UDP-флуд

0

2

Всем привет. На один и тот же ip указывает около 3 десятков доменов. Один из них флудят по UDP таким образом:

13:50:47.731540 IP 90.80.172.242 > x.x.x.x: udp
13:50:47.731666 IP 24.155.198.153 > x.x.x.x: udp
13:50:47.731790 IP 113.106.0.199 > x.x.x.x: udp
13:50:47.731915 IP 80.50.231.86 > x.x.x.x: udp
13:50:47.731934 IP 176.122.125.176 > x.x.x.x: udp
13:50:47.732165 IP 67.240.161.95 > x.x.x.x: udp
13:50:47.732290 IP 80.50.231.86 > x.x.x.x: udp

tcpdump показывает только ip, но можно ли выявить какой из множества доменов хотят зафлудить?

Ссылка

←	7z & имена файлов начинающиеся на минус

Ошибка при старте Apache httpd

→

неа, никак, а может вас и не по домену, а по ip.

pyatak123 ★
(24.04.13 15:41:56 MSK)

Ответ на: комментарий от pyatak123 24.04.13 15:41:56 MSK

ну это врядли. но я так понял способа понять кто конкретно неугоден этим хулиганам - нету.

Komintern ★★★★★
(24.04.13 15:55:40 MSK) автор топика

Ответ на: комментарий от Komintern 24.04.13 15:55:40 MSK

нет. Ну посмотрите содержимое, малоли там что будет. Но мало вероятно.

pyatak123 ★
(24.04.13 16:00:50 MSK)

Ссылка

Сделай, например, `tcpdump -npvvvXs0 udp and dst host x.x.x.x`.

baka-kun ★★★★★
(24.04.13 16:07:53 MSK)

Ссылка

По одному переводить домены на другой ip, на котором настроить безусловную переадресацию на первый. Как на втором появился флуд — значит поймал.

i-rinat ★★★★★
(24.04.13 16:08:29 MSK)

Ответ на: комментарий от i-rinat 24.04.13 16:08:29 MSK

Если и пользоваться такой идеей, лучше не по одному, а дробить по полам. На 5ом шаге уже будет результат. Если ддосят по домену, а не ip, разумеется.

Deleted
(24.04.13 16:13:09 MSK)

Ответ на: комментарий от Deleted 24.04.13 16:13:09 MSK

Там же ощутимая задержка есть, так что дихотомией — не самый здравый способ. А ещё боты могли просто закешировать ip. И тогда может случиться так, что ддосят оба ip, как не меняй записи.

i-rinat ★★★★★
(24.04.13 16:17:55 MSK)
Последнее исправление: i-rinat 24.04.13 16:18:53 MSK (всего исправлений: 1)

Ответ на: комментарий от i-rinat 24.04.13 16:17:55 MSK

дихотомия

о, а я все пыталс вспомнить как этот вид деления называется :)

А ещё боты могли просто закешировать ip.

в таком случае вообще от деления толка не будет ж... Меня прильщает мысль, что роботов сразу по ip натравили.

Deleted
(24.04.13 16:35:16 MSK)

Ответ на: комментарий от Deleted 24.04.13 16:35:16 MSK

в таком случае вообще от деления толка не будет ж

Будет, если появляются новые, которые опрашивают DNS, чтобы узнать адрес. Тогда новый ip будет как бы «чистым». И тогда — перевёл один домен на новый ip, ждёшь. Если за пару часов появится флуд, значит это искомый домен. Если нет, переводишь следующий, ждёшь. И так далее. Когда появится флуд, можно утверждать, что задет один из переведённых доменов, причём с большой степенью правдоподобности — последний, затем предпоследний, затем предпредпоследний и так далее.

Это как титрование — капаешь, пока не окрасится.

i-rinat ★★★★★
(24.04.13 16:44:10 MSK)

Ответ на: комментарий от i-rinat 24.04.13 16:44:10 MSK

Понял логику, благодарю за разъяснения. Остается только момент, если не проверяют появление новых А-записей. Хотя, при направленной атаке именно на сайт будут мониторить изменения.

Deleted
(24.04.13 17:07:15 MSK)