forum.opennet.ru - "it's DoS?" (6)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"it's DoS?"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"it's DoS?"
Сообщение от alexvs (??) on 18-Дек-07, 16:00
Периодически начал наблюдать залипание Apacha: нет сообщений об ошибках, загрузка ресурсов сервера близка к 0, но количество обрабатываемых запросов резко падает, помогал рестарт Индейца. Сейчас заметил что в период "залипания" из 256 процессов Апача 75% заняты запросами только с одного IP (его кстати в логах не удалось найти). #####tcpdump 07:30:31.772671 IP ClientIP.3118 > ServerIP.80: S 4096236745:4096236745(0) win 65535 <mss 1460,nop,wscale 1,nop,nop,sackOK> 07:30:31.772696 IP ServerIP.80 > ClientIP.3118: S 4059908013:4059908013(0) ack 4096236746 win 65535 <mss 1460,sackOK,eol> 07:30:31.900154 IP ClientIP.3118 > ServerIP.80: . ack 1 win 65535 07:30:32.001140 IP ServerIP.80 > ClientIP.4954: F 1928146960:1928146960(0) ack 2246546695 win 65535 07:30:32.094187 IP ServerIP.80 > ClientIP.4960: F 465066408:465066408(0) ack 1118953903 win 65535 07:30:32.100304 IP ClientIP.3130 > ServerIP.80: S 1811031781:1811031781(0) win 65535 <mss 1460,nop,wscale 1,nop,nop,sackOK> 07:30:32.100319 IP ServerIP.80 > ClientIP.3130: S 3385044513:3385044513(0) ack 1811031782 win 65535 <mss 1460,sackOK,eol> 07:30:32.130325 IP ClientIP.4954 > ServerIP.80: . ack 1 win 65535 07:30:32.220431 IP ClientIP.3130 > ServerIP.80: . ack 1 win 65535 07:30:32.220527 IP ClientIP.4960 > ServerIP.80: . ack 1 win 65535 07:30:32.924603 IP ServerIP.80 > ClientIP.4966: F 2626702164:2626702164(0) ack 510597337 win 65535 07:30:32.944745 IP ClientIP.3142 > ServerIP.80: S 3610505486:3610505486(0) win 65535 <mss 1460,nop,wscale 1,nop,nop,sackOK> 07:30:32.944767 IP ServerIP.80 > ClientIP.3142: S 1809763592:1809763592(0) ack 3610505487 win 65535 <mss 1460,sackOK,eol> 07:30:33.060713 IP ClientIP.4966 > ServerIP.80: . ack 1 win 65535 07:30:33.065005 IP ClientIP.3142 > ServerIP.80: . ack 1 win 65535 07:30:33.140705 IP ServerIP.80 > ClientIP.4972: F 4004784625:4004784625(0) ack 166398877 win 65535 07:30:33.260891 IP ClientIP.4972 > ServerIP.80: . ack 1 win 65535 07:30:33.265149 IP ClientIP.3154 > ServerIP.80: S 1409479785:1409479785(0) win 65535 <mss 1460,nop,wscale 1,nop,nop,sackOK> 07:30:33.265179 IP ServerIP.80 > ClientIP.3154: S 1931219758:1931219758(0) ack 1409479786 win 65535 <mss 1460,sackOK,eol> 07:30:33.395141 IP ClientIP.3154 > ServerIP.80: . ack 1 win 65535 07:30:33.839060 IP ServerIP.80 > ClientIP.4978: F 2303126605:2303126605(0) ack 3035298754 win 65535 07:30:33.960809 IP ClientIP.4978 > ServerIP.80: . ack 1 win 65535 07:30:34.070177 IP ServerIP.80 > ClientIP.4984: F 3543671429:3543671429(0) ack 1449752267 win 65535 07:30:34.125919 IP ClientIP.3166 > ServerIP.80: S 3519236291:3519236291(0) win 65535 <mss 1460,nop,wscale 1,nop,nop,sackOK> 07:30:34.125938 IP ServerIP.80 > ClientIP.3166: S 344466251:344466251(0) ack 3519236292 win 65535 <mss 1460,sackOK,eol> 07:30:34.191313 IP ClientIP.4984 > ServerIP.80: . ack 1 win 65535 07:30:34.255317 IP ClientIP.3166 > ServerIP.80: . ack 1 win 65535 07:30:34.422283 IP ClientIP.3178 > ServerIP.80: S 453909562:453909562(0) win 65535 <mss 1460,nop,wscale 1,nop,nop,sackOK> 07:30:34.422304 IP ServerIP.80 > ClientIP.3178: S 226858035:226858035(0) ack 453909563 win 65535 <mss 1460,sackOK,eol> 07:30:34.551643 IP ClientIP.3178 > ServerIP.80: . ack 1 win 65535 Это какой-то дурной клиент или атака?
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

