The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"нид хелп"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Информационная безопасность (Обнаружение и предотвращение атак)
Изначальное сообщение [ Отслеживать ]

"нид хелп"  +/
Сообщение от qwert (??) on 09-Окт-12, 12:02 
Здравствуйте. Работаю в организации которой принадлежит всего 1 ип адрес. Недавно произошло 2 сбоя в работе интернета, причём в очень критично-важное и нужное время для организации в 2 разных  дня. Провайдер размахивает по поводу проблемы руками и не может ничего обьяснить почему интернет отсутcтвовал в указанное время. Симптомы следующие: пигнуешь внешний ресурс по имени тайминги бешенные и с потерями, если же пиногвать по IP адресу ,то канал стабильный и нормальными таймингами После некотрого времени канал как бы сам по себе появляется. Трейсы снять в тот момент не мог потому как был занят срочной организацией резервного канала. Вопрос что за тип атаки использовался или это пров голову морочит?
Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "нид хелп"  +/
Сообщение от PavelR (ok) on 09-Окт-12, 12:39 
> пигнуешь внешний ресурс по имени тайминги бешенные и с потерями
> если же пиногвать по IP адресу,то  канал стабильный и нормальными таймингами

Мда, канал уже меняется от того, как пинговать..

>Вопрос что за тип атаки использовался или это пров голову морочит?

"атаки"...

Пров понял, что у вас есть "очень критично-важное и нужное время", и поэтому подстраивает вам козни с целью отжать бизнес.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "нид хелп"  +/
Сообщение от natr (ok) on 09-Окт-12, 13:08 
>> пигнуешь внешний ресурс по имени тайминги бешенные и с потерями
>> если же пиногвать по IP адресу,то  канал стабильный и нормальными таймингами
> Мда, канал уже меняется от того, как пинговать..
>>Вопрос что за тип атаки использовался или это пров голову морочит?
> "атаки"...
> Пров понял, что у вас есть "очень критично-важное и нужное время", и
> поэтому подстраивает вам козни с целью отжать бизнес.

ахахаха.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "нид хелп"  +/
Сообщение от qwert (??) on 09-Окт-12, 13:56 
>>> пигнуешь внешний ресурс по имени тайминги бешенные и с потерями
>>> если же пиногвать по IP адресу,то  канал стабильный и нормальными таймингами
>> Мда, канал уже меняется от того, как пинговать..
>>>Вопрос что за тип атаки использовался или это пров голову морочит?
>> "атаки"...
>> Пров понял, что у вас есть "очень критично-важное и нужное время", и
>> поэтому подстраивает вам козни с целью отжать бизнес.
> ахахаха.

тема не в юморе
возможне не правильно сформулировал : начинаю пинговать адрес ya.ru время отклика выросло до 256 мс
при попытке пингануть этот ресурс по IP время отклика 14 мс
и так со всеми другими внешними ресурсами.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "нид хелп"  +/
Сообщение от PavelR (ok) on 09-Окт-12, 14:04 
> возможне не правильно сформулировал : начинаю пинговать адрес ya.ru время отклика выросло
> до 256 мс
> при попытке пингануть этот ресурс по IP время отклика 14 мс
> и так со всеми другими внешними ресурсами.

Скопируйте вывод команд, подтверждающий ваши утверждения.


Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "нид хелп"  +/
Сообщение от natr (ok) on 09-Окт-12, 14:25 
>> возможне не правильно сформулировал : начинаю пинговать адрес ya.ru время отклика выросло
>> до 256 мс
>> при попытке пингануть этот ресурс по IP время отклика 14 мс
>> и так со всеми другими внешними ресурсами.
> Скопируйте вывод команд, подтверждающий ваши утверждения.

пропишите в днс 8.8.8.8 и повторите попытку теста, при решении проблемы скажите провайдеру что им не мешает следить за своим ДНС.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "нид хелп"  +/
Сообщение от qwert (??) on 09-Окт-12, 14:26 
>>> возможне не правильно сформулировал : начинаю пинговать адрес ya.ru время отклика выросло
>>> до 256 мс
>>> при попытке пингануть этот ресурс по IP время отклика 14 мс
>>> и так со всеми другими внешними ресурсами.
>> Скопируйте вывод команд, подтверждающий ваши утверждения.
> пропишите в днс 8.8.8.8 и повторите попытку теста, при решении проблемы скажите
> провайдеру что им не мешает следить за своим ДНС.

ping ya.ru [87.250.250.3] с 32 байтами данных:
Ответ от 87.250.250.3: числа байт=32 время=256мс TTL=58
Превышен интервал ожидания для запроса

