DDoS атаки ~1.6gb/s

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
estray
проходил мимо
Сообщения: 2
Зарегистрирован: 2014-12-02 20:16:59

DDoS атаки ~1.6gb/s

Непрочитанное сообщение estray » 2014-12-02 20:18:30

Доброго времени суток.

Предыстория:
Я являюсь одним из мамонтов, что дожил до наших дней, держащий сервер игры Metin2. Проекту исполняется 2 года через 10 дней, нынешнему серверу - год. Две недели назад началась DDoS-атака, которой я, к сожалению, пока не смог противостоять и решил попытать счастье в поисках помощи у вас. К делу...

Немного информации:
Сервер - Core i5 3.8ГГц (4 ядра) / 8Гб RAM / 2x500Гб SATA;
ОС - FreeBSD 10;
Firewall - Packet Filter.

Так вот, ранее PF надежно защищал меня и я с командой спокойно занимались развитием сервера, но две недели назад начались DDoS-атаки, которые он просто не вывозит (подозреваю, что это botnet). Сообщения от хостера при каждой блокировке примерно в таком духе:

На момент блокировки зафиксирован средний входящий трафик 1.6 G бит в секунду со средним размером пакетов 338.

Основные источники трафика:
152.subnet118-97-77.static.astinet.telkom.net.id118.97.77.152 29.9M байт в секунду с размером пакета 1383 байт на 0 порт.
1.199.79.115 18.4M байт в секунду с размером пакета 287 байт на 13001 порт.
c-76-101-92-152.hsd1.fl.comcast.net76.101.92.152 17.9M байт в секунду с размером пакета 330 байт на 13001 порт.
116.231.142.73 17.7M байт в секунду с размером пакета 335 байт на 13001 порт.
116.226.17.126 17.7M байт в секунду с размером пакета 335 байт на 13001 порт.
116.231.133.210 17.7M байт в секунду с размером пакета 335 байт на 13001 порт.
62.217.41.81 17.1M байт в секунду с размером пакета 334 байт на 13001 порт.
141.70.80.99 17.1M байт в секунду с размером пакета 334 байт на 13001 порт.
39.73.197.141 16.7M байт в секунду с размером пакета 321 байт на 13001 порт.
89-162-96-137.fiber.signal.no89.162.96.137 12.3M байт в секунду с размером пакета 1375 байт на 0 порт.
83.20-broadband.acttv.in202.83.20.144 11.9M байт в секунду с размером пакета 1375 байт на 0 порт.
212-83-136-198.rev.poneytelecom.eu212.83.136.198 11.3M байт в секунду с размером пакета 1375 байт на 0 порт.
61.150.43.7 10.9M байт в секунду с размером пакета 1375 байт на 0 порт.
124.68.5.171 10.9M байт в секунду с размером пакета 340 байт на 13001 порт.
111.17.216.35 9.8M байт в секунду с размером пакета 1375 байт на 0 порт.

Присутствует забавная нотка: атака идёт на игровые порты, однако они не падают. То есть, все, кто находились в игре, играют, но новые люди зайти не могут. Всех выбрасывает, когда хостер блочит интернет на сервере.

Пара кусочков из правил PF:

Код: Выделить всё

set limit { states 40000, frags 40000, src-nodes 4000, table-entries 400000 }
set timeout { tcp.first 30, tcp.opening 15, tcp.established 60 }

pass in on $ext_if proto tcp from any to $ext_if port 11002 flags S/SA keep state \ (max-src-conn 35, max-src-conn-rate 8/15, overload <in_game> flush)

pass out on $ext_if proto { tcp, udp } all
Не уверен, что правильно понимаю, но в моём представлении происходит так: атакующие забивают очередь -> PF их не блокирует -> Хостер блочит сервер.

Может ли кто-нибудь помочь?
Заранее спасибо за отзывчивость.
Последний раз редактировалось f_andrey 2014-12-02 21:01:36, всего редактировалось 1 раз.
Причина: Автору. пожалуйста, выбирайте соответствующий раздел форума, оформляйте сообщение по человечески.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Neus
майор
Сообщения: 2006
Зарегистрирован: 2008-09-08 21:59:56

Re: DDoS атаки ~1.6gb/s

Непрочитанное сообщение Neus » 2014-12-02 21:00:20

Подозреваю что это товарищи что делают бизнес на защищенных от ддос серверах
Тут один такой как раз рекламировался
Рэкет переехал в виртуал :)

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35465
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: DDoS атаки ~1.6gb/s

Непрочитанное сообщение Alex Keda » 2014-12-03 10:52:13

хостер просто блочит по причине занятой полосы
ему проще срезать ваш IP на входном оборудовании - и вы перестаёте мешать всем

а с такой занятой полосой - вы однозначно мешаете, т.к. внутри датацентра тоже гигабит разбросан по оборудованию.
а вы уже 1.6 заняли ... значит у всех остальных начинает тупить.
Убей их всех! Бог потом рассортирует...

