, как узнать пул адресов для IP-адресов DDOS-атаки

6

В последнее время я испытывал атаки DDOS на свой почтовый сервер с серией IP-адресов. Я блокировал эти IP-адреса один за другим, используя брандмауэр. Процесс был и остается больным, поэтому я связался с провайдером, ответственным за эти IP-адреса, и ничего не сделано. Прямо сейчас мне нужно узнать пул адресов, к которому они принадлежат, чтобы я мог просто заблокировать весь проклятый пул адресов. У кого-нибудь есть идея, как это сделать?

    
задан chico ahmad 17.08.2015 в 10:52
источник

2 ответа

4

Я предлагаю вам установить iptables , чтобы ограничить число соединений на хост. Ddos может использовать неограниченное количество IP-адресов.

sudo iptables -A INPUT -p tcp --dport 25 -m state --state NEW -m limit --limit 50/minute --limit-burst 200 -j ACCEPT
sudo iptables -A INPUT -m state --state RELATED,ESTABLISHED -m limit --limit 50/second --limit-burst 50 -j ACCEPT
sudo iptables -A INPUT -j REJECT

-p tcp --dport 25 = > Указывает трафик на порт 25 (smtp).

-m state NEW = > Это правило применяется к новым соединениям.

-m limit --limit 50/minute --limit-burst 200 -j ACCEPT = > Это сущность предотвращения DOS.

--limit-burst немного запутанно, но в двух словах допустимо 200 новых соединений (действительно пакетов) до того, как будет применено ограничение 50 новых соединений (пакетов) в минуту.

Второе правило - ограничение установленного трафика Это правило применяется для RELATED и ESTABLISHED всего трафика на всех портах Таким образом, 50 ESTABLISHED (и / или RELATED ) соединений (действительно пакеты) разрешены до того, как применяется ограничение 50 ESTABLISHED (и / или RELATED ) соединений (пакетов) в секунду.

или используйте набор правил для всех входных

sudo iptables -A INPUT -m limit --limit 50/minute --limit-burst 200 -j ACCEPT
sudo iptables -A INPUT -j REJECT

Также у вас есть ответ от Oli и использования whois

    
ответ дан 2707974 17.08.2015 в 11:11
2

Для блока распределения IP-адресов вы можете просто whois иметь IP-адрес. Это позволит вам достичь уровня ISP обычно, если вы не говорите о компании, достаточно большой, чтобы иметь свои собственные ассигнования. Например, вот что я вижу, если я ввожу IP-адрес одного из моих серверов:

$ whois 109.74.xxx.yyy
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: this output has been filtered.
%       To receive output for a database update, use the "-B" flag.

% Information related to '109.74.192.0 - 109.74.199.255'

...

В блоке есть 109.74.192.0 - 109.74.199.255 . Вы можете использовать калькулятор подсети (или большой мозг), чтобы понять, что это 109.74.192.0/21 , и просто заблокировать это.

... Но это сервер lot , а не только мой.

Кажется маловероятным, что DDoS будет поступать только из одной сети. Остальная часть этого ответа предполагает, что мы на самом деле говорим о чем-то, поступающем из многих сетей, хотя некоторые из них могут по-прежнему применяться для входа в одну сеть.

Если вы не можете войти в ситуацию command-and-control по этой бот-сети, что крайне маловероятно, вы никогда не узнаете ее полный объем, вы никогда не узнаете, какие IP-адреса содержит кроме тех, которые подключаются к вам.

Это может не быть атакой отказа в обслуживании, это может быть:

  • Люди пытаются взломать MTA. Как и любая услуга, они иногда содержат недостатки, которые можно протестировать. Mailservers особенно разговорчивы и плохо настроены, что делает их хорошей мишенью. Вы ничего не можете с этим поделать.

  • Является ли это открытым реле? Спамеры просто ретранслируют свою электронную почту через вашу машину? Если да, остановите работу открытого реле.

Обычно я рекомендую не запускать почтовые серверы. Люди, которые делают это профессионально, поскольку их единственная работа имеет тенденцию делать это лучше: сосредоточенная безопасность, большие и более надежные сети и намного лучшее обнаружение спама, которое происходит от сканирования сотен миллиардов входящих писем в день. Стоимость обычно очень оправдана.

    
ответ дан Oli 17.08.2015 в 11:02