Статистика Ping для 87.250.250.3
    Пакетов отправлено = 4 получено = 2 потеряно = 2
    (50% потерь)
Приблизительное время приема-передачи в мс:
Минимальное = 256мсек Макимальное = 256 мсек Среднее = 256 мсек


ping 87.250.250.3 по с 32 байтами данных:
Ответов от 87.250.250.3 число байт=32 время=14мс TTL=58

Статистика Ping для 87.250.250.3:
    Пакетов отправлено = 4 получено = 4 потеряно = 0
    (0% потерь)
Приблизительное время приема-передачи в мс:
Минимальное = 14мсек Макимальное = 15 мсек Среднее = 14 мсек

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "нид хелп"  +/
Сообщение от natr (ok) on 09-Окт-12, 14:27 
>[оверквотинг удален]
>> пропишите в днс 8.8.8.8 и повторите попытку теста, при решении проблемы скажите
>> провайдеру что им не мешает следить за своим ДНС.
> ping ya.ru [87.250.250.3] с 32 байтами данных:
> Ответ от 87.250.250.3: числа байт=32 время=256мс TTL=58
> Превышен интервал ожидания для запроса
> Статистика Ping для 87.250.250.3
>   Пакетов отправлено = 4 получено = 2 потеряно = 2
>  (50% потерь)
> Приблизительное время приема-передачи в мс:
> Минимальное = 256мсек Макимальное = 256 мсек Среднее = 256 мсек

ipconfig /all с тестируемой машины без всяких зарисовок как есть.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

9. "нид хелп"  +/
Сообщение от qwert (??) on 09-Окт-12, 14:30 
>[оверквотинг удален]
>>> провайдеру что им не мешает следить за своим ДНС.
>> ping ya.ru [87.250.250.3] с 32 байтами данных:
>> Ответ от 87.250.250.3: числа байт=32 время=256мс TTL=58
>> Превышен интервал ожидания для запроса
>> Статистика Ping для 87.250.250.3
>>   Пакетов отправлено = 4 получено = 2 потеряно = 2
>>  (50% потерь)
>> Приблизительное время приема-передачи в мс:
>> Минимальное = 256мсек Макимальное = 256 мсек Среднее = 256 мсек
> ipconfig /all с тестируемой машины без всяких зарисовок как есть.

нет

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

11. "нид хелп"  +/
Сообщение от qwert (??) on 09-Окт-12, 14:33 
>[оверквотинг удален]
>>> ping ya.ru [87.250.250.3] с 32 байтами данных:
>>> Ответ от 87.250.250.3: числа байт=32 время=256мс TTL=58
>>> Превышен интервал ожидания для запроса
>>> Статистика Ping для 87.250.250.3
>>>   Пакетов отправлено = 4 получено = 2 потеряно = 2
>>>  (50% потерь)
>>> Приблизительное время приема-передачи в мс:
>>> Минимальное = 256мсек Макимальное = 256 мсек Среднее = 256 мсек
>> ipconfig /all с тестируемой машины без всяких зарисовок как есть.
> нет

проблема не на моей стороне
так она имела место быть в узкий промежуток временени и причём дважды. Кароче говоря в тот момент когда происходили торги и в первый раз и во второй раз.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

8. "нид хелп"  +/
Сообщение от qwert (??) on 09-Окт-12, 14:29 
в днс и так указан гугля и днс прова
адреса же резолвятся причём тут днс?
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

10. "нид хелп"  +/
Сообщение от natr (ok) on 09-Окт-12, 14:32 
> в днс и так указан гугля и днс прова
> адреса же резолвятся причём тут днс?

Конечно не при чем, так от балды спрашиваю.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

12. "нид хелп"  +/
Сообщение от qwert (??) on 09-Окт-12, 14:41 
>> в днс и так указан гугля и днс прова
>> адреса же резолвятся причём тут днс?
> Конечно не при чем, так от балды спрашиваю.

я так и понял


Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

13. "нид хелп"  +/
Сообщение от natr (ok) on 09-Окт-12, 14:42 
>>> в днс и так указан гугля и днс прова
>>> адреса же резолвятся причём тут днс?
>> Конечно не при чем, так от балды спрашиваю.
> я так и понял

если бы понял или хотя бы знал, то не писал бы тут, а сам бы все сделал за 5 минут.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "нид хелп"  +/
Сообщение от qwert (??) on 09-Окт-12, 14:50 
>>>> в днс и так указан гугля и днс прова
>>>> адреса же резолвятся причём тут днс?
>>> Конечно не при чем, так от балды спрашиваю.
>> я так и понял
> если бы понял или хотя бы знал, то не писал бы тут,
> а сам бы все сделал за 5 минут.