it's DoS?, idle, 16:51 , 18-Дек-07, (1)

it's DoS?, alexvs, 17:28 , 18-Дек-07, (2)

it's DoS?, Sega, 17:49 , 18-Дек-07, (3)

it's DoS?, alexvs, 19:35 , 18-Дек-07, (4)

it's DoS?, zing, 02:54 , 19-Дек-07, (5)

it's DoS?, alexvs, 17:09 , 19-Дек-07, (6)

Сообщения по теме [Сортировка по времени | RSS]

1. "it's DoS?"

Сообщение от idle (ok) on 18-Дек-07, 16:51

>Периодически начал наблюдать залипание Apacha: нет сообщений об ошибках, загрузка ресурсов сервера
>близка к 0, но количество обрабатываемых запросов резко падает, помогал рестарт
>Индейца.
>Сейчас заметил что в период "залипания" из 256 процессов Апача 75% заняты
>запросами только с одного IP (его кстати в логах не удалось
>найти).
Так не бывает.
>[оверквотинг удален]
>07:30:34.070177 IP ServerIP.80 > ClientIP.4984: F 3543671429:3543671429(0) ack 1449752267 win 65535
>07:30:34.125919 IP ClientIP.3166 > ServerIP.80: S 3519236291:3519236291(0) win 65535 <mss 1460,nop,wscale 1,nop,nop,sackOK>
>07:30:34.125938 IP ServerIP.80 > ClientIP.3166: S 344466251:344466251(0) ack 3519236292 win 65535 <mss 1460,sackOK,eol>
>07:30:34.191313 IP ClientIP.4984 > ServerIP.80: . ack 1 win 65535
>07:30:34.255317 IP ClientIP.3166 > ServerIP.80: . ack 1 win 65535
>07:30:34.422283 IP ClientIP.3178 > ServerIP.80: S 453909562:453909562(0) win 65535 <mss 1460,nop,wscale 1,nop,nop,sackOK>
>07:30:34.422304 IP ServerIP.80 > ClientIP.3178: S 226858035:226858035(0) ack 453909563 win 65535 <mss 1460,sackOK,eol>
>07:30:34.551643 IP ClientIP.3178 > ServerIP.80: . ack 1 win 65535
>
>Это какой-то дурной клиент или атака?
Атаки с одного ip никто не делает.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "it's DoS?"

Сообщение от alexvs (??) on 18-Дек-07, 17:28

Спасибо за "исчерпывающий" ответ :(.
>Так не бывает.
Чего не бывает?
>Атаки с одного ip никто не делает.
Чего в жизни не бывает. У нас в мире только профессиональные вредители живут?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "it's DoS?"

