最悪.......DDOSにやられたぁ〜〜
1 :login:Penguin:
事情:
最近DDOSくらってXeon2.4 Dual もコテンパンにやられて気分悪いです。
やつらのpayloadはいつもx-flash ていうヘッダが付いてて
iptables , mod_security 、snort 使ってかなりの量のルールで壁作ってんだすけど、どーもいつも破られて..
socket はなくなるし、ApacheのプロセスはMAXでサービス不能状態...
んで:
一個じゃ話にならないので、squid のリバースプロクシ君で負荷分散を図ろうとしてるんっすが中々機能が多っくて設定がだるくなってます...
ちなみにいつもこんな感じ:
netstat -nat | grep SYN | wc -l
956
ps aux | grep apache | wc -l
98
squidのリバース機能に食わしい人、layer 7 content filtering 教えてください。
できれば、推薦するloadblanceも....
もやもや.....
最近DDOSくらってXeon2.4 Dual もコテンパンにやられて気分悪いです。
やつらのpayloadはいつもx-flash ていうヘッダが付いてて
iptables , mod_security 、snort 使ってかなりの量のルールで壁作ってんだすけど、どーもいつも破られて..
socket はなくなるし、ApacheのプロセスはMAXでサービス不能状態...
んで:
一個じゃ話にならないので、squid のリバースプロクシ君で負荷分散を図ろうとしてるんっすが中々機能が多っくて設定がだるくなってます...
ちなみにいつもこんな感じ:
netstat -nat | grep SYN | wc -l
956
ps aux | grep apache | wc -l
98
squidのリバース機能に食わしい人、layer 7 content filtering 教えてください。
できれば、推薦するloadblanceも....
もやもや.....
|
|
|
2 :login:Penguin:2005/12/14(水) 18:02:47 ID:cFXFDUlR
3 :あああ:2005/12/14(水) 18:09:52 ID:IJe1Q6ce
この質問くだらないっすか?
4 :login:Penguin:2005/12/14(水) 18:34:10 ID:WF3DMhBJ
読んだ感じ、かなり切実な感じがする
俺には何にもできんが
誰かが助けてやって欲しい気がする
俺には何にもできんが
誰かが助けてやって欲しい気がする
5 :login:Penguin:2005/12/14(水) 18:50:51 ID:WF3DMhBJ
と書いてみたけど、
squid が稼動する計算機は一台 (標的になってる計算機) だけだから
根本的な負荷分散にすらなってない気がするのは気のせいなのかな
きっと、回避なんてできっこないんだから
金使って、被弾分散用の計算機を買うっていう選択肢はだめなの ?
squid が稼動する計算機は一台 (標的になってる計算機) だけだから
根本的な負荷分散にすらなってない気がするのは気のせいなのかな
きっと、回避なんてできっこないんだから
金使って、被弾分散用の計算機を買うっていう選択肢はだめなの ?
6 :login:Penguin:2005/12/14(水) 19:25:22 ID:kiD3Ivtr
7 :login:Penguin:2005/12/14(水) 19:26:22 ID:IJe1Q6ce
> 4
お言葉ありがとうございます。2chもいい人はいるもんだぁ!
> 5
金ないっす!でも、ロードバランサーはきっと!できると思いますよぉ!
事実ただ今回まけたのは規模が大きすぎる(なぜ折れなのかぁ...)ため、メモリが足りないはめになってるんっす!
もっと詳しく:
パケットのヘッダにx-flashて最初あったのでsnort でこんな感じのルールを20個ぐらい書いて,最初はsnort1つで勝利したのですが
alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (flags:PA; msg:"GET attack"; flow:to_server; content: "GET"; content:"x-flash"; classtype:attempted-NullDataPOST; resp:rst_all; resp:rst_all; resp:rst_all; react:block;)
だけど、どんどんpayloadを変えて、規模も大きくなって、結局だめでした....
snortの無力さに感激し、iptables のconnlimit(同時IPアクセス制御)も..だめ
IPがランダムで、200~500ぐらい(たぶん)だったのであえなく撃沈...
iptablesの芸術に感動し、mod_securityをいじりまくる...が...リソース不足で秒殺...
なので、一台では無理と判断しつつリバースは最適だとひらめく!
キャッシュ機能によりApacheの処理削減
ネットワークの帯域削減
リソースを増やす
フィルタリングを二重化
使用できるソケットを増やす
...なんだけど、お金はあり余ってるわけじゃないので、皆さんの知恵をお借りできれば確実ですが...