аргументируйте пожалуйста причём тут днс.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "нид хелп"  –1 +/
Сообщение от natr (ok) on 09-Окт-12, 14:51 
>>>>> в днс и так указан гугля и днс прова
>>>>> адреса же резолвятся причём тут днс?
>>>> Конечно не при чем, так от балды спрашиваю.
>>> я так и понял
>> если бы понял или хотя бы знал, то не писал бы тут,
>> а сам бы все сделал за 5 минут.
> аргументируйте пожалуйста причём тут днс.

Если ты пингуешь ресурс с резолвом и без, если с первым есть проблема а со вторым нет, то???

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

16. "нид хелп"  +/
Сообщение от natr (ok) on 09-Окт-12, 14:54 
>>>>> в днс и так указан гугля и днс прова
>>>>> адреса же резолвятся причём тут днс?
>>>> Конечно не при чем, так от балды спрашиваю.
>>> я так и понял
>> если бы понял или хотя бы знал, то не писал бы тут,
>> а сам бы все сделал за 5 минут.
> аргументируйте пожалуйста причём тут днс.

Еще раз повторяю прописать ТОЛЬКО 8.8.8.8 в днс и сделать пинг ya.ru если проблем не будет уйти от использования ДНС провайдера пока не решит проблемы. про лукап писать наверно нет смысла... буду непонят ))))))

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

17. "нид хелп"  +/
Сообщение от qwert (??) on 09-Окт-12, 15:00 
>>>>>> в днс и так указан гугля и днс прова
>>>>>> адреса же резолвятся причём тут днс?
>>>>> Конечно не при чем, так от балды спрашиваю.
>>>> я так и понял
>>> если бы понял или хотя бы знал, то не писал бы тут,
>>> а сам бы все сделал за 5 минут.
>> аргументируйте пожалуйста причём тут днс.
> Еще раз повторяю прописать ТОЛЬКО 8.8.8.8 в днс и сделать пинг ya.ru
> если проблем не будет уйти от использования ДНС провайдера пока не
> решит проблемы. про лукап писать наверно нет смысла... буду непонят ))))))

ещё раз посмотрел настройки
первым стоит днс с ip 8.8.8.8

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

18. "нид хелп"  +/
Сообщение от qwert (??) on 09-Окт-12, 15:04 
>>>>>> в днс и так указан гугля и днс прова
>>>>>> адреса же резолвятся причём тут днс?
>>>>> Конечно не при чем, так от балды спрашиваю.
>>>> я так и понял
>>> если бы понял или хотя бы знал, то не писал бы тут,
>>> а сам бы все сделал за 5 минут.
>> аргументируйте пожалуйста причём тут днс.
> Еще раз повторяю прописать ТОЛЬКО 8.8.8.8 в днс и сделать пинг ya.ru
> если проблем не будет уйти от использования ДНС провайдера пока не
> решит проблемы. про лукап писать наверно нет смысла... буду непонят ))))))

даже не пиши никогда токах слов как nslookup dig и прочее пока сам не поймёшь смысл слова резолвинг
писал же адреса !резолвятся!

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

19. "нид хелп"  –1 +/
Сообщение от natr (ok) on 09-Окт-12, 15:09 
>[оверквотинг удален]
>>>>> я так и понял
>>>> если бы понял или хотя бы знал, то не писал бы тут,
>>>> а сам бы все сделал за 5 минут.
>>> аргументируйте пожалуйста причём тут днс.
>> Еще раз повторяю прописать ТОЛЬКО 8.8.8.8 в днс и сделать пинг ya.ru
>> если проблем не будет уйти от использования ДНС провайдера пока не
>> решит проблемы. про лукап писать наверно нет смысла... буду непонят ))))))
> даже не пиши никогда токах слов как nslookup dig и прочее пока
> сам не поймёшь смысл слова резолвинг
> писал же адреса !резолвятся!

тогда смотри что у тебя творится на 53 порту. что бы ты понял пинг запрашивает инфу у днс каждый раз и почему он не получает ее хз. фаервол, лимит соединений или еще чего (таже вирусня изменяющая кеш днс и т.д.)... но сдается мне где-то лимит есть соединений по 53 порту. На счет первый так первый раз сложно оставить единственным то это уже к врачу. Тема закрыта. Пионер знающий много умных слов надоел.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

22. "нид хелп"  +/
Сообщение от Дядя_Федор on 09-Окт-12, 15:28 
Вы бы исследования времени пинга и потерь пакетов начинали со шлюза. :) Так - на всякий случай. Потом бы посмотрели - нет ли каких ошибок на интерфейсе (вдруг). Ну и в любом случае то, что называется "локальным резолвером" имеет некий кэш, в котором хранит соответствие имя-IP. КАЖДЫЙ раз при пинге по имени сетевой стэк запрос на разрешение имени не посылает. Трейсроут погоняйте еще. Тоже на всякий случай.