Сообщение от Sega (ok) on 18-Дек-07, 17:49

>Спасибо за "исчерпывающий" ответ :(.
>
>>Так не бывает.
>
>Чего не бывает?
>
>>Атаки с одного ip никто не делает.
>
>Чего в жизни не бывает. У нас в мире только профессиональные вредители
>живут?
Не бывает того, что этот ip который вы определили, но в логе так и не нашли.
Так же соглашусь что атак с одного ip не бывает, но бывают криво написанные боты и иже с ними приходилось сталкиваться с подобными чудесами. Закройте адрес фаерволом и посмотрите на результат, если помогло напишите письмо владельцу адреса или не пишите все зависит от того чего вы хотите добиться :)
Добавлю:
Для анализа http трафика удобнее использовать ngrep, например так:
ngrep -d iface -q -W byline GET src host a.b.c.d
выведет построчно все get запросы с хоста a.b.c.d

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "it's DoS?"

Сообщение от alexvs (??) on 18-Дек-07, 19:35

>Не бывает того, что этот ip который вы определили, но в логе
>так и не нашли.
error.log включен в debug режиме, access.log пишется. Нигде упоминания о таком IP нет.
>Так же соглашусь что атак с одного ip не бывает, но бывают
>криво написанные боты и иже с ними приходилось сталкиваться с подобными
>чудесами. Закройте адрес фаерволом и посмотрите на результат, если помогло напишите
>письмо владельцу адреса или не пишите все зависит от того чего
>вы хотите добиться :)
Так перед тем как закрыть его я и хочу разобраться что это такое.
>Добавлю:
>Для анализа http трафика удобнее использовать ngrep, например так:
>ngrep -d iface -q -W byline GET src host a.b.c.d
>выведет построчно все get запросы с хоста a.b.c.d
При чём тут http трафик? в приведённом выше логе tcpdump'a видно что ни байта полезной информации передано не было, только установлено tcp/ip соединение.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "it's DoS?"

Сообщение от zing on 19-Дек-07, 02:54

>[оверквотинг удален]
>Так перед тем как закрыть его я и хочу разобраться что это
>такое.
>
>>Добавлю:
>>Для анализа http трафика удобнее использовать ngrep, например так:
>>ngrep -d iface -q -W byline GET src host a.b.c.d
>>выведет построчно все get запросы с хоста a.b.c.d
>
>При чём тут http трафик? в приведённом выше логе tcpdump'a видно что
>ни байта полезной информации передано не было, только установлено tcp/ip соединение.
Атаки с одного адреса называются DoS, с двух и более - DDoS, автор юзайте netstat -antup или sockstat -4, сразу будет понятно,  и поставьте mod_limitipconn.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "it's DoS?"

