Друзья! Всем привет!

Имеем CentOS 5.2 На нём биллинг и хостинг

Вопрос в следующем.
Есть сервер, на нём хостится 8 сайтов, 3 домена 2-го уровня, а остальные субдомены каждого из верхнего уровня.
Есть подозрение, что мой сервак атакуют, а именно DDoS.
У меня сначала возрастают пинги с 50мс до 400-600мс и даже до 2000 мс. Так он держится минут 10-15 и потом не отвечает. У меня написан скрипт, если не пингуется IP-адрес в сети интернет, то сервак сам идёт в перезагрузку.
Спустя время, от 5 минут до нескольких часов сервер наконец-то начинает отвечать, и с нормальными пингами от 30 до 60 мс.

Вопрос в следующем, как определить что именно произошло с сервером, почему он перестал отвечать, и если подтвердится что это DDoS, то как определить какой именно домен атакуют...

Заранее благодарен.

собственно, вот это должно помочь думаю, если разберетесь, и все заработает, отпишите)

Для просмотра скрытого содержимого необходимо иметь 10 сообщений, у вас 0 сообщений.

Для просмотра скрытого содержимого необходимо иметь 12 сообщений, у вас 0 сообщений.

sultan347 написал(а):

*** скрытое содержание ***

А это что? Работа с базой данных MySQL? Что это такое и что с этим делать?

Добавлено через 14 минут


usasoft написал(а):

собственно, вот это должно помочь думаю, если разберетесь, и все заработает, отпишите)
*** скрытое содержание ***

если честно, то не разобрался, что нужно сделать с этим скриптом?

nops написал(а):

А это что? Работа с базой данных MySQL? Что это такое и что с этим делать?


Суть в том, фиксируется обращения тебе за последние 2 минуты

Логи для чего придумали? Просмотрите их, может на что-то попадете.
Я в apache22 добавил модуль mod_evasive
http://www.lissyara.su/articles/freebsd/www/mod_evasive/ (https://href.li/?http://www.lissyara.su/articles/freebsd/www/mod_evasive/)
Также в ipw добавил пару правил. Ось Фря 7.2

На сервере крутится БД? Если да, то посмотри что с ней творится - может есть какие-то проблемы в оптимизации или же медленные запросы висят толпами и грузят процессор. То же касается и скриптов на твоём хостинге.

И хорошо бы написать какая конфигурация железа, статический или динамический IP, может проблему не там ищешь...

P.S. DDOS лучше всего определять и ликвидировать с помощью iptables+limit+log, в нете масса инфы на эту тему.

раньше всё было нормально, изменений никаких не делал.
Началась такая фигня. При чём бывает что серв по нескольку раз за вечер уходит в даун, а бывает 3 недели без проблем работает.

nops написал(а):

раньше всё было нормально, изменений никаких не делал.
Началась такая фигня. При чём бывает что серв по нескольку раз за вечер уходит в даун, а бывает 3 недели без проблем работает.



Посмотрите снифером на кол-во соединений по 80 порту

http://tty.org.ru/node/30 (https://href.li/?http://tty.org.ru/node/30)
http://dd0s.blogspot.com/ (https://href.li/?http://dd0s.blogspot.com/)
http://it-man.su/2009/04/27/netstat-smotrim-kolichestvo-podklyuchenijj/ (https://href.li/?http://it-man.su/2009/04/27/netstat-smotrim-kolichestvo-podklyuchenijj/)

Друзья. Так-то разобраться не могу. Смотрю по биллинговой системе. Какие запросы и пакеты куда проходили. В результате смотрю, и оказалось, что на 80-й порт запросов оч мало.
Вот скрин из биллинга:

http://www.novour.com/3.jpg



Может я что-то не понимаю?
Из скрина видно, что серв был в дауне с 0:19:40 до 2:47:41(это время)
Затёртые это мой IP.

Картину траффика нуно. Траф однородными пакетами шел?
На какие порты? IP адреса которые гнали траф сколько их было?
Объем прокаченного трафика.

pikasun написал(а):

Картину траффика нуно. Траф однородными пакетами шел?
На какие порты? IP адреса которые гнали траф сколько их было?
Объем прокаченного трафика.


Дык на скрине и погляди. Там указан и источник и получатель, и порты источника и получателя, количество пакетов и объём.....

nops написал(а):

Дык на скрине и погляди. Там указан и источник и получатель, и порты источника и получателя, количество пакетов и объём.....


скрин мелок, мне не разобрать.

На мой взгляд - все нормально, DDos отсутствует. Гляди логи.

nops написал(а):

Дык на скрине и погляди. Там указан и источник и получатель, и порты источника и получателя, количество пакетов и объём.....



Если это вся информация на скрине - тогда чисто, согласен.
Сетевое подключение на коммутаторе 100 мб? Что на порту коммутатора твориться потери есть нет?

