LINUX.ORG.RU
ФорумAdmin

UDP-флуд

 ,


0

2

Всем привет. На один и тот же ip указывает около 3 десятков доменов. Один из них флудят по UDP таким образом:

13:50:47.731540 IP 90.80.172.242 > x.x.x.x: udp
13:50:47.731666 IP 24.155.198.153 > x.x.x.x: udp
13:50:47.731790 IP 113.106.0.199 > x.x.x.x: udp
13:50:47.731915 IP 80.50.231.86 > x.x.x.x: udp
13:50:47.731934 IP 176.122.125.176 > x.x.x.x: udp
13:50:47.732165 IP 67.240.161.95 > x.x.x.x: udp
13:50:47.732290 IP 80.50.231.86 > x.x.x.x: udp

tcpdump показывает только ip, но можно ли выявить какой из множества доменов хотят зафлудить?

★★★★★
Ответ на: комментарий от pyatak123

ну это врядли. но я так понял способа понять кто конкретно неугоден этим хулиганам - нету.

Komintern ★★★★★
() автор топика
Ответ на: комментарий от Komintern

нет. Ну посмотрите содержимое, малоли там что будет. Но мало вероятно.

pyatak123
()

Сделай, например, `tcpdump -npvvvXs0 udp and dst host x.x.x.x`.

baka-kun ★★★★★
()

По одному переводить домены на другой ip, на котором настроить безусловную переадресацию на первый. Как на втором появился флуд — значит поймал.

i-rinat ★★★★★
()
Ответ на: комментарий от i-rinat

Если и пользоваться такой идеей, лучше не по одному, а дробить по полам. На 5ом шаге уже будет результат. Если ддосят по домену, а не ip, разумеется.

Deleted
()
Ответ на: комментарий от Deleted

Там же ощутимая задержка есть, так что дихотомией — не самый здравый способ. А ещё боты могли просто закешировать ip. И тогда может случиться так, что ддосят оба ip, как не меняй записи.

i-rinat ★★★★★
()
Последнее исправление: i-rinat (всего исправлений: 1)
Ответ на: комментарий от i-rinat

дихотомия

о, а я все пыталс вспомнить как этот вид деления называется :)

А ещё боты могли просто закешировать ip.

в таком случае вообще от деления толка не будет ж... Меня прильщает мысль, что роботов сразу по ip натравили.

Deleted
()
Ответ на: комментарий от Deleted

в таком случае вообще от деления толка не будет ж

Будет, если появляются новые, которые опрашивают DNS, чтобы узнать адрес. Тогда новый ip будет как бы «чистым». И тогда — перевёл один домен на новый ip, ждёшь. Если за пару часов появится флуд, значит это искомый домен. Если нет, переводишь следующий, ждёшь. И так далее. Когда появится флуд, можно утверждать, что задет один из переведённых доменов, причём с большой степенью правдоподобности — последний, затем предпоследний, затем предпредпоследний и так далее.

Это как титрование — капаешь, пока не окрасится.

i-rinat ★★★★★
()
Ответ на: комментарий от i-rinat

Понял логику, благодарю за разъяснения. Остается только момент, если не проверяют появление новых А-записей. Хотя, при направленной атаке именно на сайт будут мониторить изменения.

Deleted
()

Врядли вы выявите направление фруда на домен. Так как функция резолвинга в ip адрес выполняется на «атакующем» узле, как вы понимаете.

ChAnton ★★
()
18 февраля 2014 г.

Если DNS-логи ведутся, то просто смотрите, какой домен запрашивали эти ДДоС-клиенты.

ktulhu666 ☆☆☆
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.