LINUX.ORG.RU
решено ФорумTalks

real ip + дешёвый роутер + DDOS

 ,


1

2

Привет всем. Последние 2 дня не могу выйти в интернет из дому. Как показали логи — меня ДДОСят и очень брутально (адресов много разных, вот кусок лога):

Nov  1 20:21:53 kernel: DROP IN=vlan1 OUT=br0 SRC=79.114.212.61 DST=10.0.0.8 LEN=52 TOS=0x00 PREC=0x00 TTL=116 ID=696 DF PROTO=TCP SPT=65428 DPT=60235 SEQ=1000117199 ACK=0 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (020405760103030201010402) 
Nov  1 20:21:53 kernel: ACCEPT IN=vlan1 OUT=br0 SRC=187.66.44.54 DST=10.0.0.8 LEN=58 TOS=0x00 PREC=0x00 TTL=110 ID=29680 PROTO=UDP SPT=34465 DPT=60235 LEN=38 
Nov  1 20:21:53 kernel: DROP IN=vlan1 OUT=br0 SRC=108.224.2.58 DST=10.0.0.8 LEN=48 TOS=0x00 PREC=0x00 TTL=113 ID=44693 DF PROTO=TCP SPT=2661 DPT=60235 SEQ=515148047 ACK=0 WINDOW=65535 RES=0x00 SYN URGP=0 OPT (020405B401010402) 
Nov  1 20:21:53 kernel: DROP IN=vlan1 OUT=br0 SRC=46.246.251.194 DST=10.0.0.8 LEN=58 TOS=0x00 PREC=0x00 TTL=117 ID=25198 PROTO=UDP SPT=34713 DPT=60235 LEN=38 
Nov  1 20:21:53 kernel: DROP IN=vlan1 OUT=br0 SRC=46.246.251.194 DST=10.0.0.8 LEN=60 TOS=0x00 PREC=0x00 TTL=117 ID=25199 DF PROTO=TCP SPT=56765 DPT=60235 SEQ=3096336641 ACK=0 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (020405AC010303020402080A000CD7A500000000
Nov  1 20:21:53 kernel: DROP IN=vlan1 OUT=br0 SRC=46.120.152.51 DST=10.0.0.8 LEN=58 TOS=0x00 PREC=0x00 TTL=112 ID=18497 PROTO=UDP SPT=44503 DPT=60235 LEN=38 
Nov  1 20:21:53 kernel: DROP IN=vlan1 OUT=br0 SRC=79.117.181.244 DST=10.0.0.8 LEN=52 TOS=0x00 PREC=0x00 TTL=118 ID=15110 DF PROTO=TCP SPT=26384 DPT=60235 SEQ=478107480 ACK=0 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (020405AC0103030801010402) 
Nov  1 20:21:53 kernel: DROP IN=vlan1 OUT=br0 SRC=213.57.252.178 DST=10.0.0.8 LEN=58 TOS=0x00 PREC=0x00 TTL=112 ID=27423 PROTO=UDP SPT=13879 DPT=60235 LEN=38 
Nov  1 20:21:53 kernel: DROP IN=vlan1 OUT=br0 SRC=187.133.48.16 DST=10.0.0.8 LEN=64 TOS=0x00 PREC=0x00 TTL=51 ID=39898 DF PROTO=TCP SPT=17483 DPT=60235 SEQ=3505621466 ACK=0 WINDOW=65535 RES=0x00 SYN URGP=0 OPT (02040578010303010101080A1B1FCF62000000000
Nov  1 20:21:53 kernel: DROP IN=vlan1 OUT=br0 SRC=213.21.78.66 DST=10.0.0.8 LEN=64 TOS=0x00 PREC=0x00 TTL=47 ID=39640 DF PROTO=TCP SPT=65357 DPT=60235 SEQ=917247010 ACK=0 WINDOW=65535 RES=0x00 SYN URGP=0 OPT (020405B4010303040101080A87E989A500000000040
Nov  1 20:21:53 kernel: DROP IN=vlan1 OUT=br0 SRC=201.88.25.75 DST=10.0.0.8 LEN=48 TOS=0x00 PREC=0x00 TTL=111 ID=16376 DF PROTO=TCP SPT=65103 DPT=60235 SEQ=1402736997 ACK=0 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (020405AC01010402) 