お言葉ありがとうございます。2chもいい人はいるもんだぁ!
> 5
金ないっす!でも、ロードバランサーはきっと!できると思いますよぉ!
事実ただ今回まけたのは規模が大きすぎる(なぜ折れなのかぁ...)ため、メモリが足りないはめになってるんっす!
もっと詳しく:
パケットのヘッダにx-flashて最初あったのでsnort でこんな感じのルールを20個ぐらい書いて,最初はsnort1つで勝利したのですが
alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (flags:PA; msg:"GET attack"; flow:to_server; content: "GET"; content:"x-flash"; classtype:attempted-NullDataPOST; resp:rst_all; resp:rst_all; resp:rst_all; react:block;)
だけど、どんどんpayloadを変えて、規模も大きくなって、結局だめでした....
snortの無力さに感激し、iptables のconnlimit(同時IPアクセス制御)も..だめ
IPがランダムで、200~500ぐらい(たぶん)だったのであえなく撃沈...
iptablesの芸術に感動し、mod_securityをいじりまくる...が...リソース不足で秒殺...
なので、一台では無理と判断しつつリバースは最適だとひらめく!
キャッシュ機能によりApacheの処理削減
ネットワークの帯域削減
リソースを増やす
フィルタリングを二重化
使用できるソケットを増やす
...なんだけど、お金はあり余ってるわけじゃないので、皆さんの知恵をお借りできれば確実ですが...
8 :login:Penguin:2005/12/14(水) 19:31:05 ID:IJe1Q6ce
>>6
はい〜はい〜、じゃましないでねぇ〜
はい〜はい〜、じゃましないでねぇ〜
9 :login:Penguin:2005/12/14(水) 20:24:26 ID:3Y4VgDCu
単発質問でスレ立てちゃった後は、
削除依頼して、表向き「ゴメンネ」と言って移動して教えもらえばいいのに。
相手にされないよ、されてないよ。気付いてね。
削除依頼して、表向き「ゴメンネ」と言って移動して教えもらえばいいのに。
相手にされないよ、されてないよ。気付いてね。
10 :login:Penguin:2005/12/14(水) 21:11:01 ID:CTKjCiu8
そもそも2chはそれぞれの板の趣旨に沿って、
既にある程度は知識・経験を持っている者同士が話を
深めていくところなのであって、初心者の質問は板においてはオマケに過ぎない。
手間も費用もかけずにタダで知識をゲットしようなんて甘い、
初心者の質問は無視されても仕方が無い。それが2chの基本。
でも、
「2chの人達ならばこの問題を解決してくれるかもしれない」
と思って2chを訪れる善意の人たちのために、
多くの板ではあくまでも 《 厚意で 》 質問専用スレを用意している。
なのに、
「質問スレだと解答が遅い」
「単発スレのほうがレスが早く着く」
などのふざけた理由で単発スレを立てるヴァカが引きも切らない。
もし、単発スレにいちいち解答していたとしたら、
勘違い厨房が
「やっぱり単発スレの方がすばやく解答をもらえるじゃないか」
と感じて毎日毎日10個も20個も単発質問スレが立ってしまい、
5分前に立った似たような単発スレすらも見付けられないだろう。
そもそもこういう自己中なヴァカは過去ログなんか絶対チェックしない。
そのうちに板内はその手の単発質問スレで埋め尽くされてしまうだろう。
そうなればパート●●とか続いている名シリーズ・スレすらもどんどんDAT落ちしてしまうだろう。
と言う事ぐらい、5秒も考えれば分かりそうなもんだ。
以上のような思いを簡潔にまとめると【 >>1は死ね 】ということになる。
既にある程度は知識・経験を持っている者同士が話を
深めていくところなのであって、初心者の質問は板においてはオマケに過ぎない。
手間も費用もかけずにタダで知識をゲットしようなんて甘い、
初心者の質問は無視されても仕方が無い。それが2chの基本。
でも、
「2chの人達ならばこの問題を解決してくれるかもしれない」
と思って2chを訪れる善意の人たちのために、
多くの板ではあくまでも 《 厚意で 》 質問専用スレを用意している。
なのに、
「質問スレだと解答が遅い」
「単発スレのほうがレスが早く着く」
などのふざけた理由で単発スレを立てるヴァカが引きも切らない。
もし、単発スレにいちいち解答していたとしたら、
勘違い厨房が
「やっぱり単発スレの方がすばやく解答をもらえるじゃないか」