Сообщение от alexvs (??) on 19-Дек-07, 17:09

>Атаки с одного адреса называются DoS, с двух и более - DDoS,
>автор юзайте netstat -antup или sockstat -4, сразу будет понятно,
>и поставьте mod_limitipconn.
С помощью этих утилит и узнал что у меня 75%  коннектов инициализировано с одного IP.
Как ограничить я знаю, вопрос в другом был: что это такое?
Поведения клиента похожа на сканинг/атаку или просто его глючность?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "it's DoS?"
Сообщение от idle (ok) on 18-Дек-07, 16:51
>Периодически начал наблюдать залипание Apacha: нет сообщений об ошибках, загрузка ресурсов сервера >близка к 0, но количество обрабатываемых запросов резко падает, помогал рестарт >Индейца. >Сейчас заметил что в период "залипания" из 256 процессов Апача 75% заняты >запросами только с одного IP (его кстати в логах не удалось >найти). Так не бывает. >[оверквотинг удален] >07:30:34.070177 IP ServerIP.80 > ClientIP.4984: F 3543671429:3543671429(0) ack 1449752267 win 65535 >07:30:34.125919 IP ClientIP.3166 > ServerIP.80: S 3519236291:3519236291(0) win 65535 <mss 1460,nop,wscale 1,nop,nop,sackOK> >07:30:34.125938 IP ServerIP.80 > ClientIP.3166: S 344466251:344466251(0) ack 3519236292 win 65535 <mss 1460,sackOK,eol> >07:30:34.191313 IP ClientIP.4984 > ServerIP.80: . ack 1 win 65535 >07:30:34.255317 IP ClientIP.3166 > ServerIP.80: . ack 1 win 65535 >07:30:34.422283 IP ClientIP.3178 > ServerIP.80: S 453909562:453909562(0) win 65535 <mss 1460,nop,wscale 1,nop,nop,sackOK> >07:30:34.422304 IP ServerIP.80 > ClientIP.3178: S 226858035:226858035(0) ack 453909563 win 65535 <mss 1460,sackOK,eol> >07:30:34.551643 IP ClientIP.3178 > ServerIP.80: . ack 1 win 65535 > >Это какой-то дурной клиент или атака? Атаки с одного ip никто не делает.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "it's DoS?"
	Сообщение от alexvs (??) on 18-Дек-07, 17:28
	Спасибо за "исчерпывающий" ответ :(. >Так не бывает. Чего не бывает? >Атаки с одного ip никто не делает. Чего в жизни не бывает. У нас в мире только профессиональные вредители живут?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "it's DoS?"
	Сообщение от Sega (ok) on 18-Дек-07, 17:49
	>Спасибо за "исчерпывающий" ответ :(. > >>Так не бывает. > >Чего не бывает? > >>Атаки с одного ip никто не делает. > >Чего в жизни не бывает. У нас в мире только профессиональные вредители >живут? Не бывает того, что этот ip который вы определили, но в логе так и не нашли. Так же соглашусь что атак с одного ip не бывает, но бывают криво написанные боты и иже с ними приходилось сталкиваться с подобными чудесами. Закройте адрес фаерволом и посмотрите на результат, если помогло напишите письмо владельцу адреса или не пишите все зависит от того чего вы хотите добиться :) Добавлю: Для анализа http трафика удобнее использовать ngrep, например так: ngrep -d iface -q -W byline GET src host a.b.c.d выведет построчно все get запросы с хоста a.b.c.d
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "it's DoS?"
	Сообщение от alexvs (??) on 18-Дек-07, 19:35
	>Не бывает того, что этот ip который вы определили, но в логе >так и не нашли. error.log включен в debug режиме, access.log пишется. Нигде упоминания о таком IP нет. >Так же соглашусь что атак с одного ip не бывает, но бывают >криво написанные боты и иже с ними приходилось сталкиваться с подобными >чудесами. Закройте адрес фаерволом и посмотрите на результат, если помогло напишите >письмо владельцу адреса или не пишите все зависит от того чего >вы хотите добиться :) Так перед тем как закрыть его я и хочу разобраться что это такое. >Добавлю: >Для анализа http трафика удобнее использовать ngrep, например так: >ngrep -d iface -q -W byline GET src host a.b.c.d >выведет построчно все get запросы с хоста a.b.c.d При чём тут http трафик? в приведённом выше логе tcpdump'a видно что ни байта полезной информации передано не было, только установлено tcp/ip соединение.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "it's DoS?"
	Сообщение от zing on 19-Дек-07, 02:54
	>[оверквотинг удален] >Так перед тем как закрыть его я и хочу разобраться что это >такое. > >>Добавлю: >>Для анализа http трафика удобнее использовать ngrep, например так: >>ngrep -d iface -q -W byline GET src host a.b.c.d >>выведет построчно все get запросы с хоста a.b.c.d > >При чём тут http трафик? в приведённом выше логе tcpdump'a видно что >ни байта полезной информации передано не было, только установлено tcp/ip соединение. Атаки с одного адреса называются DoS, с двух и более - DDoS, автор юзайте netstat -antup или sockstat -4, сразу будет понятно, и поставьте mod_limitipconn.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "it's DoS?"
	Сообщение от alexvs (??) on 19-Дек-07, 17:09
	>Атаки с одного адреса называются DoS, с двух и более - DDoS, >автор юзайте netstat -antup или sockstat -4, сразу будет понятно, >и поставьте mod_limitipconn. С помощью этих утилит и узнал что у меня 75% коннектов инициализировано с одного IP. Как ограничить я знаю, вопрос в другом был: что это такое? Поведения клиента похожа на сканинг/атаку или просто его глючность?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]