Skip to main content

Зудящий ДДоС

Обнаружил вчера, что мои серваки кто-то старательно DDoSит. Слабенько так. но неприятно.
В этой статейке расскажу, что можно делать.

Цель 1: Первичный DNS

Скорей всего мой сервер пытались использовать для DNS Amplification Attack. В чем суть? Суть в том, что приходит запрос с поддельным исходным адресом. Исходный адрес заменяется на адрес жертвы. В запросе содержится какой-нибудь домен, обычно специально созданный, у которого ооочень много A записей (да и не только A, т.к. запрос посылают обычно на Any). Сервер обрабатывает этот запрос и выдает весь этот огромный список жертве. Т.о. при небольшом входном потоке транзитный сервер генерирует очень много выходных данных (то самое усиление — Amplification) и заваливает жертву.

Но, возможно, т.к. запрашивающих машин было порядка 20, то это была и обычная атака на мой сервер (либо 20 одновременных жертв, что странно)

Что делать?

Читать дальше “Зудящий ДДоС” »

Откат групповых политик

Если вы накосячили с групповыми политиками так, что они не могут автоматически применить новую версию или откатиться к локальному варианту — закешированные политики можно найти в реестре

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\

Так же локальные файлы политик можно найти в %windir%\system32\GroupPolicy и %windir%\system32\GroupPolicyUser

Развертывание корпоративной беспроводной сети на базе Ubiquity Unifi

Введение

Однажды, после того, как в нашей лаборатории одна за другой сдохли две точки доступа D-Link и начал глючить роутер от ASUS, было решено качественно проапгрейдить беспроводную сеть. После беглого обзора предлагаемых решений и подсчета вариантов мы остановились на установке двух точек Unifi UAP-LR (Long Range), которые должы были покрыть несколько комнат нашей лабы. Одним из приятных бонусов точек является использование PoE (не 802.3af, а своего, 48 вольтового, но все же), что позволило вынести точки на подвесной потолок не утруждая себя особо сложным монтажем. При желании можно купить переходник за $20, который сделает точки доступа 802.3af-совместимыми.

Покупка и монтаж

Заказали точки в интернет-магазине у оф. партнера, без приключений получили. Для подключения одной из точек (которая под потолком) использовали уже проложенные кабеля, с другой стороны заведенные в серверный шкаф. Там же в шкафу был размещен блок питания (представляющий PoE-инжектор).

Настройка контроллера

Дальше — самое интересное. Изначально, было решено не экспериментировать и контроллер был установлен для тестов на локальной виндовой машине. Для проб были созданы несколько сетей, идентичным по настройкам сетям, которые раздавали умершие точки доступа (они не умели делать единую сеть, поэтому каждая имела свою собственную с одинаковым паролем). При этом в новой конфигурации каждый новая точка доступа генерила все сети (это стандартное поведение точек). Отдельно была создана новая сеть. Напомню, что всего можно создать до 4х сетей в контроллере. Первое время мы жили на обычном WPA2 с расшаренным ключем. Но, поскольку студенты — люди щедрые, ключ стал потихоньку утекать, и было решено перевести систему на доменные логины (к которым студенты относятся более ответственно, т.к. они уже персонализированные). Читать дальше “Развертывание корпоративной беспроводной сети на базе Ubiquity Unifi” »

Мониторинг S.M.A.R.T. с уведомлениями по почте

smartd -p /var/run/smard.pid

В моем случае пришлось иметь дело с тремя рейдами — один хардверным, и двумя софтверными. С  софтверными проще — просто мониторим каждый диск, входящий в состав рейда. С хардверным сложней — сначала надо определить его тип. У меня оказался cciss (HP Smart Array). Его драйвером является sat+cciss,N, где N — номер устройства в рейде (0,1 в моем случае). Поэтому в конфиг пишем следующие вещи

/dev/sda -d sat+cciss,0 -a -o on -S on -s (S/../.././02|L/../../6/03)
/dev/sda -d sat+cciss,1 -a -o on -S on -s (S/../.././02|L/../../6/03)
/dev/sda -d sat+cciss,0 -a -I 194 -W 4,45,55 -R 5 -m root
/dev/sda -d sat+cciss,1 -a -I 194 -W 4,45,55 -R 5 -m root

Первые две строчки говорят нам о том, что диск будет на постоянном мониторинге, с включенными офлайн тестами, с включенным автосохранением параметров SMART и запускать тесты каждую ночь — каждый день короткий, и каждую субботу длинный.

Вторые две строчки говорят нам, что диск сервис будет мониторить температуру и число переназначенных секторов, и  при изменении температуры больше, чем на 4 градуса с момента последней проверки, или при достижении критической температуры в 55 градусов будет отсылаться письмо root`у. При превышении 45 градусов будет произведена запись в лог.

Также надо закомментировать строчку

DEVICESCAN -d removable -n standby -m root -M exec /usr/share/smartmontools/smartd-runner

которая по умолчанию отменяет все, что написано после нее, и добавляет автоматические проверки всех найденных дисков.

Эта прекрасная утилита имеет версию и под Windows.

Письма отсылаются стандартными средствами системы (postfix в моем случае), так что перенастроить альяс с рута на нужный адрес не составляет труда.