PiciuU | 2018-12-02 17:30:31 UTC | #1
Cześć, dzisiaj dostaliśmy mocnego DDOSA od pewnego polskiego serwera TS3, przy okazji zrobili sobie reklamę swojego za co mam nadzieję utracą szybko licencję NPL. Po godzinie skończyły się ataki jednak jest problem z działaniem serwera. Samo połączenie i załadowanie Teamspeaka trwa długo, dopiero gdy się on załaduje serwer normalnie działa. Dodatkowo wiele osób nie może w żaden sposób połaczyć się z teamspeakiem. Są w stanie spingować serwer ale nie mogą na niego wejść. Nie jestem w stanie zrozumieć dlaczego tak się dzieje, reset vpsa nic nie zmienił. Wie ktoś w czym może leżeć problem?
Jakub | 2018-12-02 17:31:26 UTC | #2
Po 1 to raczej nie był DDOS a DOS.
Po 2 jeśli możesz podaj adres serwera.
PiciuU | 2018-12-02 17:32:38 UTC | #3
Właśnie nie wiem, wyjątkowo tym razem atak był zdecydowanie silniejszy niż zazwyczaj i nie wyglądał jak z jednego adresu. Na PW wysłałem adres serwera
Jakub | 2018-12-02 17:34:13 UTC | #4
Tak widzę, problem występuje spróbuj zrestartować vps’a jeśli nic to nie da skontaktuj się z hostingiem i opisz dokładnie sytuacje, być może zostało Ci ograniczone łącze bądź przez atak wykorzystał Ci się limit transferu.
PiciuU | 2018-12-02 17:36:01 UTC | #5
Zużycie transferu to raczej nie to
10.26 GB z 9536.74 TB Użyte / 9536.74 TB Wolne
Cóż, zostaje mi chyba czekać na odpowiedź dostawcy ale że niedziela to wątpię w szybką reakcję
Jakub | 2018-12-02 17:36:25 UTC | #6
Niestety, musisz zaczekać do jutra.
PiciuU | 2018-12-02 17:37:58 UTC | #7
Ehh, mam nadzieję że przynajmniej zarząd TeamSpeaka przyjmie zgłoszenie o abusowaniu licencji i zrobi coś z tym
KrEdEnS | 2018-12-02 18:17:12 UTC | #8
Może dziwnie to zabrzmi ale postaw ts3 od nowa oczywiście zachowaj bazę danych i katalog files, lub ewentualnie wyłącz serwer I spróbuj postawić nowy, może coś w plikach się stało (zawsze można spróbować)
KrEdEnS | 2018-12-02 18:17:55 UTC | #9
A tak z czystej ciekawości, gdzie masz postawiony serwer?
PiciuU | 2018-12-02 18:29:41 UTC | #10
Hekko, w połowie grudnia przesiadamy sie na jakiś inny hosting stricte pod serwery TeamSpeak tylko nie mam pomysłu jaki :confused:
Co do prób postawienia nowego, też nic nie daje. Stworzyłem drugą instancję z innym portem ale problem ten sam
anon10657637 | 2018-12-02 18:29:58 UTC | #11
Czemu twierdzisz że to DDoS/DoS, a nie typowy atak aplikacyjny?
PiciuU | 2018-12-02 18:32:12 UTC | #12
Nie wykluczam takiej możliwości, jedyne co mogę określić to fakt, że był to atak, całkiem silny który spowodował całkowitą blokadę sieci. Z VPSem nie dało się nawiązać połączenia ani przez putty ani przez panel solusvm
anon10657637 | 2018-12-02 18:34:07 UTC | #13
Czy próbowałeś samodzielnie zdiagnozować ruch?
PiciuU | 2018-12-02 18:34:20 UTC | #14
Znajomy teraz mówi, że podłączył się do hotspota i może wejść na TeamSpeaka bez problemu. Gdy korzysta ze swojego internetu serwer odrzuca połączenie. Tak jakby gdzieś w plikach TeamSpeaka wybrano adresy których by nie wpuszczał? Nigdy nie spotkalem się z czymś takim
KrEdEnS | 2018-12-02 18:35:21 UTC | #15
Co do hostingu to polecam lvlup.pro pakiet kvm game, masz tam filtrację protokołu UDP. Sam też posiadam i jeszcze pod żadnym atakiem się nie ugiął. Co do drugiego ts to wyłącz ten i w home zrób jeszcze jeden w np pliku ts3vol2 i sprawdź czy będzie działać lepiej. Może faktycznie pliki uległy zniszczeniu.
PiciuU | 2018-12-02 18:35:30 UTC | #16
Tak, próbowałem wykryć skąd takie ataki, jakiekolwiek informacje. Przez brak możliwości nawiązania jakiegokolwiek połączenia z VPS udało mi się tylko wyciągnać logi MTR i ewentualnie statystyki z panelu solus
KrEdEnS | 2018-12-02 18:37:16 UTC | #17
Jak sprawdzisz drugi ts Tzn od nowa postawiony i będzie działać pięknie, to zrób snapshot w yatce i przenieś to tam
KrEdEnS | 2018-12-02 18:37:54 UTC | #18
Pamiętaj o przeniesieniu plików z ikonami i nadpisaniem bota query
PiciuU | 2018-12-02 18:38:56 UTC | #19
Jak narazie taką odpowiedź dostałem od dostawcy
Z analizy sieciowej wynika, iż dla adresu IP 195.242.116.177 odnotowany był największy wrogi ruch przychodzący. Przy zastosowaniu antyDDoS w pakiecie serwera, mechanizm odfiltrowuje adresy IP, z których następuje największy ruch spowalniający pracę serwera. Przekazałem zgłoszenie do analizy sieciowej. Proszę o cierpliwość. Zostanie Pan powiadomiony o dalszym przebiegu zgłoszenia.
