on dumb HOWTO copy-pasting
Oct. 7th, 2011 05:26 pm![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
netch80В связи с этим (как-то сия феерическая дискуссия прошла мимо меня) и рассказом про "тупые HOWTO с лиссяры" вспомнил разборки совсем недельной давности.
Есть один дружественный провайдер colocall.net, к которому я регулярно хожу в гости на рюмку чая, где работал K+1 год назад и где у меня есть шелл. В этот шелл регулярно попадают строки лога из ipfw, задалбывают.
Выжимка из диалога с сисадмином тазика.
Я: а это действительно надо чтобы на zeus сообщения о том, что его спрашивают по ntp, сыпались всем на экраны?
А: Там на таз идёт немерянный поток udp пакетов, в среднем 8000-10000 пакетов в секунду. Это не временно. Это давно и постоянно. Если ничего не делать, то на сервере невозможно работать - всё рывками. Поэтому у меня там сделано так: ipfw в лог пишет информацию обо всех udp пакетах на порт 123. И запущен скрипт, который добавляет в файрвол запрет для IP адресов, с которых пришло более 50 udp пакетов в минуту.
А: Вообще не понятно, откудя такая активность? Может это вирусня какая-то? Но что им нужно от ntp сервера?
О как. Стало интересно. Проверил по ntp.org. Такого нет. Тогда решил ввести hostname в поиск... и что я вижу? Сотни, нет, тысячи копипаст одной и той же хаутушки "как сделать время на сервере", в которую вбиты конкретные хосты без каких-то предупреждений типа "не пробуйте использовать это за пределами Киева".
Вбил его IP - то же самое. И таки где одна из первых копий? Ну конечно, на лиссяре.
(Адрес открыт в основном постинге, потому что он легко угадывался по смыслу и его таки обоснованно угадали в комментариях.)
Далее пошло обсуждение того, как надо это лечить. Я предлагал жёсткие меры разного уровня радикальности. Например, отдавать всем за пределами сети провайдера время 5-летней давности или, наоборот, 25 декабря 2012 года. Или чуть помягче, например, каждые сутки на секунду медленнее, чтобы постепенно накапливать эффект. Но тот админ, похоже, страдает чрезмерным гуманизмом, и эти меры не были приняты.
Вот вам и вред от таких хаутушек - 10K левых запросов в секунду совершенно непричастным.
Есть один дружественный провайдер colocall.net, к которому я регулярно хожу в гости на рюмку чая, где работал K+1 год назад и где у меня есть шелл. В этот шелл регулярно попадают строки лога из ipfw, задалбывают.
Выжимка из диалога с сисадмином тазика.
Я: а это действительно надо чтобы на zeus сообщения о том, что его спрашивают по ntp, сыпались всем на экраны?
А: Там на таз идёт немерянный поток udp пакетов, в среднем 8000-10000 пакетов в секунду. Это не временно. Это давно и постоянно. Если ничего не делать, то на сервере невозможно работать - всё рывками. Поэтому у меня там сделано так: ipfw в лог пишет информацию обо всех udp пакетах на порт 123. И запущен скрипт, который добавляет в файрвол запрет для IP адресов, с которых пришло более 50 udp пакетов в минуту.
А: Вообще не понятно, откудя такая активность? Может это вирусня какая-то? Но что им нужно от ntp сервера?
О как. Стало интересно. Проверил по ntp.org. Такого нет. Тогда решил ввести hostname в поиск... и что я вижу? Сотни, нет, тысячи копипаст одной и той же хаутушки "как сделать время на сервере", в которую вбиты конкретные хосты без каких-то предупреждений типа "не пробуйте использовать это за пределами Киева".
Вбил его IP - то же самое. И таки где одна из первых копий? Ну конечно, на лиссяре.
(Адрес открыт в основном постинге, потому что он легко угадывался по смыслу и его таки обоснованно угадали в комментариях.)
Далее пошло обсуждение того, как надо это лечить. Я предлагал жёсткие меры разного уровня радикальности. Например, отдавать всем за пределами сети провайдера время 5-летней давности или, наоборот, 25 декабря 2012 года. Или чуть помягче, например, каждые сутки на секунду медленнее, чтобы постепенно накапливать эффект. Но тот админ, похоже, страдает чрезмерным гуманизмом, и эти меры не были приняты.
Вот вам и вред от таких хаутушек - 10K левых запросов в секунду совершенно непричастным.
![[identity profile]](https://www.dreamwidth.org/img/silk/identity/openid.png){kind=small}
no subject
Date: 2011-10-07 06:00 pm (UTC)Только если пакетный фильтр их не отфильтровал раньше.
> Фильтрация и чушь друг другу не мешают. Например, prob 0.9 drop..., а если таки пробился - отдавать чушь. Но режимы менять регулярно.
При фильтрации чушь не нужна. Зафильтровать 10kpps не проблема.
> из-за *удаков приходится менять IP и издеваться над сетью.
Это наша родина^U Это Интернет.
no subject
Date: 2011-10-08 07:06 am (UTC)Знаешь, а вот мне другое интересно. Я понимаю, что каналы толще, чем даже пару лет назад, но даже сейчас поток в ~7.5Mbit/s это, мягко говоря, много. Его можно было бы, например, продать клиенту. Может, даже двадцати клиентам, если они не сильно большие. А ты зациклился на своём "зафильтровать не проблема". А дальше что? Завтра этот метод ещё куда-нибудь скопипастят, будет сто мегабит в секунду?
Зачем вообще ты это повторяешь из раза в раз?
Когда-то ты на такие реплики, например, от москвичей, по типу "построить RAID - три штуки баксов, если этого нет - нищеброды и неинтересно" ты остро реагировал. Сейчас сам точно так же барско-верхоглядски бросаешь комментарии.
no subject
Date: 2011-10-08 11:07 am (UTC)Именно потому, что у меня был опыт в борьбе с DDoS, превышающим 100Mbps, я в ru.unix.bsd писал об этом. Нет других способов.
> ты остро реагировал
Меня с кем-то путаешь, хотя я тоже не считаю, что надо разбрасываться ресурсами.
> Сейчас сам точно так же барско-верхоглядски бросаешь комментарии.
Я вовсе не упираю на якобы дешевизну каналов, а отреагировал на странное, по моему мнению, заявление "на сервере невозможно работать - всё рывками" под такой незначительной для сервера (а не для каналов) нагрузкой.
no subject
Date: 2011-10-09 05:45 am (UTC)no subject
Date: 2011-10-09 10:18 am (UTC)