 |
| ru |
 |
updated 06.08.09 19:32 06-08-09 @ 18:33
adminion  : Повелитель Земли  
Хроники DDoS
|
Для тех кто понимает...
Был syn flood на веб сервера, также на завал обоих ДНС серверов UDP flood, дальше попытка завала фаерволл-кластера за счет истощения активных коннектов (т.е. открывает соединение и подвешивает его). Но благо машинки фаерволл ноды мощные! Но первую волну syn flood мы пропустили, неожиданно мощной оказалась.
График за сутки на ближайшем к нам свиче у провайдера (он не отображает полной картины):
Обычно когда идет атака, начинающие ддосеры используют параметры статические, а здесь была динамика - изменение параметров на лету каждые 5 минут (один блок ставишь, а он через 5 минут перестает работать). Потом стали отлавливать по сегментам откуда трафик идет, много очень было из Гонконга и Вьетнама, мы роутинг до них обрубили после того как те не ответили на 4 наших запроса. Ддос после этого упал резко. Выиграли время чтобы написать пару скриптов для авто-детекта новой волны атаки. Когда пошла следующая на 700 мегабит, там был просто syn flood на уязвимое место в скриптах, потому никто не мог авторизоваться в игру (что указывает на дополнительную подготовку к проведению атаки).
Поставили rate-limiter так называемый - фиксировали количество пакетов за единицу времени, тем самым все что вылетало за рамки в блок сразу летело в мусор. И тут возникли проблемы с тем, что ИПов было сотни тысяч, таблица блока переполнилась. В результате мы пересобрали ядро на фаерволле и привинтили внешние листы для блокировок, чтобы сама таблица не была полной. Теперь до 2 миллионов уникальных IP можем держать.
Также в детекции помог провайдер TeliaSonera, они дали полные данные по типам атаки достаточно быстро. Но вот с блокировкой они тормознули, не хотели сначала ничего делать. Пришлось поднимать регионального менеджера...в результате они блокировку также и у себя выставили.
На данный момент он тихо отмирает, боты быстро не умирают сами ...
Для сравнительного анализа привожу данные графики:
график понедельный (на нем Вы можете видеть слабенькую атаку, про которую мы даже не сообщали)
P.S. Выражаем благодарность провайдерам, хостерам и всем, кто принимал участие в устранении атак, а также ддосерам (которые прекратили атаки).
|
 Smiles disabled in this post. Total disscussion threads: 30 Pages: 2
1 2 » »»
Disscuss opened for regisered users only.
 |
|
| Извините за нескромный вопрос - в БК что сменился менеджмент? Подробное объяснение, ответы в комментариях, реальная работа. Раньше ограничились бы одной строчкой... Теперь всегда так будет - или просто вчера какая-то вечеринка была у вас по поводу удачного отражения дос атаки и потом дружно решили посидеть в скроллах? ))) |
|
|
|
 |
|
Я тоже об этом подумала, но даже не в этом дело... Нам рассказывают что делают и показывают себя как люди заботящиеся о нашем комфорте, что очень радует.
Спасибо за сделанную работу. |
|
|
|
|
|
+1 И все-таки они работают и умеют это делать, что бы там не говорили. Спасибо. |
|
|
|
 |
|
| Очень интересно. |
|
|
|
 | | Тир
07-08-09 @ 15:22
Re: Хроники DDoS |
 |
|
| Ничего в этом непонимаю справились значит профи) Главное помоему что админия всетаки начала вести диалог с игроками! это очень важно что появляются возможности у народа узнать как обстоят дела в трудных ситуациях от небожителей чтото спросить высказать свою точку зреня и при этом быть услышинным! это очень радует! надеюсь со временем диалог между админией и игроками будет обыденной практикой) |
|
|
|
 | | Bestman
07-08-09 @ 16:02
Re: Хроники DDoS |
|
|
Уважаемая Администрация проекта после этих нападений не могу войти в бк ввожу ник пороль начинается загрузка поевляется сообщение с токим под текстом
Error loading: User.Exchange
Framework
User.Framework
User.Window
Window
Messages
|
|
|
|
 |
|
Это сообщение выводится если не смогли догрузиться джава-скрипты, например из-за плохого инета или забитого канала.
Кеш почистить надо и перезайти. |
|
|
|
 | | KSA-JOKER
08-08-09 @ 00:43
ХЕЛП ПЛИЗ % Ваш IP временно заблокирован... '79.172.107.110' |
|
|
немогу войти в бяку и инфу свобю просмотреть немогу
Произошла ошибка:
Вам необходимо войти с титульной страницы сайта.
Назад
то что я вижу снизу идёт попытка входа аточне попыток 20 одна за одной а потмо вот на титулку отправляет |
|
|
|
 |
|
| ребята за что им спасибо?за ддос атаки?а вы kwxit бы про лаги и баги Бк подумали!они вот развечто это зделали и все!а зделать остальное и чтобы сервера работали без лагов и всякой чепучхи! |
|
|
|
 |
|
Увожаемая администрация я уже почти 3 года хочу создать клан, мне отказали 2 раза,
Первый раз - даже не обьяснили причину.
