DDoS атаки ~1.6gb/s
Добавлено: 2014-12-02 20:18:30
Доброго времени суток.
Предыстория:
Я являюсь одним из мамонтов, что дожил до наших дней, держащий сервер игры Metin2. Проекту исполняется 2 года через 10 дней, нынешнему серверу - год. Две недели назад началась DDoS-атака, которой я, к сожалению, пока не смог противостоять и решил попытать счастье в поисках помощи у вас. К делу...
Немного информации:
Сервер - Core i5 3.8ГГц (4 ядра) / 8Гб RAM / 2x500Гб SATA;
ОС - FreeBSD 10;
Firewall - Packet Filter.
Так вот, ранее PF надежно защищал меня и я с командой спокойно занимались развитием сервера, но две недели назад начались DDoS-атаки, которые он просто не вывозит (подозреваю, что это botnet). Сообщения от хостера при каждой блокировке примерно в таком духе:
На момент блокировки зафиксирован средний входящий трафик 1.6 G бит в секунду со средним размером пакетов 338.
Основные источники трафика:
152.subnet118-97-77.static.astinet.telkom.net.id118.97.77.152 29.9M байт в секунду с размером пакета 1383 байт на 0 порт.
1.199.79.115 18.4M байт в секунду с размером пакета 287 байт на 13001 порт.
c-76-101-92-152.hsd1.fl.comcast.net76.101.92.152 17.9M байт в секунду с размером пакета 330 байт на 13001 порт.
116.231.142.73 17.7M байт в секунду с размером пакета 335 байт на 13001 порт.
116.226.17.126 17.7M байт в секунду с размером пакета 335 байт на 13001 порт.
116.231.133.210 17.7M байт в секунду с размером пакета 335 байт на 13001 порт.
62.217.41.81 17.1M байт в секунду с размером пакета 334 байт на 13001 порт.
141.70.80.99 17.1M байт в секунду с размером пакета 334 байт на 13001 порт.
39.73.197.141 16.7M байт в секунду с размером пакета 321 байт на 13001 порт.
89-162-96-137.fiber.signal.no89.162.96.137 12.3M байт в секунду с размером пакета 1375 байт на 0 порт.
83.20-broadband.acttv.in202.83.20.144 11.9M байт в секунду с размером пакета 1375 байт на 0 порт.
212-83-136-198.rev.poneytelecom.eu212.83.136.198 11.3M байт в секунду с размером пакета 1375 байт на 0 порт.
61.150.43.7 10.9M байт в секунду с размером пакета 1375 байт на 0 порт.
124.68.5.171 10.9M байт в секунду с размером пакета 340 байт на 13001 порт.
111.17.216.35 9.8M байт в секунду с размером пакета 1375 байт на 0 порт.
Присутствует забавная нотка: атака идёт на игровые порты, однако они не падают. То есть, все, кто находились в игре, играют, но новые люди зайти не могут. Всех выбрасывает, когда хостер блочит интернет на сервере.
Пара кусочков из правил PF:
Не уверен, что правильно понимаю, но в моём представлении происходит так: атакующие забивают очередь -> PF их не блокирует -> Хостер блочит сервер.
Может ли кто-нибудь помочь?
Заранее спасибо за отзывчивость.
Предыстория:
Я являюсь одним из мамонтов, что дожил до наших дней, держащий сервер игры Metin2. Проекту исполняется 2 года через 10 дней, нынешнему серверу - год. Две недели назад началась DDoS-атака, которой я, к сожалению, пока не смог противостоять и решил попытать счастье в поисках помощи у вас. К делу...
Немного информации:
Сервер - Core i5 3.8ГГц (4 ядра) / 8Гб RAM / 2x500Гб SATA;
ОС - FreeBSD 10;
Firewall - Packet Filter.
Так вот, ранее PF надежно защищал меня и я с командой спокойно занимались развитием сервера, но две недели назад начались DDoS-атаки, которые он просто не вывозит (подозреваю, что это botnet). Сообщения от хостера при каждой блокировке примерно в таком духе:
На момент блокировки зафиксирован средний входящий трафик 1.6 G бит в секунду со средним размером пакетов 338.
Основные источники трафика:
152.subnet118-97-77.static.astinet.telkom.net.id118.97.77.152 29.9M байт в секунду с размером пакета 1383 байт на 0 порт.
1.199.79.115 18.4M байт в секунду с размером пакета 287 байт на 13001 порт.
c-76-101-92-152.hsd1.fl.comcast.net76.101.92.152 17.9M байт в секунду с размером пакета 330 байт на 13001 порт.
116.231.142.73 17.7M байт в секунду с размером пакета 335 байт на 13001 порт.
116.226.17.126 17.7M байт в секунду с размером пакета 335 байт на 13001 порт.
116.231.133.210 17.7M байт в секунду с размером пакета 335 байт на 13001 порт.
62.217.41.81 17.1M байт в секунду с размером пакета 334 байт на 13001 порт.
141.70.80.99 17.1M байт в секунду с размером пакета 334 байт на 13001 порт.
39.73.197.141 16.7M байт в секунду с размером пакета 321 байт на 13001 порт.
89-162-96-137.fiber.signal.no89.162.96.137 12.3M байт в секунду с размером пакета 1375 байт на 0 порт.
83.20-broadband.acttv.in202.83.20.144 11.9M байт в секунду с размером пакета 1375 байт на 0 порт.
212-83-136-198.rev.poneytelecom.eu212.83.136.198 11.3M байт в секунду с размером пакета 1375 байт на 0 порт.
61.150.43.7 10.9M байт в секунду с размером пакета 1375 байт на 0 порт.
124.68.5.171 10.9M байт в секунду с размером пакета 340 байт на 13001 порт.
111.17.216.35 9.8M байт в секунду с размером пакета 1375 байт на 0 порт.
Присутствует забавная нотка: атака идёт на игровые порты, однако они не падают. То есть, все, кто находились в игре, играют, но новые люди зайти не могут. Всех выбрасывает, когда хостер блочит интернет на сервере.
Пара кусочков из правил PF:
Код: Выделить всё
set limit { states 40000, frags 40000, src-nodes 4000, table-entries 400000 }
set timeout { tcp.first 30, tcp.opening 15, tcp.established 60 }
pass in on $ext_if proto tcp from any to $ext_if port 11002 flags S/SA keep state \ (max-src-conn 35, max-src-conn-rate 8/15, overload <in_game> flush)
pass out on $ext_if proto { tcp, udp } allМожет ли кто-нибудь помочь?
Заранее спасибо за отзывчивость.
