Как определить откуда DDOS в локалке?

Question

Андрей Корехов @Haotik

PHP мидл без фреймворков

Как определить откуда DDOS в локалке?

Добрый день,
Есть локальная сеть на 30 компьютеров, в качестве шлюза используется роутер Keenetic Extra II. Последний месяц стал звонить провайдер и предупреждать, что с нашего ip периодически идет DDOS атака. Провайдер дает данные о времени атаки и все.
Компьютеры в локальной сети я проверил CureIT на вирусы, но проблемы это не решило.
Есть ли какой то способ отследить по логам роутера с какого конкретно устройства шла атака?

Вопрос задан более трёх лет назад
1791 просмотр

6 комментариев

Подписаться 2 Простой 6 комментариев

iddqda @iddqda

У кинетика неплохая собственная статистика имеется
можно в нее потыкать в веб морде
так же удаленно через приложения my.keenetic и keenetic можно мониторить список соединений и количество трафика по ним

еще не мешает обновить кинетик до последней версии
возможно непосредственно он сам участвует в атаках типа ntp или dns amplification

Написано более трёх лет назад
hint000 @hint000

а вообще
с нашего ip периодически идет DDOS атака
- это провайдерский бред, если не опечатка. Хоть бы просто DoS сказали - можно было поверить. Ну и без уточнения адреса жертвы атаки вам будет сложновато отслеживать. Всё-таки попросите провайдера уточнить.

Написано более трёх лет назад
АртемЪ @Jump

hint000, Ну почему же бред? Если компьютер является участником ботнета - это DDoS.
Хотя правильнее говорить не "идет DDoS атака" , а участвует в DDoS атаке.

Написано более трёх лет назад
hint000 @hint000

АртемЪ, если идёт DDoS, то было бы логично, чтобы каждый участник генерировал не очень большой трафик, как раз чтобы никого конкретно нельзя было уличить в участии. Трафик похож на легитимный, хрен отличишь. Конечно, это не обязательно, но это было бы рациональным поведением для атакующей стороны.

Написано более трёх лет назад
АртемЪ @Jump

hint000, Ну провайдер может либо сам определить паразитный трафик - если он достаточно заметный, либо ему может кто-то пожаловаться, что с его адресов идет атака.

А так даже при распределенной атаке зачастую идет вполне заметный трафик с одного хоста.

Написано более трёх лет назад
Модератор @TosterModerator

Для комментирования ответа жмите линк "Комментировать" под ответом
Не нужно писать комментарий в форме для ответа
Оповещения о такой реплике не поступит автору ответа

Не нужно засорять секцию ответов "спасибовсем", "решено" и тп

Написано более трёх лет назад

Решения вопроса 2

2 комментария

Комментировать

Пригласить эксперта

Ответы на вопрос 1

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

Компьютерные сети

Средний
Не запускается сайт?
- 1 подписчик
- 7 часов назад
- 72 просмотра
0

ответов
Компьютерные сети

+1 ещё

Простой
Почему не вижу трафик при зеркалировании портов (SPAN)?
- 1 подписчик
- 13 часов назад
- 41 просмотр
1

ответ
Компьютерные сети

+1 ещё

Простой
Правильно ли работае у меня sFlow и как понять этот трафик, который приходит?
- 1 подписчик
- 13 часов назад
- 25 просмотров
0

ответов
Windows

+3 ещё

Простой
Как печатать через интернет с iphone на usb принтер подключенный к windows 7?
- 1 подписчик
- 15 часов назад
- 75 просмотров
1

ответ
Компьютерные сети

+1 ещё

Средний
Как настроит передачу vlan в Mikrotik не используя бридж?
- 1 подписчик
- 20 часов назад
- 81 просмотр
1

ответ
Компьютерные сети

Средний
Как подключиться к оборудованию по IP через Radmin?
- 1 подписчик
- 22 часа назад
- 107 просмотров
1

ответ
Linux

+2 ещё

Простой
Как правильно настроить SSH и RDP через reverse ssh через третий хост?
- 1 подписчик
- вчера
- 74 просмотра
0

ответов
Сетевое администрирование

+1 ещё

Простой
Настроить wake on lan для AnyDesk?
- 6 подписчиков
- вчера
- 6199 просмотров
3

