作者wens (文思)
看板SYSOP
标题Re: [公告] 批踢踢近日遭受网路阻断攻击
时间Thu Jul 28 11:32:38 2016
※ 引述《fashionjack (神奇杰克)》之铭言:
: 图中之MRTG 报表并未完整揭露资讯,
: 这是PTT内部自行建立的MRTG,还是ISP提供的MRTG?
: 如果是後者,那麽ISP的incoming 其实是PTT 的 outgoing,
: 砸垃圾封包的机器应该在PTT内部,赶紧查内部电脑。
MRTG是批踢踢的 switch 的 uplink port,
所以 incoming 确实是从上游打进来的。
另外
https://mrtg.ptt.cc/network.html 这边的是主机上测量的,
incoming 就是进入主机的。(昨天有乡民在八卦版推文贴的图来自这边)
: 如果是前者,则攻击来自外部, 可 vi /var/log/messages.1 看系统log,
: log中可以看出攻击者(ex:匿名者...)是谁,及攻击server的那一项功能,
: 这些都弄清楚後才能拟定阻拦之道,阻断式攻击来自世界各地,上游很难帮上忙,
: 自行在防火墙(iptable)中加参数就行了。
都打到你家门口把你家前面的路塞满了,你在门口设闸门是没有用的。
能做的就是分析攻击的规则,然後请上游帮你挡,才会有喘息的空间。
另外 DDOS 不见得需要打你有开的服务,只要狂送封包把你的水管塞满就够了。
用 tcpdump 之类的去抓封包来源会有用些。
: 由系统的log 讯息去 google 应该会有很多答案,因为很多都是过去的旧攻击换个目标。
: 针对这类攻击网上早有因应之道,将防火墙参数copy下来,再套上ptt主机就搞定了。
: 或是将系统log po上来家一起想办法。
: ※ 引述《wens (文思)》之铭言:
: : 批踢踢的网路近日来好几次遭受到网路阻断式攻击。
: : https://mrtg.ptt.cc/20160727.day.png
: : https://mrtg.ptt.cc/20160727.week.png
: : 攻击本身并不会造成主机或资料任何毁损,
: : 但攻击期间由於频宽被吃满,会造成使用上的不顺畅或断线,
: : 影响范围包含批踢踢、批踢踢兔、批踢踢网页版。
: : 目前已通知上游请求协助。
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 140.112.30.76
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/SYSOP/M.1469676760.A.9FE.html
1F:推 birdy590: 提醒一下, 其它资讯可以公开, mrtg 不宜203.204.205.201 07/28 13:30
2F:→ birdy590: 现在攻击者也知道你只有 1G 了, 然後呢?203.204.205.201 07/28 13:30
3F:推 hateOnas: 改 1T ?118.166.237.162 07/28 14:09
4F:→ m0806449: 完全看不懂 还是不要乱表示意见比较好190.119.255.182 07/28 14:21
5F:→ wens: 没有然後啊? 140.112.30.76 07/28 15:39
6F:推 birdy590: 转换一下角色, 把自己当成需要打PTT的人203.204.205.201 07/28 16:00
7F:→ birdy590: 应该不难想到揭露这些资讯的结果203.204.205.201 07/28 16:00
8F:→ wens: MRTG公开很多年了,何况台大计中也是公开的 140.112.30.76 07/28 16:40
9F:→ birdy590: 网站公开跟当公告内容意义差很多啊 @@203.204.205.201 07/28 16:43
10F:→ wahaha99: MRTG不管公开不公开, 打到会LAG断线也 1.171.165.93 07/28 17:57
11F:→ wahaha99: 知道效果达到没有 1.171.165.93 07/28 17:57
12F:→ wahaha99: 我比较想问,可不可以公布那些殭屍的IP 1.171.165.93 07/28 17:58
13F:→ tinlans: 先请上游从骨干封锁 UDP,DDoS 大都 UDP 220.132.55.117 07/28 17:58
14F:→ wahaha99: 让大众看看都是些什麽单位的MIS在耍废 1.171.165.93 07/28 17:58
15F:→ tinlans: 你拿 tcpdump 也看不到真实来源 220.132.55.117 07/28 17:58
16F:→ wahaha99: 连殭屍都看不到?这种不合法的包不能直接 1.171.165.93 07/28 17:59