Nov  1 20:21:53 kernel: DROP IN=vlan1 OUT=br0 SRC=178.137.87.161 DST=10.0.0.8 LEN=60 TOS=0x00 PREC=0x00 TTL=54 ID=8549 DF PROTO=TCP SPT=45253 DPT=60235 SEQ=1664838991 ACK=0 WINDOW=11680 RES=0x00 SYN URGP=0 OPT (020405B40402080A01254F1B0000000001030300)
Nov  1 20:21:53 kernel: ACCEPT IN=vlan1 OUT=br0 SRC=195.158.71.154 DST=10.0.0.8 LEN=58 TOS=0x00 PREC=0x00 TTL=109 ID=3735 PROTO=UDP SPT=60940 DPT=60235 LEN=38 
Nov  1 20:21:53 kernel: DROP IN=vlan1 OUT=br0 SRC=120.56.247.202 DST=10.0.0.8 LEN=58 TOS=0x00 PREC=0x00 TTL=106 ID=29847 PROTO=UDP SPT=38364 DPT=60235 LEN=38 
Nov  1 20:21:54 kernel: DROP IN=vlan1 OUT=br0 SRC=77.93.37.82 DST=10.0.0.8 LEN=56 TOS=0x00 PREC=0x00 TTL=117 ID=2380 DF PROTO=TCP SPT=51906 DPT=60235 SEQ=3433658898 ACK=0 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (020405B40402080A03A041BB00000000) 
Nov  1 20:21:54 kernel: DROP IN=vlan1 OUT=br0 SRC=88.1.95.236 DST=10.0.0.8 LEN=58 TOS=0x00 PREC=0x00 TTL=111 ID=49932 PROTO=UDP SPT=61099 DPT=60235 LEN=38 
Nov  1 20:21:54 kernel: DROP IN=vlan1 OUT=br0 SRC=200.207.228.113 DST=10.0.0.8 LEN=48 TOS=0x00 PREC=0x00 TTL=111 ID=12403 DF PROTO=TCP SPT=52880 DPT=60235 SEQ=2410667240 ACK=0 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (020405A001010402) 
Nov  1 20:21:54 kernel: DROP IN=vlan1 OUT=br0 SRC=90.213.224.150 DST=10.0.0.8 LEN=58 TOS=0x00 PREC=0x00 TTL=107 ID=23473 PROTO=UDP SPT=48518 DPT=60235 LEN=38 
Nov  1 20:21:54 kernel: DROP IN=vlan1 OUT=br0 SRC=93.180.179.140 DST=10.0.0.8 LEN=52 TOS=0x00 PREC=0x00 TTL=113 ID=8327 DF PROTO=TCP SPT=60130 DPT=60235 SEQ=3118107100 ACK=0 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (020405B40103030201010402) 
Nov  1 20:21:54 kernel: DROP IN=vlan1 OUT=br0 SRC=66.87.0.73 DST=10.0.0.8 LEN=58 TOS=0x00 PREC=0x00 TTL=109 ID=23696 PROTO=UDP SPT=46595 DPT=60235 LEN=38 
Nov  1 20:21:54 kernel: DROP IN=vlan1 OUT=br0 SRC=195.151.222.49 DST=10.0.0.8 LEN=64 TOS=0x00 PREC=0x00 TTL=120 ID=31090 DF PROTO=TCP SPT=45536 DPT=60235 SEQ=4035124576 ACK=0 WINDOW=64380 RES=0x00 SYN URGP=0 OPT (02040564010303000101080A000000000000000
Nov  1 20:21:54 kernel: ACCEPT IN=vlan1 OUT=br0 SRC=84.0.240.254 DST=10.0.0.8 LEN=58 TOS=0x00 PREC=0x00 TTL=118 ID=49464 PROTO=UDP SPT=26935 DPT=60235 LEN=38 
Nov  1 20:21:54 kernel: DROP IN=vlan1 OUT=br0 SRC=141.170.206.97 DST=10.0.0.8 LEN=131 TOS=0x00 PREC=0x00 TTL=115 ID=930 PROTO=UDP SPT=27946 DPT=60235 LEN=111 
Nov  1 20:21:54 kernel: DROP IN=vlan1 OUT=br0 SRC=82.131.52.213 DST=10.0.0.8 LEN=58 TOS=0x00 PREC=0x00 TTL=116 ID=18372 PROTO=UDP SPT=22323 DPT=60235 LEN=38 
Nov  1 20:21:54 kernel: DROP IN=vlan1 OUT=br0 SRC=84.94.123.37 DST=10.0.0.8 LEN=58 TOS=0x00 PREC=0x00 TTL=111 ID=16307 PROTO=UDP SPT=26722 DPT=60235 LEN=38 
