лошо и да пишеш на съпорта на доставчика да вземат и те мерки. Добра идея е да пишеш и до администраторите на автономната система от която идва съответният flood, адреса на които можеш да видиш от базата данни на съответният RIR (за Европа RIPE). Ако от локалната ти машина филтрираш пак ще получава пакетите и тя ще ги изхвърля, което коства известен трафик и ресурси на машината.

Ако искаш използвай tcpdump и пусни тук dump-а на flood-а да видим какъв е точно и да ти кажем конкретни решения.

Обаждаш се на Интернет провайдъра и им казваш, че те флъдят. Тяхна работа е как точно да прекратят флъда, сигурно ще сложат някакво временно правило пакетите от съответните машини да не идват до теб, след това ще се свържат с провайдъра на флъдъра да го отреже оттам.

Става дума точно за пакети с вдигнат SYN бит, както и udp флууд. Обаждах се на съпорта, но на нощни смени стоят пълни кретени, които не може да сложат един cisco rate limit. Това, което ме ядосва е, че специално за коло машината, това става вече за втори път. Първият път, когато се обаждах ми казаха, че щели да го оправят - не го оправиха. Сега се случи пак - пак се обадих - пак не го оправиха. Ако в този провайдър не могат - не знам в кой ще могат. Иначе флууда идва от различни места. Написала съм по-горе какви точно. Вече се справих със ситуацията, ... за сега обаче. Преди време пак беше станала такава работа, тогава щеше да се пуска irc сървър линкнат на ефнет, само че конкурентни сървъри се уплашиха да не им вземем клиентите и взеха да флудят от 1001 места. Е, постигнаха целта си. Така и така не се стигна до пускане на сървър. Умря още в тестинг периода. В днешната ситуация са изяснени адресите, от които се флуди, остава да се разбере кой точно го прави.

не знам кой ти е провайдера, ама го нема никакъв. Опитай да ескалираш до 2 и 3 левъл за да попаднеш на някой с акъла си, тия на които се обаждаш очевидно са поставени там за да пазят оборудването някой да не го открадне. След такава случка задължително се обаждаш на следващия ден и говориш с някой senior, за да се вземат мерки. Тъй като те са хостващата компания, тяхно е и задължението да пратят емайл на флудещата страна, както и да набележат мерки, да направят план какво се прави при следващия такъв случай, та белким дремещите нощем се събудят и станат полезни.
Просто трябва да раздуеш нещата та колокаторите да си заработят заплатите. И да не забравят че не са единствената хостваща компания на тоя свят...

.

USER ERROR: replace user and press any key to continue.

Хъъъъъх ... провайдер да не се интересува от флъд ???!?!??
ама моля ви се ..... преди клиента да е усетил флъд-а го усеща провайдъра.
Флъда скапва най напред връзката на провайдъра защото той го носи .. те точно този флъд към клиента. На всичкото отгоре дори провайдъра да изключи клиента флъда ще продължи - защото флъда се носи не от клиента а от този който го пуска. Така че провайдъра се обажда на този провайдър в интернет от който идва флъда, за да го информира и помоли за изолирането на източника на флъда.
Останалото като коментар е просто бла ... сорри ....

трудно е да бъдеш бог - защото на обикновенните хора им е трудно да живеят с богове!

Редактирано от sisip на 24.09.05 03:13.

Mnogo hora se opitvat po source IP adresa da razbirat koi pravi mizeriqta. Tova e pulen absurt tui kato sushtestvuvat mnogo nachini adresa na iztochnika da bude falshificiran. Moje da se premine prez komprometiran host, ne dobre zashtiteni proxy serveri, zarazeni kompiutri i t.n. Ot vsichko tova stava qsno che moje da se suzdade edin ogromen labirint vodesht do iztrivane na suotvetni jurnali ot dadenite sistemi s koito da se zalichat sledi.
Dobra ideq e taq kolo mashina da nqma realen IP adres i predi neq da ima host (nai chesto dobur hardueren router ili drugo podhodqshto ustroistvo) koeto da moje da poema seriozni floodove i firewall-a mu da ima suotvetnata funkcionalnost. Na kolo mashinata se slaga "chasten"adres i ot samiqt router se preprashtat opredeleni portove do neq i se filtrirat paketi po opredeleni kriterii (source adres na floodvasht host).
Tova e mnogo shiroko razprostranen i osnoven problem predizvikal mnogo propusnati polzi po sveta i koito adski tormozi internet. Mnogo firmi predlagat harduer i softuer koito do nqkude pomaga s-u opredelen tip flood. Mnogo e vajno i tochnata nstroika na dosta parametri ot tcp opciite na kernela koeto sushto do nqkude oblekchava polojenieto. Ima programi (fwlogwatch ako se ne luja i snort) koito mogat da avtomatizirat opredeleni procesi na filtrirane pri zasichane na flood. Neobhodimo e izpolzvane i na software za vodene na postoqnen jurnal (grafici i t.n.) za mrejov trafic ili opredeleni izvunredni polojeniq. Vupreki tova tova sa chastichni resheniq. Dizaina na tcp/ip ne pozvolqva napulno spravqne s tui narecheniqt flood, DoS i t.n. :)

Както и във заглавието си пише, ако ще се "пазиш" от флууд, гледай да изнесеш защитата възможно най-далеч.
При провайдера, при ъплинка на провайдера, на пренос ниво - колкото можеш по далеч.
Във всички случаи когато се бориш с некомпетентни хора от поддръжката, звъни на сейлса който ти е продал колокейшъна или интернета - няма някой който да се навика по добре на техническият отдел, от някой от финансовия.

Не е твоя работа да знаеш как да се пазиш от флудове, с извинение, не мисля че си администраторка, а по-скоро ти се налага да се занимаваш и със това, поради липсата на квалифициран човек на поста.
Задължение на доставчика ти е, да може да те предпази от такива работи.

Нанайси нема стане.

Най-хубавото, за което се сешам ако при източника не вземат мерки е на най-близкия му рутер да се пусне мирър на пакетите.

.why do they call this a word processor?
It's simple.You've seen what food processors do to food.

Аз лично ако съм ти провайдер не ми дреме че те флудят. Като искаш 200Mbit очаквай да ги получиш във всякакви форми.
Едно локално решение е:
Маркираш с определена маркировка всичкият трафик който смяташ, че е злонамерен flood и го шейпваш с tc на ниска скорост.

Успех.

The complicated problems have simple and easy for understanding bad answers.