17F:→ wahaha99: drop掉吗... 1.171.165.93 07/28 17:59
18F:→ wahaha99: (我指ISP) 1.171.165.93 07/28 18:00
19F:→ birdy590: 打 PTT 恐怕不会是为了勒索, 同样的成本203.204.205.201 07/28 18:02
20F:→ birdy590: 这些资讯有助於让攻击效果最大化203.204.205.201 07/28 18:02
21F:→ birdy590: 由 botnet 发动的攻击不一定是 UDP 啊203.204.205.201 07/28 18:03
22F:→ birdy590: 上游比较容易的作法也只有在边缘滤掉203.204.205.201 07/28 18:03
23F:→ tinlans: 现在不流行养 botnet 了,都 DNS 反射/ 220.132.55.117 07/28 18:05
24F:→ birdy590: 这年头攻击流量到 20G 以上的都不少见203.204.205.201 07/28 18:05
25F:→ tinlans: 放大攻击等等,用个玩具程式扫,阿猫阿狗 220.132.55.117 07/28 18:05
26F:→ tinlans: 都打得出几 Gbps 的流量 220.132.55.117 07/28 18:05
27F:→ birdy590: 一般业者根本不会有那个能力和设备去洗203.204.205.201 07/28 18:05
28F:→ birdy590: 常见的反射就 DNS/NTP, 但这个容易过滤203.204.205.201 07/28 18:06
29F:→ birdy590: 实务上遇到比较难缠的还是 botnet 搞的203.204.205.201 07/28 18:06
30F:→ tinlans: 先看是不是 UDP flooding 吧,这蛮容易 220.132.55.117 07/28 18:07
31F:→ tinlans: 确认,是的话先请上游处理掉 UDP 220.132.55.117 07/28 18:07
32F:→ tinlans: botnet 用 TCP 打来的就比较无解 220.132.55.117 07/28 18:08
33F:→ tinlans: 手边几台美国 Psychz 机房的机器常被打, 220.132.55.117 07/28 18:10
34F:→ tinlans: 在他们 Edge Layer ACLs 直接 discard 220.132.55.117 07/28 18:11
35F:→ tinlans: UDP 基本上都解了,botnet 这年头少多了 220.132.55.117 07/28 18:11
36F:推 Juan00: 恭喜呀! 49.218.18.23 07/28 20:10
37F:→ wens: 就是请计中在edge挂 ACL 挡啊 140.112.30.76 07/29 00:52
38F:→ c98406023: DNS流量异常 111.253.32.150 07/29 17:57
39F:→ fashionjack: birdy590 观念错误,1G是限流(QoS), 122.116.198.5 07/30 07:13
40F:→ fashionjack: 就算对方用1T,也只1G进得来,其他的 122.116.198.5 07/30 07:15
41F:→ fashionjack: 堆在ISP,这时候上游就有事作了。 122.116.198.5 07/30 07:16
42F:→ birdy590: 从 MRTG 看起来 1G 是实体好吗 111.184.27.83 07/30 16:57
43F:→ birdy590: 我的工作就常常处理这个, 10G 以下无感 111.184.27.83 07/30 16:58
44F:→ birdy590: 常见的 reflection 通常早就封了 111.184.27.83 07/30 16:59
45F:→ birdy590: 可以思考一下, 万一碰上不能简单 ACL 的 111.184.27.83 07/30 17:01
46F:→ birdy590: 攻击应该如何应对... 有人打就代表可能 111.184.27.83 07/30 17:02
47F:→ birdy590: 还会升级, 洗流量不是一般人玩的起的 111.184.27.83 07/30 17:02
48F:→ ShineShineJu: 所以fb到底是F兄对呢还是B兄是对~~ 36.230.110.65 07/31 10:14
49F:→ alans: b兄对+1 不然流量清洗是做什麽的 还收的贵 114.45.118.220 07/31 16:04