と感じて毎日毎日10個も20個も単発質問スレが立ってしまい、
5分前に立った似たような単発スレすらも見付けられないだろう。
そもそもこういう自己中なヴァカは過去ログなんか絶対チェックしない。
そのうちに板内はその手の単発質問スレで埋め尽くされてしまうだろう。
そうなればパート●●とか続いている名シリーズ・スレすらもどんどんDAT落ちしてしまうだろう。
と言う事ぐらい、5秒も考えれば分かりそうなもんだ。
以上のような思いを簡潔にまとめると【 >>1は死ね 】ということになる。
11 :login:Penguin:2005/12/14(水) 22:53:07 ID:nQzbbvI+
回答できるほどスキルある奴がいないだけ
12 :login:Penguin:2005/12/14(水) 22:54:52 ID:aLx7eMx8
もう少しまともなスレタイつければいいのに。
解決したら使い回し出来ないじゃん。
解決したら使い回し出来ないじゃん。
13 :login:Penguin:2005/12/14(水) 23:01:29 ID:pObTYufT
DDOS対策検討スレッドとかにすればまだ使いまわしも効いたろうに
14 :login:Penguin:2005/12/14(水) 23:26:30 ID:IJe1Q6ce
>>10
たしかにいちいち答えたらキリがないのは分かる。
だた
例にあまりないと思ったのと、書籍+検索しても中々見つけられるものではない(ツーかない)
一応、今後DDOSの攻撃にあった人が参考できるようにと考えたもしたが、"死ね"って言われたんじゃしょがないなぁ
(死んだら何もできないもんねぇ!)
でも、俺は10さんがいう ”厚意”とスキルがあるの人の解答を待ってるだけで、その他の、精神不安定な文章は避けてほしぁ!
以上です!
たしかにいちいち答えたらキリがないのは分かる。
だた
例にあまりないと思ったのと、書籍+検索しても中々見つけられるものではない(ツーかない)
一応、今後DDOSの攻撃にあった人が参考できるようにと考えたもしたが、"死ね"って言われたんじゃしょがないなぁ
(死んだら何もできないもんねぇ!)
でも、俺は10さんがいう ”厚意”とスキルがあるの人の解答を待ってるだけで、その他の、精神不安定な文章は避けてほしぁ!
以上です!
15 :login:Penguin:2005/12/14(水) 23:48:42 ID:HPGpvgH1
どうせ中国とか韓国からだから、iptablesで国ごとdropしろ。
16 :login:Penguin:2005/12/14(水) 23:55:21 ID:IJe1Q6ce
不特定な所が面白いんですねぇ〜
もしIPでブロックできるならconnlimitでの制限はしなかったです。
もしIPでブロックできるならconnlimitでの制限はしなかったです。
17 :login:Penguin:2005/12/15(木) 00:10:53 ID:6k+letuX
18 :login:Penguin:2005/12/15(木) 01:03:35 ID:T69qzLTc
microsoftのあらし社員も多いし
無視が一番
無視が一番
19 :login:Penguin:2005/12/15(木) 01:13:20 ID:XL6v4L5o
いきなりクソスレ立てたりとか、恨まれる要素は十二分にあるな。
20 :login:Penguin:2005/12/15(木) 17:44:48 ID:1goPsEHo
21 :login:Penguin:2005/12/15(木) 18:57:42 ID:x8PzlvYg
DDOSじゃなくてDOSじゃないか?
ソースアドレスの偽装なんて簡単にできるし
ソースアドレスの偽装なんて簡単にできるし
22 :login:Penguin:2005/12/15(木) 19:48:38 ID:qBgpBl57
このスレのどこをどう読めば DOS ってわかるんだろね
なんだかすげえやつらが結集してる感じがする
実際には、DOS なのか、DDOS なのかは 1 しか知らんはずだし
1 が DDOS っていってるから DDOS なんじゃないのって程度だと思うんだけどね
ま、どうでもいいことだわな
なんだかすげえやつらが結集してる感じがする
実際には、DOS なのか、DDOS なのかは 1 しか知らんはずだし
1 が DDOS っていってるから DDOS なんじゃないのって程度だと思うんだけどね
ま、どうでもいいことだわな
23 :login:Penguin:2005/12/15(木) 19:59:36 ID:Hvx5JXDr
これが単発スレのクオリティ
24 :login:Penguin:2005/12/16(金) 01:31:31 ID:4cSzn+Ni
これより腐ったスレの方が多いと思うがな
誰か助けてやれないのか?