Nov  1 20:21:54 kernel: DROP IN=vlan1 OUT=br0 SRC=80.83.21.2 DST=10.0.0.8 LEN=52 TOS=0x00 PREC=0x00 TTL=108 ID=29783 DF PROTO=TCP SPT=63005 DPT=60235 SEQ=2085110650 ACK=0 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (020404B00103030801010402) 
Nov  1 20:21:54 kernel: DROP IN=vlan1 OUT=br0 SRC=145.236.83.3 DST=10.0.0.8 LEN=56 TOS=0x00 PREC=0x00 TTL=116 ID=6011 DF PROTO=TCP SPT=49738 DPT=60235 SEQ=2385128928 ACK=0 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (020405AC0402080A002B98CD00000000) 
Nov  1 20:21:54 kernel: ACCEPT IN=br0 OUT= MAC=00:1f:c6:62:20:66:68:5d:43:5a:1e:e6:08:00 SRC=10.0.0.8 DST=10.0.0.2 LEN=60 TOS=0x00 PREC=0x00 TTL=128 ID=19155 PROTO=ICMP TYPE=8 CODE=0 ID=1 SEQ=1402 
Nov  1 20:21:54 kernel: DROP IN=vlan1 OUT=br0 SRC=77.204.81.179 DST=10.0.0.8 LEN=48 TOS=0x00 PREC=0x00 TTL=112 ID=5656 DF PROTO=TCP SPT=60194 DPT=60235 SEQ=2287582948 ACK=0 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (020405AC01010402) 
Nov  1 20:21:54 kernel: DROP IN=vlan1 OUT=br0 SRC=93.157.171.75 DST=10.0.0.8 LEN=52 TOS=0x00 PREC=0x00 TTL=120 ID=18356 DF PROTO=TCP SPT=40445 DPT=60235 SEQ=2089424270 ACK=0 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (020405B40103030201010402) 
Nov  1 20:21:54 kernel: DROP IN=vlan1 OUT=br0 SRC=88.244.209.38 DST=10.0.0.8 LEN=52 TOS=0x00 PREC=0x00 TTL=112 ID=31493 DF PROTO=TCP SPT=62969 DPT=60235 SEQ=1249779885 ACK=0 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (020405AC0103030201010402) 
Nov  1 20:21:54 kernel: DROP IN=vlan1 OUT=br0 SRC=37.204.155.45 DST=10.0.0.8 LEN=58 TOS=0x00 PREC=0x00 TTL=113 ID=27888 PROTO=UDP SPT=12971 DPT=60235 LEN=38 
Nov  1 20:21:54 kernel: DROP IN=vlan1 OUT=br0 SRC=212.226.40.25 DST=10.0.0.8 LEN=58 TOS=0x00 PREC=0x00 TTL=114 ID=2860 PROTO=UDP SPT=44767 DPT=60235 LEN=38 
Nov  1 20:21:54 kernel: DROP IN=vlan1 OUT=br0 SRC=212.226.40.25 DST=10.0.0.8 LEN=48 TOS=0x00 PREC=0x00 TTL=114 ID=2861 DF PROTO=TCP SPT=53483 DPT=60235 SEQ=3010714773 ACK=0 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (0204057801010402) 
Nov  1 20:21:54 kernel: ACCEPT IN=vlan1 OUT=br0 SRC=177.5.33.212 DST=10.0.0.8 LEN=95 TOS=0x00 PREC=0x00 TTL=109 ID=17029 PROTO=UDP SPT=61110 DPT=60235 LEN=75 
Nov  1 20:21:54 kernel: DROP IN=vlan1 OUT=br0 SRC=99.62.248.52 DST=10.0.0.8 LEN=95 TOS=0x00 PREC=0x00 TTL=111 ID=6847 PROTO=UDP SPT=16520 DPT=60235 LEN=75 
Nov  1 20:21:54 kernel: DROP IN=vlan1 OUT=br0 SRC=41.82.156.84 DST=10.0.0.8 LEN=48 TOS=0x00 PREC=0x00 TTL=110 ID=31371 DF PROTO=TCP SPT=49445 DPT=60235 SEQ=4124701591 ACK=0 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (020405AC01010402) 
