LINUX.ORG.RU
решено ФорумAdmin

DDOS атака c моего белого Ip

 , ,


0

1

Привет ЛОР, звонит сотрудник техподдержки провайдера и говорит мол с моего ip адреса идет ddos атака на немецкие сервера (правда не уточнил какие)

Какие логи почекать? в логах сквида пусто(нет инфы по атаке), в логах доступа тоже.

Доступ по ssh только по ключу(и пароль на ключе)

Порты закрыты на микротике

2 серва основных и на них:

1)Apache

2)Nginx

3)Squid

4)Gitlab

5)youtrack

6)mysql

7)bacula

Ну и небольшой парк на виндовых компах, я прост сейчас далеко от офиса и немогу уточнить, что да как там на пользовательских пк.

А сам микротик проверял? У них были уязвимости в ОС, может с него ддосят.

Проверяй так 111 и 137 порты и 53 (DNS Amplification)

Запроси инфу у провайдера, чтоб выдали с каких портов и куда ддосишь

BaBL ★★★★★
()
Последнее исправление: BaBL (всего исправлений: 1)

звонит сотрудник техподдержки провайдера и говорит мол с моего ip адреса идет ddos атака

и это все? типа уголовное преступление!

amd_amd ★★★★★
()
Ответ на: комментарий от BaBL

завтра ток смогу проверить, ну с внешки нет доступа к микротику никакого, только в локалке

sanekmihailow
() автор топика
Ответ на: комментарий от anonymous

спасибо анон, но атаку уже прекратили, она была судя по графику трафика в 14:20-14:25 и в 14:55 - 15:03

откопал уязвимость сквида, только не понял это меня через нее досят или через меня досят других

CVE-2018-1172

sanekmihailow
() автор топика

с моего ip адреса идет ddos

т.е. от вас, кто это делает в вашей локалке и надо выяснять.

Ну и небольшой парк на виндовых компах

которые скорее всего это и делают.
Самое простое это tcpdump, при малом кол-ве даже визуально увидите кто виноват.
А в целом на будущее старый добрый flow, на который вы видимо забили. Очень удобно «разгребать» «последствия».

anc ★★★★★
()
Ответ на: комментарий от sanekmihailow

после анализа провайдер сказал, тип не с моего ip адреса (facepalm)

Адрес отправителя в IP-пакете можно указать любой, для атак, не требующих ответа инициатору, это вполне подходит.

bormant ★★★★★
()
Ответ на: комментарий от sanekmihailow

Ну и с терминологией как-то не очень: первая D — это distributed, т.е. распределенная — атака со множества случайных источников.
Даже если посчитали как одного из атакующих, все равно речь только о DoS.

bormant ★★★★★
()
Последнее исправление: bormant (всего исправлений: 1)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.