誰か助けてやれないのか?
25 :login:Penguin:2005/12/16(金) 01:56:15 ID:dQ/SRZ0Y
反撃しとけ
26 :login:Penguin:2005/12/16(金) 23:06:29 ID:2GxSF9y4
>>24
実は、>>4 = >>5 = >>20 = >>22 なんだけどね。初めは、それなりに期待はしていたんだ。
俺は、やっぱり
>>5
> きっと、回避なんてできっこないんだから
と思えてしょうがないんだ。
で、「根本的な回避策」が知ることができるんだったらメッケもんだなぁ、
とか思って興味深く観察しようと思ったんだ。
# 以前、自分が調べて範囲では ISP 間連携による事前予知みたいな感じで、
# 具体的に何をどうするのかよく分かんなかった。
# けど、少なくとも 1 一人ではどうにもなんない感じがするんだ。
1 はそれを計算機の能力でねじ伏せようとしている感じにみえた。
そして、1 は力で解決する方法として、
外部に晒されるパケットを受ける計算機一台で出来るはずだという、
俺にはよく納得ができないことが書いてあったんだ。
>>1
> socket はなくなるし、ApacheのプロセスはMAXでサービス不能状態...
って書いてあるから、力でねじ伏せるならパケットを受ける計算機を大量に分散させて、
ソケット数を増やすしか無いんだろうなって、俺は思ったんだ。でね、
>>1
> 使用できるソケットを増やす
って限度があると思うんだ。それ以前に、
squid でリバースプロキシにしても、ソケット数はきっと増えたりしないんだろな、って思ったんだ。
squid が fork() する実装の場合、一台の計算機に大量のプロセスが走るんだろな、って思ったんだ。
いずれにしても、ハードウェアの制約以上に、ソフトウェアの制約のほうが大きく影響しそうな気がしたんだ。
実は、>>4 = >>5 = >>20 = >>22 なんだけどね。初めは、それなりに期待はしていたんだ。
俺は、やっぱり
>>5
> きっと、回避なんてできっこないんだから
と思えてしょうがないんだ。
で、「根本的な回避策」が知ることができるんだったらメッケもんだなぁ、
とか思って興味深く観察しようと思ったんだ。
# 以前、自分が調べて範囲では ISP 間連携による事前予知みたいな感じで、
# 具体的に何をどうするのかよく分かんなかった。
# けど、少なくとも 1 一人ではどうにもなんない感じがするんだ。
1 はそれを計算機の能力でねじ伏せようとしている感じにみえた。
そして、1 は力で解決する方法として、
外部に晒されるパケットを受ける計算機一台で出来るはずだという、
俺にはよく納得ができないことが書いてあったんだ。
>>1
> socket はなくなるし、ApacheのプロセスはMAXでサービス不能状態...
って書いてあるから、力でねじ伏せるならパケットを受ける計算機を大量に分散させて、
ソケット数を増やすしか無いんだろうなって、俺は思ったんだ。でね、
>>1
> 使用できるソケットを増やす
って限度があると思うんだ。それ以前に、
squid でリバースプロキシにしても、ソケット数はきっと増えたりしないんだろな、って思ったんだ。
squid が fork() する実装の場合、一台の計算機に大量のプロセスが走るんだろな、って思ったんだ。
いずれにしても、ハードウェアの制約以上に、ソフトウェアの制約のほうが大きく影響しそうな気がしたんだ。
27 :login:Penguin:2005/12/18(日) 16:11:52 ID:V6/LiQwF
>>1
このへん買えば万事解決だろ。
Cisco Guard XT 5650
http://www.cisco.com/japanese/warp/public/3/jp/product/hs/security/gdma/prodlit/gxt5600_ds.shtml
DefensePro
http://www.radware.co.jp/product/dp/index.html
Attack Mitigator IPS 5500
http://www.toplayer.co.jp/products/01_amips55.html
このへん買えば万事解決だろ。
Cisco Guard XT 5650
http://www.cisco.com/japanese/warp/public/3/jp/product/hs/security/gdma/prodlit/gxt5600_ds.shtml