Nov  1 20:21:54 kernel: DROP IN=vlan1 OUT=br0 SRC=79.9.16.25 DST=10.0.0.8 LEN=52 TOS=0x00 PREC=0x00 TTL=111 ID=1475 DF PROTO=TCP SPT=64463 DPT=60235 SEQ=511904974 ACK=0 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (020405AC0103030201010402) 
Nov  1 20:21:54 kernel: DROP IN=vlan1 OUT=br0 SRC=99.225.40.132 DST=10.0.0.8 LEN=58 TOS=0x00 PREC=0x00 TTL=113 ID=647 PROTO=UDP SPT=19004 DPT=60235 LEN=38 
Nov  1 20:21:54 kernel: DROP IN=vlan1 OUT=br0 SRC=46.134.225.12 DST=10.0.0.8 LEN=58 TOS=0x00 PREC=0x00 TTL=113 ID=18035 PROTO=UDP SPT=34919 DPT=60235 LEN=38 
Nov  1 20:21:54 kernel: DROP IN=vlan1 OUT=br0 SRC=46.134.225.12 DST=10.0.0.8 LEN=52 TOS=0x00 PREC=0x00 TTL=113 ID=18036 DF PROTO=TCP SPT=58084 DPT=60235 SEQ=650470398 ACK=0 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (0204058A0103030201010402) 
Nov  1 20:21:54 kernel: DROP IN=vlan1 OUT=br0 SRC=70.71.143.223 DST=10.0.0.8 LEN=58 TOS=0x00 PREC=0x00 TTL=111 ID=10957 PROTO=UDP SPT=11901 DPT=60235 LEN=38 
Nov  1 20:21:54 kernel: DROP IN=vlan1 OUT=br0 SRC=86.126.71.156 DST=10.0.0.8 LEN=52 TOS=0x00 PREC=0x00 TTL=117 ID=9892 DF PROTO=TCP SPT=64409 DPT=60235 SEQ=2744747232 ACK=0 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (020405A00103030201010402) 
Nov  1 20:21:54 kernel: DROP IN=vlan1 OUT=br0 SRC=85.130.67.217 DST=10.0.0.8 LEN=48 TOS=0x00 PREC=0x00 TTL=116 ID=7821 DF PROTO=TCP SPT=59199 DPT=60235 SEQ=1389011812 ACK=0 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (020405B401010402) 
Nov  1 20:21:54 kernel: DROP IN=vlan1 OUT=br0 SRC=88.161.175.14 DST=10.0.0.8 LEN=58 TOS=0x00 PREC=0x00 TTL=108 ID=31552 PROTO=UDP SPT=36385 DPT=60235 LEN=38 
Nov  1 20:21:54 kernel: ACCEPT IN=vlan1 OUT=br0 SRC=96.55.221.97 DST=10.0.0.8 LEN=52 TOS=0x00 PREC=0x00 TTL=111 ID=4043 DF PROTO=TCP SPT=56269 DPT=60235 SEQ=347246105 ACK=0 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (020405B40103030201010402) 
Nov  1 20:21:54 kernel: ACCEPT IN=vlan1 OUT=br0 SRC=80.185.160.169 DST=10.0.0.8 LEN=58 TOS=0x00 PREC=0x00 TTL=110 ID=31109 PROTO=UDP SPT=28636 DPT=60235 LEN=38 
Nov  1 20:21:54 kernel: DROP IN=vlan1 OUT=br0 SRC=80.185.160.169 DST=10.0.0.8 LEN=52 TOS=0x00 PREC=0x00 TTL=110 ID=31110 DF PROTO=TCP SPT=56910 DPT=60235 SEQ=2625179591 ACK=0 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (020405AC0103030201010402) 
Nov  1 20:21:54 kernel: DROP IN=vlan1 OUT=br0 SRC=201.88.25.75 DST=10.0.0.8 LEN=58 TOS=0x00 PREC=0x00 TTL=111 ID=16444 PROTO=UDP SPT=48486 DPT=60235 LEN=38 
Nov  1 20:21:54 kernel: DROP IN=vlan1 OUT=br0 SRC=112.198.79.161 DST=10.0.0.8 LEN=48 TOS=0x00 PREC=0x00 TTL=180 ID=42229 PROTO=TCP SPT=36739 DPT=60235 SEQ=4017661542 ACK=0 WINDOW=57344 RES=0x00 SYN URGP=0 OPT (020404BA01010402)