Второй раз - потребовали сменить название клана.
Это уже на данный момент 3й раз Заявка принята - 07.08.2009 17:01 я посоветовался со многими тарманами и паладинами, что все ли в порядке с моей заявкой, они посмотрели и сказали все в порядке но все же ,, все зависит от вас.
Многоувожаемый все же прошу вашей помощи, как можно быстрее расмотреть на мою заявку ,, а то мы уже 3 года с друзьями заждались иметь свой клан. Прошу если можно предупредите меня исправить ошибку(если такое конечно будет) вместо отказа.
Заранее спасибо !!! |
|
|
|
 | | Тень зла
01-10-09 @ 20:03
Re: Хроники DDoS |
|
|
Очень популярная DoS атака заключается в посылке большого числа SYN
пакетов на ваш сервер. При этом установка TCP связи не доводится до
конца. Очередь полуоткрытых запросов соединений быстро заполняется,
что мешает установке нормальных соединений. Так как соединение не
должно быть обязательно завершено, такая атака не требует больших
ресурсов от атакующей машины, поэтому её легко реализовать и
контролировать.
Если параметр tcp_syncookies установлен (доступен только когда ядро
собрано с CONFIG_SYNCOOKIES), тогда ядро обрабатывает SYN пакеты TCP в
обычном режиме до тех пор, пока очередь не заполнится. После
заполнения очереди включается механизм SYN cookies.
SYN cookies вообще не использует очередь SYN. Вместо этого ядро
отвечает на каждый SYN пакет, как обычно SYN|ACK, но туда будет
включено специально сгенерированное число на основе IP адресов и
портов источника и получателя, а также времени посылки пакета.
Атакующий никогда не получит эти пакеты, а поэтому и не ответит на
них. При нормальном соединении, будет послан третий пакет, содержащий
число, а сервер проверит был ли это ответ на SYN cookie и, если да, то
разрешит соединение даже в том случае, если в очереди SYN нет
соответствующей записи.
Тут немного понятнее)
А почему это зделали?.... как по мне так конкуренция, в последнее время появилось очень много онлайн игр, при помощи таких игр, владельцы(компании) которые владеют такими играми имеет очень большие $. Чем меньше онлайн игр, тем больше вероятность что выберут к примеру комбатс, следовательно среднии онлайн будет больше. я помню те времена когда бк был на 1ом месте в топ онайн играх, сейчас к великому сожелению уже нет( |
|
|
|
| | Тень зла
01-10-09 @ 20:11
Re: Хроники DDoS |
|
|
а) Стандартный таумаут. Полуоткрытые соединения по прошествии некоторого времени выбрасываются из буфера. При истощении буфера запросы клиентов на подключение будут проходить с вероятностью C1/C2, где C1 - количество SYN-пакетов от клиента, C2 - количество SYN-пакетов от всех остальных (включая атакующего). Даже при нагрузке на канал атакующего в 6 пакетов в секунду C1/C2 - примерно 1/100, т.е. служба выведена из строя на 99%.
б) Безлимитный буфер полуоткрытых соединений. При нагрузке на канал атакующего 100 Mb/сек и таймауту около минуты очередь полуоткрытых соединений будет занимать примерно 1 Gb памяти, что для крупных серверов не смертельно. Побочный эффект: атакуемый сервер отвечает трафиком, в 3 раза большим, чем трафик атакующего (говорят, что происходит DDoS с умножением в 4 раза), что может привести к истощению пропускной способности канала. Однако, при невозможности истощить ширину канала, защита от атаки будет абсолютной, ни одно клиентское соединение не будет отвергнуто.
в) Очистка наиболее старых полуоткрытых соединений. При переполнении буфера из него удаляется самое старое полуоткрытое соединение. Побочный эффект: если при атаке буфер заполняется за время t, то клиент не сможет подключиться во время атаки, если время подтверждения соединения больше t - его запрос тоже будет выброшен. Например, для нагрузки канала атакующего 4 Мбит/сек и длины буфера 512 (рекомендуемое значение для Win2K) время t - около 50 msec, что гарантированно отбросит все попытки подключения к серверу с диалапа и многие - с выделенных линий. Увеличивая размер буфера, защиту можно свести к предыдущему варианту.
г) SYN COOKIE. После истощения буфера информация, которая не помещается в буфер, отсылается клиенту, который якобы запросил ее. Если клиент - настоящий, то он возвращает информацию обратно, если поддельный - она теряется, причем механизм реализован в рамках RFC по TCP, т.е. его поддерживают и клиенты, не знакомые с этой технологией. Операционная система c SYN COOKIE, независимо от размера буфера полуоткрытых соединений, совершенно неуязвима для SYN-flood атак. Побочный эффект: запрет "больших окон".
Кстати... если требуется помощь, пишите на ник моего чара. |
|
|
|
 | | TUREK
26-10-09 @ 22:58
Re: Хроники DDoS |
|
|
| Да видимо вьетнамцы с китайцами пытались нелегально просочиться через сеть для того что бы забирать работу русским безработным)))) |
|
|
|
Disscuss opened for regisered users only.
Total disscussion threads: 30 Pages: 2
1 2 » »»
|
 |