скрин: http://www.novour.com/3.jpg (https://href.li/?http://www.novour.com/3.jpg)
Я вот тоже на нашёл, это скрин из биллинговой системы. Подробный трафик по всем направлениям.
Стоит PC Router, потери есть, но не большие, из 1000 пакетов теряются только не более 10-ти. Канал в инет 1Мбит. от провайдера в здание по радио-модему и от модема ко мне по витой паре.
Раньше всё было так же, а проблемы начались сейчас только. точнее месяца 2-3 назад.

nops написал(а):

скрин: http://www.novour.com/3.jpg (https://href.li/?http://www.novour.com/3.jpg)
Я вот тоже на нашёл, это скрин из биллинговой системы. Подробный трафик по всем направлениям.
Стоит PC Router, потери есть, но не большие, из 1000 пакетов теряются только не более 10-ти. Канал в инет 1Мбит. от провайдера в здание по радио-модему и от модема ко мне по витой паре.
Раньше всё было так же, а проблемы начались сейчас только. точнее месяца 2-3 назад.



Мы тоже раздаем по радио... Есть наводки от другого оборудования
кто-то включил например куевину какую нить.
Есть погода будь она не ладна. Картины меняются так или иначе.
Недавно засекли новую точку она забивала канал телевидения.
Оппа новый провайдер - здрасте! И все по закону не подкопаешься )))
Пусть провы пинг до оборудования дадут.
Подсунь тестовую тачку с web сервером и попинай ее из вне.

пока я закрыл пинг на сервере, icmp -j DROP(правило в iptables)Пока, тфу тфу тфу, работает пока 11 часов без обрывов...........

pikasun написал(а):

....
Недавно засекли новую точку она забивала канал телевидения.
Оппа новый провайдер - здрасте! И все по закону не подкопаешься )))
......


На самом деле подкапаться в данном случае очень даже можно, если найдётся желающий. И "новый провайдер" может в том числе огрести значительных проблем в случае помех другим участникам радио-эфира, особенно приоритетным, таким, как телевиденье. В радионадзор надо жаловаться - приедут, вычислят, предупредят нарушителя о внесении им помех в эфир, предъявят требование устранить, а при обнаружении других нарушений могут и серьёзно наказать... А у нас в CIS что-то делать, и не нарушить при этом десятки чиновьичих норм, правил, распоряжений просто не возможно, поэтому, умные люди в таких случаях быстро всё устраняют, чтобы меньше иметь трения и общения с чиновниками

Akme написал(а):

На самом деле подкапаться в данном случае очень даже можно, если найдётся желающий. И "новый провайдер" может в том числе огрести значительных проблем в случае помех другим участникам радио-эфира, особенно приоритетным, таким, как телевиденье. В радионадзор надо жаловаться - приедут, вычислят, предупредят нарушителя о внесении им помех в эфир, предъявят требование устранить, а при обнаружении других нарушений могут и серьёзно наказать... А у нас в CIS что-то делать, и не нарушить при этом десятки чиновьичих норм, правил, распоряжений просто не возможно, поэтому, умные люди в таких случаях быстро всё устраняют, чтобы меньше иметь трения и общения с чиновниками


С радионадзором и засекли Особых проблем не было, если не вдаваться в подробности!

pikasun написал(а):

С радионадзором и засекли Особых проблем не было, если не вдаваться в подробности!


Тут конечно есть свои моменты:
- в каком государстве ситуация (надо смотреть соответствующие местные законы;
- независимо от текущего государства - это наверняка бСССР, а значит запредельная коррупция, что значит - законы не работают, а работают взятки, договорняки, крыши, братки, оборотни в погонах...

Так что, в этом деле задействованы противоположные течения, но разрулить всё таки можно при определённых усилиях и желании... За счёт разницы интересов в "элитах" можно всё же и юридическими путями решить дело.

Друзья! Что-то вы разогнались не по теме. Чем по теме поможете?

nops написал(а):

Друзья! Что-то вы разогнались не по теме. Чем по теме поможете?


Так сколько уж написано. Чего еще надо то?
Сервак работает? Ставь IDS крути ядро iptables netstat ставь резерв сервака. Защищай Apache chroot. Делай кластер. Чего еще подсказать?

nops написал(а):

Друзья! Всем привет!
Имеем CentOS 5.2 На нём биллинг и хостинг
Вопрос в следующем.
Есть сервер, на нём хостится 8 сайтов, 3 домена 2-го уровня, а остальные субдомены каждого из верхнего уровня.
Есть подозрение, что мой сервак атакуют, а именно DDoS.
У меня сначала возрастают пинги с 50мс до 400-600мс и даже до 2000 мс. Так он держится минут 10-15 и потом не отвечает. У меня написан скрипт, если не пингуется IP-адрес в сети интернет, то сервак сам идёт в перезагрузку.
Спустя время, от 5 минут до нескольких часов сервер наконец-то начинает отвечать, и с нормальными пингами от 30 до 60 мс.
Вопрос в следующем, как определить что именно произошло с сервером, почему он перестал отвечать, и если подтвердится что это DDoS, то как определить какой именно домен атакуют...
Заранее благодарен.



Журналы веб-сервера смотреть, количество входящих соединений.

denisvd написал(а):

Журналы веб-сервера смотреть, количество входящих соединений.


Спасибо, уже давно разобрался.
Пол года, как юзаю FreeBSD.
поведение сервера было, как при DDoS, а оказалось железо.
Сменил весь сервак и поставил FreeBSD, сейчас доволен и счастлив