Роутер — Asus WL 500 GP (v1). Бедолага захлебывается (постоянно загрузка под 70-80% CPU, пинги до него по 200 ms) Позвонил провайдеру — посоветовали или напрямую к ПК подключать или переходить обратно на серый IP. Я с таким не согласен. Может есть какой роутер, который может выстоять такие серьезные отаки? И вообще, с какого хера меня решили ДДОСить, это второй вопрос.

Рабочее название проекта
UDS 13.04: удаление альфа релизов и судьба Nautilus

Ответ на: комментарий от x3al

Тоже сначала так подумал (особенно долбаный uTP у utorrent может положить роутер вместе с DHT). Отключил. Все равно. Сейчас, вроде попустило.

GreenBag ★★
() автор топика
Ответ на: комментарий от Ramen

Смени IP. К.О.

А толку? завтра и новый могут начать.

GreenBag ★★
() автор топика

Железка у тебя архислабая, какой там хоть поток? :)
Возьми что-нибудь на AR7161, хотя от настоящего DDoS это не спасет.
Побань ботосеть, для начала...

pekmop1024 ★★★★★
()
Ответ на: комментарий от pekmop1024

Да я не особый гуру в этом деле (в плане сетевой премудрости). Вот, хотя бы если взять тот кусок, что я выше предложил: это что, каждый IP банить? И какой это результат будет иметь? Ведь все равно роутеру придется обрабатывать пакеты и просто их банить — таже ведь загрузка будет, не? А железка простейшая, дык для дома же брал. Думал, зачем больше. Надеялся, что мой пров должен как-то что-то тоже предпринять.

GreenBag ★★
() автор топика
Ответ на: комментарий от GreenBag

Отключил. Все равно.

А ты думаешь, что как только ты вырубишь торренты, у тебя сразу входящий трафик исчезнуть должен что ли?

Ramen ★★★★
()
Ответ на: комментарий от GreenBag

Прову твоему все равно, пока это на их магистралях не отражается.
А побанить можно простейшим DDoS deflate скриптом.

pekmop1024 ★★★★★
()
Ответ на: комментарий от paint

Да, дома стоит. Но эт точно не торренты. Ибо сегодня с другой машинки родные тоже пытались зайти днем в нет — бесползено. А там точно торрента не было.