KrEdEnS | 2018-12-02 18:43:12 UTC | #20
Mnie łączy od razu, także może firewall zatrzymał ip osób które były na serwerze podczas ataku
KrEdEnS | 2018-12-02 18:43:28 UTC | #21
I dlatego wydaje się, że serwer chodzi wolno
PiciuU | 2018-12-02 18:44:49 UTC | #22
Bardzo możliwe, zgadzałoby się to z faktycznym stanem. Osoby które nie były podczas ataku na serwerze łączą się normalnie, reszta co była albo łączy się wolno albo nie może w ogóle.
KrEdEnS | 2018-12-02 18:45:40 UTC | #23
To pewnie wystarczy zrobić reset po ich stronie i powinno działać
KrEdEnS | 2018-12-02 18:46:10 UTC | #24
Co do samego hekko to ochronę mają kiepską jak widzisz ma załączonym obrazku 🤣
PiciuU | 2018-12-02 18:48:20 UTC | #25
No niestety, dużo razy odczułem już ich jakość usług ale sami się lekko wkopaliśmy biorąc vps na cały rok. Teraz szukamy jakiejś zdecydowanie lepszej alternatywy. Dużo czytałem na temat usługi u net-speak tego voice vps, jednocześnie widziałem trochę negatywnych opinii o nich. Ciężko z tego powodu nam wybrać najlepszą możliwosć w przystępnej cenie, która pozwoli na działanie serwera TS3 bez takich akcji
KrEdEnS | 2018-12-02 18:50:07 UTC | #26
Powiem tak jak net speak to tylko Voice vps D.
Co do lvlup to też będziesz zadowolony, oczywiście wybierając KVM Game
Możesz iść na bahu tam też jest ok
PiciuU | 2018-12-02 18:50:14 UTC | #27
Tak tak, KVM. Mam dość zabezpieczeń OpenVZ
KrEdEnS | 2018-12-02 18:50:28 UTC | #28
Ewentualnie dedyk game ovh czy dedyk hosteam
PiciuU | 2018-12-02 18:53:11 UTC | #29
Co do dedyków - za duża cena jak na organizacje nonprofit. Wystarczy nam serwer który utrzyma serwer TeamSpeak poniżej 200 osób i nie padnie od pierwszego lepszego ataku jak Hekko.
dominixz | 2018-12-02 18:55:44 UTC | #30
Dodam swoje 5 groszy do tego tematu. Nie wiem czy coś to pomoże. Otóż jakiś czas temu miałem podobny problem z atakiem na mój serwer. Część osób nie mogła wejść dopiero po zmianie internetu mogła a samo połączanie sie trwało długo. Okazało się że wystarczy skorzystać z komendy iptables -F nie zagłębiałem się czemu tak się dzieje
PiciuU | 2018-12-02 18:59:04 UTC | #31
Nie, to musiał być przypadek. -F po prostu usuwa wpisy w iptables, toteż przy dobrze skonfigurowanych regułach nic nie da.
LinGruby | 2018-12-02 22:38:04 UTC | #32
[quote=”PiciuU, post:1, topic:9188”]
Cześć, dzisiaj dostaliśmy mocnego DDOSA od pewnego polskiego serwera,[…] Po godzinie skończyły się ataki
[/quote]
Po pierwsze i tak krótko trwał ( a pisze tak bo swego czasu przeżyłem atak na domowe łącze, a miałem wtedy jeszcze serwer produkcyjny w domu ) w przeciągu ponad 3 godzin pond 700GB przyjmowałem na klatę…
więc to co tu jest to dziecinada:
[quote=”PiciuU, post:5, topic:9188”]
10.26 GB z 9536.74 TB Użyte / 9536.74 TB Wolne
[/quote]
i jest tam wliczony normalny transfer wliczony…
jak by to był faktycznie DDOS to tak szybko byście się nie pozbierali, po prostu dziecinada nic po za tym…
PiciuU | 2018-12-02 23:10:43 UTC | #33
Co do jasności, zrobiłem tak jak polecałeś i ponownie zainstalowałem serwer od nowa. Niestety przy przywróceniu snapshota serwer dalej długo się ładuje. Postawiłem jeszcze jednego teamspeaka na zapasowym vps, tam po przywróceniu snapshota wszystko działa dobrze. Tak jakby rzeczywiście dostawca ograniczył łącze użytkowników albo wprowadził te blokady w Firewallu. Im więcej struktury do załadowania tym dłużej się ładuje, przykładowo przy domyślnej strukturze serwera TS3 można się połączyć od razu.
system | 2019-01-03 23:10:46 UTC | #34
Ten temat został automatycznie zamknięty 32 dni po ostatnim wpisie. Tworzenie nowych odpowiedzi nie jest już możliwe.