Ответить | Правка | Наверх | Cообщить модератору

23. "нид хелп"  +/
Сообщение от qwert (??) on 09-Окт-12, 15:31 
> Вы бы исследования времени пинга и потерь пакетов начинали со шлюза. :)
> Так - на всякий случай. Потом бы посмотрели - нет ли
> каких ошибок на интерфейсе (вдруг). Ну и в любом случае то,
> что называется "локальным резолвером" имеет некий кэш, в котором хранит соответствие
> имя-IP. КАЖДЫЙ раз при пинге по имени сетевой стэк запрос на
> разрешение имени не посылает. Трейсроут погоняйте еще. Тоже на всякий случай.

до шлюза пинг 1 мс
трейс не успел тогда сделать торги шли, время на секунды шло. как торги закончились проблемы с интернетом закончились.


Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

24. "нид хелп"  +/
Сообщение от qwert (??) on 09-Окт-12, 15:34 
>> Вы бы исследования времени пинга и потерь пакетов начинали со шлюза. :)
>> Так - на всякий случай. Потом бы посмотрели - нет ли
>> каких ошибок на интерфейсе (вдруг). Ну и в любом случае то,
>> что называется "локальным резолвером" имеет некий кэш, в котором хранит соответствие
>> имя-IP. КАЖДЫЙ раз при пинге по имени сетевой стэк запрос на
>> разрешение имени не посылает. Трейсроут погоняйте еще. Тоже на всякий случай.
>  до шлюза пинг 1 мс
> трейс не успел тогда сделать торги шли, время на секунды шло. как
> торги закончились проблемы с интернетом закончились.

хочется просто узнать каким способ можно скомпрометировать такую ситуацию со сбоем в предоставлении доступа в интернет.

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

25. "нид хелп"  +/
Сообщение от PavelR (ok) on 09-Окт-12, 16:23 

> ... скомпрометировать такую ситуацию

чего-чего сказал?


Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

26. "нид хелп"  +/
Сообщение от Дядя_Федор on 09-Окт-12, 21:56 
> хочется просто узнать каким способ можно скомпрометировать такую ситуацию со сбоем в
> предоставлении доступа в интернет.

"Кто на ком стоял? Потрудитесь изъясняться человеческим языком". :))) Я в принципе понял, что Вы пытаетесь спросить. Чисто теоретически в означенное Вами время канал могут забивать флудом - тем, что называется DoS (в случае наводнения с одного IP) или DDoS - это если долбят с кучи ИП. При маломощном канале может хватить кучи "пингов" (то есть ICMP-пакетов). Так ли это на самом деле - я, конечно же, не в курсе. Но Вашему провайдеру подобная ситуация абсолютно невыгодна. Если она существует - то наверняка "снаружи" (хотя и изнутри, из Вашей сети - тоже возможна). Один вариант - включить на своем шлюзе (на смотрящем внаружу интерфейсе, естестсвенно) снифер (tcpdump, как вариант, wireshark - как более наглядный вариант) и смотреть загрузку каналы "левыми" пакетами. Возможно, понадобится помощь провайдера, чтобы он посмотрел на прилетающие к Вам пакеты со своей стороны. Но если факт DoS (DDoS) имеет место быть - бороться с ним очень тяжко. И в большинстве случаев требуется помощь "аплинка" (провайдера то есть), чтобы перекрыть левые пакеты до попадания их в канал. Еще загрузку внешних каналов может показать, например, iptraf (и его более поздняя реинкарнация - iptraf-ng).

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

27. "нид хелп"  +/
Сообщение от PavelR (ok) on 09-Окт-12, 22:42 
> Но если факт DoS (DDoS) имеет место быть - бороться с ним очень тяжко.

Да кому топикстартер сдался?
Я думаю, купили они канальчик на мегабитик, а как "что-то там у них начинается", так все лезет в сеть, и канала "на весь охфис" тупо не хватает.

Первое, что должен сделать админ - настроить системы статистики. Иначе системы безконтрольны и осознанно не управляемы.


Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

28. "нид хелп"  +/
Сообщение от Дядя_Федор on 10-Окт-12, 08:55 
> Первое, что должен сделать админ - настроить системы статистики. Иначе системы безконтрольны
> и осознанно не управляемы.

Абсолютно согласен. Потому что постановка вопроса - "У меня что-то не работает, а что - я не знаю, значит виноваты враги. Угадайте - кто и чем мне вредит" выдает полнейшее непрофессионализм.

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру