LDAPMessage

Тема в разделе "Помощь для атакуемых", создана пользователем hulimontana, 20 сен 2017.

Метки:
  1. День добрый. Я новичок в администрировании серверов. Я арендую несколько серверов в Нидерландах, под игровые сервера.
    И буквально 5 дней назад столкнулся с такой проблемой как DDoS. Всю ночь я наблюдал как один из моих серверов беспощадно досят с периодичностью в 30 минут и продолжительностью примерно тоже в 30 минут. По мониторингу ресурсов было видно, что загружают интернет канал на 98-100%, даже по рдп далеко не всегда получалось подключиться.
    Причем было совсем не понятно что именно грузят, трафика по монитору было не видно, но показатель Network Utilization был 98%+.
    (Канал 100мб)
    Первое что пришло мне в голову это закрыть все лишние входящие соединения. Роутера в моем распоряжении нет, его можно арендовать за дополнительные деньги, предлагают cisco, но я не стал (потому-что плохо разбираюсь какая от него будет польза).
    По этому в фаерволе удалил все правила во входящих соединениях, кроме нужного мне игрового UDP порта и RDP с привязкой к моему статическому, домашнему IP. Все безрезультатно, ддос продолжился днем.
    Спустя 48 часов без сна, в попытках найти в интернете разного рода информацию, от тех-поддиржки хостинга пришел ответ на мои крики о помощи:
    "We are sorry to hear that your server is experiencing DDoS/Syn flood attacks." Козлы, подумал я, но хорошо хоть сказали, что за тип атаки. Добавил в реестр ключи SynAttackProtect (1) и TcpMaxConnectResponseRetransmissions (2). И ушел спать. На утро обнаружил, что сервер по прежнему всю ночь подвергался атакам.
    Скачал Network Monitor 3.4 чтобы хоть как-то увидеть вредоносный траффик и стал ждать новой атаки. Предварительно сделал снимок "нормального" траффика, чтобы затем сравнить и найти различия. Вроде получилось, застал вовремя атаку, включил Network Monitor, заснял около 20 минут ддос траффика. Сразу были видны различия, во время атаки появились какие то LDAPMessage пакеты, которых ну совсем нет при нормальной работе сервера. Вот кусок траффика:
    Код:
    77546    2:43:56 PM 9/16/2017    8.5318933        54.79.121.59    172.142.7.56    LDAPMessage    LDAPMessage:Search Result Entry, MessageID: 7    {LDAP:96257, UDP:96256, IPv4:96255}
    77547    2:43:56 PM 9/16/2017    8.5319953        201.140.129.5    172.142.7.56    LDAPMessage    LDAPMessage:Search Result Entry, MessageID: 7    {LDAP:96259, UDP:96258, IPv4:9957}
    77551    2:43:56 PM 9/16/2017    8.5323194        201.140.129.28    172.142.7.56    LDAPMessage    LDAPMessage:Search Result Entry, MessageID: 7    {LDAP:96261, UDP:96260, IPv4:10163}
    77553    2:43:56 PM 9/16/2017    8.5323194        182.18.181.82    172.142.7.56    LDAPMessage    LDAPMessage:Search Result Entry, MessageID: 7    {LDAP:96264, UDP:96263, IPv4:96262}
    77554    2:43:56 PM 9/16/2017    8.5325511        116.12.134.108    172.142.7.56    LDAPMessage    LDAPMessage:Search Result Entry, MessageID: 7    {LDAP:96266, UDP:96265, IPv4:43251}
    77558    2:43:56 PM 9/16/2017    8.5328773        50.207.154.100    172.142.7.56    LDAPMessage    LDAPMessage:Search Result Entry, MessageID: 7    {LDAP:96269, UDP:96268, IPv4:96267}
    77559    2:43:56 PM 9/16/2017    8.5328773        89.204.242.200    172.142.7.56    LDAPMessage    LDAPMessage:Search Result Entry, MessageID: 7    {LDAP:96271, UDP:96270, IPv4:2368}
    77562    2:43:56 PM 9/16/2017    8.5331927        220.158.164.183    172.142.7.56    LDAPMessage    LDAPMessage:Search Result Entry, MessageID: 7    {LDAP:96273, UDP:96272, IPv4:1730}
    77564    2:43:56 PM 9/16/2017    8.5335259        47.94.47.163    172.142.7.56    LDAPMessage    LDAPMessage:Search Result Entry, MessageID: 7    {LDAP:96275, UDP:96274, IPv4:88291}
    77566    2:43:56 PM 9/16/2017    8.5338535        206.63.185.34    172.142.7.56    LDAPMessage    LDAPMessage:Search Result Entry, MessageID: 7    {LDAP:96277, UDP:96276, IPv4:61076}
    77568    2:43:56 PM 9/16/2017    8.5338767        142.112.14.59    172.142.7.56    LDAPMessage    LDAPMessage:Search Result Entry, MessageID: 7    {LDAP:96279, UDP:96278, IPv4:60745}
    77569    2:43:56 PM 9/16/2017    8.5342067        50.234.96.50    172.142.7.56    LDAPMessage    LDAPMessage:Search Result Entry, MessageID: 7    {LDAP:96282, UDP:96281, IPv4:96280}
    77572    2:43:56 PM 9/16/2017    8.5345308        89.197.105.50    172.142.7.56    LDAPMessage    LDAPMessage:Search Result Entry, MessageID: 7    {LDAP:96284, UDP:96283, IPv4:2092}
    77574    2:43:56 PM 9/16/2017    8.5348616        210.86.225.179    172.142.7.56    LDAPMessage    LDAPMessage:Search Result Entry, MessageID: 7    {LDAP:96286, UDP:96285, IPv4:7520}
    77577    2:43:56 PM 9/16/2017    8.5348616        121.41.112.45    172.142.7.56    LDAPMessage    LDAPMessage:Search Result Entry, MessageID: 7    {LDAP:96288, UDP:96287, IPv4:31522}
    77578    2:43:56 PM 9/16/2017    8.5350428        180.211.106.130    172.142.7.56    LDAPMessage    LDAPMessage:Search Result Entry, MessageID: 7    {LDAP:96291, UDP:96290, IPv4:96289}
    77583    2:43:56 PM 9/16/2017    8.5354027        80.188.128.136    172.142.7.56    LDAPMessage    LDAPMessage:Search Result Entry, MessageID: 7    {LDAP:96294, UDP:96293, IPv4:96292}
    Я на 99% уверен, что это тот самый ддос траффик, но все же хочется посоветоваться со знающими людьми, коих у меня нет в знакомых. В одну секунду времени, по логу убирается десятки тысяч таких строк пакетов\запросов. При чем в этот момент ни 1 клиент не подключен, с игрового сервера всех выкидывает почти сразу же как начинается атака.

    Подскажите, вредоносный ли это траффик и что дальше с ним делать, возможно есть методы как закрыть дыру или просто заблокировать всю эту сеть по IP адресам? Кстати, все эти ип адреса пинговались мной на момент атаки и оказалось, что они реальные, т.е. нет подмены обратного IP. Если блокировать все эти адреса, то нужен роутер или можно обойтись брандмауером?
    Очень надеюсь на вашу помощь, вот уже несколько дней приходится собирать разную информацию в интернете, как мазайку, но чаще всего уводит не туда.
     
    20 сен 2017
  2. Сидите дальше на винде и глотайте хуи пачками.

    Для защиты нужна unix система, а не шлак майкрософта.
     
    20 сен 2017

Поделиться этой страницей