Wiadomość napisana przez Jacek Konieczny <[email protected]> w dniu 23.11.2021, o godz. 15:22: > > On 23/11/2021 14:55, Jacek Osiecki wrote: >> Cześć, >> trochę nie wiem gdzie pytać, a google zwracają sporo danych ale nie na temat… >> Ostatnio mój serwer jest ostro atakowany na różne porty i adresy. > Nie tylko twój serwer. Cały internet. To już po prostu taki szum, jak > microwave background radiation w kosmosie.
Źle się wyraziłem. Nie jakieś hakierskie ataki, tylko wredne DDoSy. Nie wiem czy się czymś naraziłem, czy też coś się dzieje… Bo jeszcze niedawno nic takiego nie miało miejsca. Jakoś w wakacje jednemu klientowi jakieś gówno siadło na stronie i od tego czasu NON-STOP napieprza po kilka tysięcy requestów na sekundę. A od tygodnia zaczynam zaliczać konkretne DDoSy na różne inne rzeczy. >> Powoli wdrażam jakieś plany ratunkowe, ale cholernie mi brakuje sensownego >> narzędzia diagnostycznego. > 'nmap', 'netstat -nlvp' – patrz co masz otwarte z zewnątrz i załóż, że > _wszystko_ będzie atakowane. Niepotrzebne rzeczy zablokuj firewallem > potrzebnych pilnuj, żeby dziur nie było. To wiem, natomiast potrzebuję wiedzieć jeśli coś się przebiło przez firewall serwerowni - wtedy trzeba zrobić jakiś dodatkowy ruch ręcznie. Ale tak właśnie mi podsunął się dużo lepszy pomysł - seria regułek iptables na wejściu i badanie liczników. Tylko to niestety nie wykryje ruchu na port którego nie przewidzieliśmy... >> Przydałoby mi się coś, co by mogło pokazać jak np. w przeciągu ostatnich 30 >> sekund wyglądała średnia ilość pakietów na sekundę i bitów na sekundę z >> podziałem na poszczególne lokalne adresy IP i porty. Nijak nie widzę czegoś >> takiego, jakoś sobie radzę odpalając na szybko iptraf… no ale nie tędy droga. >> Generalnie to wręcz przydałoby mi się to w jakichś plikach, które mógłbym >> monitorować (np. nagiosem) i rzucać alertami… > > I w czym miałoby to pomóc. Informacje może faktycznie ciekawe, ale w > dzisiejszych czasach niewiele z tego wynika. Np. widzę że jakiś syf zaczyna napierniczać z prędkością światła w port FTP, praktycznie wysycając łącze serwera. Wtedy trudno - włażę na stronę serwerowni i ręcznie dopisuję blokadę portu 21. Lepiej martwy FTP niż cały serwer. Zdaje się że nawet jest do tego API, więc mogę ciut więcej pokombinować... Pozdrawiam, — Jacek _______________________________________________ pld-devel-pl mailing list [email protected] http://lists.pld-linux.org/mailman/listinfo/pld-devel-pl