Аватара пользователя
vintovkin
ВДВ
Сообщения: 1291
Зарегистрирован: 2007-05-11 9:39:11
Откуда: CSKA

Re: DDoS атаки ~1.6gb/s

Непрочитанное сообщение vintovkin » 2014-12-03 20:12:38

у провайдеоа защита должны быть от ддоса, поинтерсуйтесь,
это волюметрическая атака на переполнение полосы, одна из самых простых,
отрезайте фаерволом "плохие" айпи, и вообще защита от ддос это не тривиальная задача,
одним pf вам не справится, обычно это услуга за которую надо платить провайдеру ...
JunOS kernel based on FreeBSD UNIX.

Bayerische
капитан
Сообщения: 1820
Зарегистрирован: 2010-12-25 20:41:50
Откуда: Хлебная столица

Re: DDoS атаки ~1.6gb/s

Непрочитанное сообщение Bayerische » 2014-12-04 9:57:02

Поддержу высказавшихся. Если вас отрубает провайдер, то на уровне сервера вы ничего уже не сделаете. Если бы сам сервер не справлялся, реально сделать защиту от DDoS до определённых пределов.

Аватара пользователя
Neus
майор
Сообщения: 2006
Зарегистрирован: 2008-09-08 21:59:56

Re: DDoS атаки ~1.6gb/s

Непрочитанное сообщение Neus » 2014-12-04 14:45:32

защита от DDoS также должна быть D... :)
таким образом это задача не провайдера, а провайдеров.

estray
проходил мимо
Сообщения: 2
Зарегистрирован: 2014-12-02 20:16:59

Re: DDoS атаки ~1.6gb/s

Непрочитанное сообщение estray » 2014-12-07 21:02:42

Собственно, я немного продвинулся в теории и заметил, что если прописать pfctl -sS, то он вернет список IP (вот все адреса с последней атаки: http://pastebin.ru/8v0qqMvS). Вот, например, 10 строк оттуда:

Код: Выделить всё

155.161.26.94 -> 0.0.0.0 ( states 1, connections 0, rate 0.0/60s )
112.179.85.156 -> 0.0.0.0 ( states 1, connections 0, rate 0.0/60s )
82.216.51.216 -> 0.0.0.0 ( states 0, connections 0, rate 0.0/60s )
68.237.18.102 -> 0.0.0.0 ( states 0, connections 0, rate 0.0/60s )
2.163.78.173 -> 0.0.0.0 ( states 0, connections 0, rate 0.0/60s )
74.121.255.220 -> 0.0.0.0 ( states 1, connections 1, rate 0.4/60s )
128.30.228.253 -> 0.0.0.0 ( states 0, connections 0, rate 0.0/60s )
95.176.103.18 -> 0.0.0.0 ( states 1, connections 0, rate 0.0/60s )
76.26.177.0 -> 0.0.0.0 ( states 0, connections 0, rate 0.0/60s )
218.147.234.9 -> 0.0.0.0 ( states 0, connections 0, rate 0.0/60s )
Почти все атакующие IP имеют connections 0, а "живые" коннекты - 1 и более. Более того, все IP-адреса явно не принадлежат к какой-либо физической машине. Я считаю, что это что-то вроде подмены IP, когда IP адрес выбирается совершенно рандомно. Каждый атакующий IP не создает более одного подключения к серверу.

Есть ли какие-то предположения или идеи, как блокировать коннекты, у которых connections равен нулю?

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35465
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: DDoS атаки ~1.6gb/s

Непрочитанное сообщение Alex Keda » 2014-12-09 0:29:23

vintovkin писал(а):у провайдеоа защита должны быть от ддоса, поинтерсуйтесь,
это волюметрическая атака на переполнение полосы, одна из самых простых,
отрезайте фаерволом "плохие" айпи, и вообще защита от ддос это не тривиальная задача,
одним pf вам не справится, обычно это услуга за которую надо платить провайдеру ...
вы неправы...
вот на нас как-то была атака...
IP с фейковыми отправителями.
тупо по кругу все 4 миллиарда адресов гонялось, с которых шлются по паре-тройке мусорных UDP пакетов....
засрали 4 гигабита ...

лочить 0/0 чтоле? =)
--
на самом деле извернулись, попросили пошеёпить всё не DNS UDP, аплинка, на 1 мегабит
а на DNS оставить 10 мегабит
но если бы на TCP переключились, то уже всё, ничё не сделаешь
Убей их всех! Бог потом рассортирует...