DefensePro
http://www.radware.co.jp/product/dp/index.html
Attack Mitigator IPS 5500
http://www.toplayer.co.jp/products/01_amips55.html
28 :login:Penguin:2005/12/18(日) 19:06:29 ID:3lHCkB0a
>>26 .. >>1 です。
ここでいうソケットを増やすって方法は、
DDOSでリクエストされたパケットは変化しないため(この例では)
squidの機能からいうと、キャッシュに使うリソースはそんなにない〜、
squidのキャッシュ機能を基盤にして、apache(サーバ本体)に直接リクエストをさせないのが狙いなんだ ^^;
まっ!導入して、半減できたんで、よかったです^^;
ここでいうソケットを増やすって方法は、
DDOSでリクエストされたパケットは変化しないため(この例では)
squidの機能からいうと、キャッシュに使うリソースはそんなにない〜、
squidのキャッシュ機能を基盤にして、apache(サーバ本体)に直接リクエストをさせないのが狙いなんだ ^^;
まっ!導入して、半減できたんで、よかったです^^;
29 :login:Penguin:2006/10/21(土) 05:46:49 ID:scbsH2bI
佐賀県 佐賀県民 佐賀県庁 知事 ナウイ 汚職 金 ゲッツ 談合 贈収賄 つぶれそう 個人情報流出
隠蔽 江頭2:50伝説 「1クールのレギュラーよりも、1回の伝説」 良い 悪い 好き 嫌い 自殺
談合 内部告発 教育委員会 官官接待 天下り 不正受給 Share eDonkey
韓国 謝罪 生活保護 飲酒運転 公務員 親族の経営する WinMX OpenNap
闇金 職員 わいせつ行為 自殺 市民オンブズマン 共産党 Winny ONT2ch
レイプ 強姦 強制わいせつ 下着 婦女暴行 パンチラ のぞき 植草一秀 佐賀県
_,,..r'''""~~`''ー-.、
,,.r,:-‐'''"""~~`ヽ、:;:;:\
r"r ゝ、:;:ヽ
r‐-、 ,...,, |;;;;| ,,.-‐-:、 ヾ;:;ゝ
:i! i! |: : i! ヾ| r'"~~` :;: ::;",,-‐‐- `r'^! 佐賀県庁の「危機管理・広報課」さん見てる〜?
! i!. | ;| l| ''"~~ 、 i' | イェ〜イ!
i! ヽ | | | ,.:'" 、ヽ、 !,ノ
ゝ `-! :| i! .:;: '~~ー~~'" ゙ヾ : : ::|
r'"~`ヾ、 i! i! ,,-ェェI二エフフ : : :::ノ~|`T
,.ゝ、 r'""`ヽ、i! `:、 ー - '" :: : :/ ,/
!、 `ヽ、ー、 ヽ‐''"`ヾ、.....,,,,_,,,,.-‐'",..-'"
| \ i:" ) | ~`'''ー---―''"~
ヽ `'" ノ
隠蔽 江頭2:50伝説 「1クールのレギュラーよりも、1回の伝説」 良い 悪い 好き 嫌い 自殺
談合 内部告発 教育委員会 官官接待 天下り 不正受給 Share eDonkey
韓国 謝罪 生活保護 飲酒運転 公務員 親族の経営する WinMX OpenNap
闇金 職員 わいせつ行為 自殺 市民オンブズマン 共産党 Winny ONT2ch
レイプ 強姦 強制わいせつ 下着 婦女暴行 パンチラ のぞき 植草一秀 佐賀県
_,,..r'''""~~`''ー-.、
,,.r,:-‐'''"""~~`ヽ、:;:;:\
r"r ゝ、:;:ヽ
r‐-、 ,...,, |;;;;| ,,.-‐-:、 ヾ;:;ゝ
:i! i! |: : i! ヾ| r'"~~` :;: ::;",,-‐‐- `r'^! 佐賀県庁の「危機管理・広報課」さん見てる〜?
! i!. | ;| l| ''"~~ 、 i' | イェ〜イ!
i! ヽ | | | ,.:'" 、ヽ、 !,ノ
ゝ `-! :| i! .:;: '~~ー~~'" ゙ヾ : : ::|
r'"~`ヾ、 i! i! ,,-ェェI二エフフ : : :::ノ~|`T
,.ゝ、 r'""`ヽ、i! `:、 ー - '" :: : :/ ,/
!、 `ヽ、ー、 ヽ‐''"`ヾ、.....,,,,_,,,,.-‐'",..-'"
| \ i:" ) | ~`'''ー---―''"~
ヽ `'" ノ
板違いだな
終わっとけ
終わっとけ