GreenBag ★★
() автор топика
Ответ на: комментарий от GreenBag

Какая разница, с какой машины, если она за тем же роутером? О_о

Ramen ★★★★
()
Ответ на: комментарий от Kuzz

Да, это подозрительно таки.

Ramen Ну, как какая: на моей машинке есть торрент клиент, там (на другом лэптопе) его нет. И уже дня 2 я не качаю ничего. Т.е. «осадочных» (ну, т.е. я обрубил торрент клиент, а ко мне до сих пор пиры «ломятся») явлений по идее не должно быть.

GreenBag ★★
() автор топика
Ответ на: комментарий от CYB3R

CYB3R Ты разделом не ошибся?

Возможно, просто не знал куда поместить это.

GreenBag ★★
() автор топика

У меня в прошивке роутера от производителя была функция «защита от DDoS». Не знаю, что она должна делать.

CYB3R ★★★★★
()
Ответ на: комментарий от CYB3R

У меня тоже такая есть. Включена. Может отрубить (:

GreenBag ★★
() автор топика

DST=10.0.0.8

У роутера такой адрес внутри провайдерской сети?

observer ★★★
()
Ответ на: комментарий от GreenBag

Не могу, мак привязан к аутентификации у прова.

Позвони, скажи: «Поменял роутер». Обычно меняют.

i-rinat ★★★★★
()

Микротик купи. Скорее канал забьётся, чем он ляжет под нагрузкой. uTP и прочее щёлкает как семечки.

yu-boot ★★★★★
()

DPT=60235

посмотри настройки торрент-клиента, это оно?

И если да, то что ж ты такое раздавал, раз такой интерес?)

cvs-255 ★★★★★
()
Последнее исправление: cvs-255 (всего исправлений: 1)
Ответ на: комментарий от CYB3R

там в нутрях модифицированный дебиан, дд-врт там просто не нужен.

stels ★★★
()

У меня знакомый виндузятник как-то установил себе wireshark. Потом он стал параноиком.

Rost ★★★★★
()

Защита от DoS/DDoS на роутере не помогает? А то на моём имеется какая-то.

Quasar ★★★★★
()
Ответ на: комментарий от GreenBag

Тогда подумай, кто и за что тебя может ддосить.

Quasar ★★★★★
()
Ответ на: комментарий от GreenBag

Значит ты пропустил простую вещь: твой роутер на данный момент слишком слабый. Как вариант можешь купить микросервачок на x86 и повтыкать туда сетевух и WiFi.

Quasar ★★★★★
()

ossec, если потянет конечно, судя из треда прошивка на дебиане

anonymous_sama ★★★★★
()
Ответ на: комментарий от GreenBag

какой результат

Хороший результат. На работе на анти-дос серваке в бане порядка 2-3 миллионов адресов, при каждом последующем ддосе тем же ботнетом до nginxa доходит всё меньше и меньше гавна. Вплоть до того что сейчас лог уже можно читать глазами и добанивать особо ебанутых в соседней консоли по мере надобности.

svr4
()
Ответ на: комментарий от CYB3R

А как у них с dd-wrt?

А зачем тебе именно DD-WRT? Там такая же система на базе линукса, со своим замечательным интерфейсом.

yu-boot ★★★★★
()

Ну что ж. Тогда буду эксперементировать с банами подсетей. Спасибо за помощь всем.

GreenBag ★★
() автор топика

думаю роутер который умеет динамические ACL тебя спасёт. модель не подскажу

PakMaH
()
Ответ на: комментарий от GreenBag

Поставь туда rtn прошивку от энтузиастов - пошустрее работает. А в торренте надо количество пиров уменьшать, ибо не любят старые железки кучу коннектов через себя.

Deleted
()
Ответ на: комментарий от yu-boot

Я юзал вот этот роутер. У них даже можно подключиться удалённо по telnet, только интерфейс там командный, а не привычный файловый.

CYB3R ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Рабочее название проекта
Talks
UDS 13.04: удаление альфа релизов и судьба Nautilus