ответа
Компьютерные сети

+2 ещё

Простой
Как пробросить RTSP видеопоток в другую подсеть?
- 1 подписчик
- 22 апр.
- 207 просмотров
1

ответ
Компьютерные сети

+2 ещё

Простой
Как сделать чтобы разные субдомены вели на разные порты одного ip адреса?
- 3 подписчика
- 22 апр.
- 375 просмотров
1

ответ
Показать ещё Загружается…

Senior ML Engineer (Computer Vision)

Gradient

от 450 000 ₽

Агент поддержки

PulseGPT

от 25 000 до 35 000 ₽

Computer vision developer

TQB - хай-тек рекрутмент по-хардкору • Москва

от 300 000 ₽

Спарсить данные с сайта

26 апр. 2024, в 07:20

2000 руб./за проект

Devops для видео сервиса

26 апр. 2024, в 06:46

1000 руб./в час

Найти ошибку flutter_map

26 апр. 2024, в 05:31

1000 руб./за проект

У кинетика неплохая собственная статистика имеется
можно в нее потыкать в веб морде
так же удаленно через приложения my.keenetic и keenetic можно мониторить список соединений и количество трафика по ним

еще не мешает обновить кинетик до последней версии
возможно непосредственно он сам участвует в атаках типа ntp или dns amplification
а вообще
с нашего ip периодически идет DDOS атака
- это провайдерский бред, если не опечатка. Хоть бы просто DoS сказали - можно было поверить. Ну и без уточнения адреса жертвы атаки вам будет сложновато отслеживать. Всё-таки попросите провайдера уточнить.
hint000, Ну почему же бред? Если компьютер является участником ботнета - это DDoS.
Хотя правильнее говорить не "идет DDoS атака" , а участвует в DDoS атаке.
АртемЪ, если идёт DDoS, то было бы логично, чтобы каждый участник генерировал не очень большой трафик, как раз чтобы никого конкретно нельзя было уличить в участии. Трафик похож на легитимный, хрен отличишь. Конечно, это не обязательно, но это было бы рациональным поведением для атакующей стороны.
hint000, Ну провайдер может либо сам определить паразитный трафик - если он достаточно заметный, либо ему может кто-то пожаловаться, что с его адресов идет атака.

А так даже при распределенной атаке зачастую идет вполне заметный трафик с одного хоста.
Для комментирования ответа жмите линк "Комментировать" под ответом
Не нужно писать комментарий в форме для ответа
Оповещения о такой реплике не поступит автору ответа

Не нужно засорять секцию ответов "спасибовсем", "решено" и тп

Answer 1 · 2019-09-17 12:18:11

с вашей задачей справится любой сниффер, но есть конкретная программа, которая бесплатна для малых сетей, отечественная, назначение - тотальный контроль трафика локальных сетей, в том числе есть и функции снифера.. беда в том, что не могу вспомнить название, давно не имел в ней нужды, простите )).. вспомню - стукну дополнительно

ps пока ни как не вспоминается.. (хотя был фаном продукта, когда был "в большом" .. (( .. на замену
https://en.wikipedia.org/wiki/Microsoft_Network_Monitor
ai-news.ru//2017/12/6_luchshih_programm_dlya_anali...
https://networkguru.ru/8-luchshikh-programm-dlia-a...

pss hint000,

TMeter, не?

абсолютно в сапоги (с)

да, он самый. спасибо hint000 ! (таки пишите свой ответ?!)
www.tmeter.ru

Answer 2 · 2021-10-07 11:22:10

Если кому интересно нашел решение но немного с другой стороны так сказать.
После общения с провайдером удалось выяснить какие порты обзваниваются и сделать выводы что искали медиа порты под видео каналы. Т.Е, прозванивали белые IP и искали видео-регистраторы/камеры без защиты которые можно позырить. Ну а дальше планомерный перебор у кого что стоит на компах под видом планового ТО и нахождение виновника.

Answer 3 · 2019-09-17 16:49:54

АртемЪ @Jump

Системный администратор со стажем.

Анализируйте трафик, только так.

Ответ написан более трёх лет назад

Комментировать

Как определить откуда DDOS в локалке?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт