Автор Тема: DDoS  (Прочитано 1209 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн hulimontana

  • Новичок
  • *
  • Сообщений: 3
  • Рейтинг: 0
  • Пол: Мужской
    • skype
    • Просмотр профиля
  • Откуда: на земле столько уродов?
DDoS
« : 20 сентября 2017, 10:23:37 »
День добрый. Я новичок в администрировании серверов. Я арендую несколько серверов в Нидерландах, под игровые сервера.
И буквально 5 дней назад столкнулся с такой проблемой как DDoS. Всю ночь я наблюдал как один из моих серверов беспощадно досят с периодичностью в 30 минут и продолжительностью примерно тоже в 30 минут. По мониторингу ресурсов было видно, что загружают интернет канал на 98-100%, даже по рдп далеко не всегда получалось подключиться.
Причем было совсем не понятно что именно грузят, трафика по монитору было не видно, но показатель Network Utilization был 98%+.
(Канал 100мб)
Первое что пришло мне в голову это закрыть все лишние входящие соединения. Роутера в моем распоряжении нет, его можно арендовать за дополнительные деньги, предлагают cisco, но я не стал (потому-что плохо разбираюсь какая от него будет польза).
По этому в фаерволе удалил все правила во входящих соединениях, кроме нужного мне игрового UDP порта и RDP с привязкой к моему статическому, домашнему IP. Все безрезультатно, ддос продолжился днем.
Спустя 48 часов без сна, в попытках найти в интернете разного рода информацию, от тех-поддиржки хостинга пришел ответ на мои крики о помощи:
"We are sorry to hear that your server is experiencing DDoS/Syn flood attacks." Козлы, подумал я, но хорошо хоть сказали, что за тип атаки. Добавил в реестр ключи SynAttackProtect (1) и TcpMaxConnectResponseRetransmissions (2). И ушел спать. На утро обнаружил, что сервер по прежнему всю ночь подвергался атакам.
Скачал Network Monitor 3.4 чтобы хоть как-то увидеть вредоносный траффик и стал ждать новой атаки. Предварительно сделал снимок "нормального" траффика, чтобы затем сравнить и найти различия. Вроде получилось, застал вовремя атаку, включил Network Monitor, заснял около 20 минут ддос траффика. Сразу были видны различия, во время атаки появились какие то LDAPMessage пакеты, которых ну совсем нет при нормальной работе сервера. Вот кусок траффика:
77546	2:43:56 PM 9/16/2017	8.5318933		54.79.121.59	172.142.7.56	LDAPMessage	LDAPMessage:Search Result Entry, MessageID: 7	{LDAP:96257, UDP:96256, IPv4:96255}
77547 2:43:56 PM 9/16/2017 8.5319953 201.140.129.5 172.142.7.56 LDAPMessage LDAPMessage:Search Result Entry, MessageID: 7 {LDAP:96259, UDP:96258, IPv4:9957}
77551 2:43:56 PM 9/16/2017 8.5323194 201.140.129.28 172.142.7.56 LDAPMessage LDAPMessage:Search Result Entry, MessageID: 7 {LDAP:96261, UDP:96260, IPv4:10163}
77553 2:43:56 PM 9/16/2017 8.5323194 182.18.181.82 172.142.7.56 LDAPMessage LDAPMessage:Search Result Entry, MessageID: 7 {LDAP:96264, UDP:96263, IPv4:96262}
77554 2:43:56 PM 9/16/2017 8.5325511 116.12.134.108 172.142.7.56 LDAPMessage LDAPMessage:Search Result Entry, MessageID: 7 {LDAP:96266, UDP:96265, IPv4:43251}
77558 2:43:56 PM 9/16/2017 8.5328773 50.207.154.100 172.142.7.56 LDAPMessage LDAPMessage:Search Result Entry, MessageID: 7 {LDAP:96269, UDP:96268, IPv4:96267}
77559 2:43:56 PM 9/16/2017 8.5328773 89.204.242.200 172.142.7.56 LDAPMessage LDAPMessage:Search Result Entry, MessageID: 7 {LDAP:96271, UDP:96270, IPv4:2368}
77562 2:43:56 PM 9/16/2017 8.5331927 220.158.164.183 172.142.7.56 LDAPMessage LDAPMessage:Search Result Entry, MessageID: 7 {LDAP:96273, UDP:96272, IPv4:1730}
77564 2:43:56 PM 9/16/2017 8.5335259 47.94.47.163 172.142.7.56 LDAPMessage LDAPMessage:Search Result Entry, MessageID: 7 {LDAP:96275, UDP:96274, IPv4:88291}
77566 2:43:56 PM 9/16/2017 8.5338535 206.63.185.34 172.142.7.56 LDAPMessage LDAPMessage:Search Result Entry, MessageID: 7 {LDAP:96277, UDP:96276, IPv4:61076}
77568 2:43:56 PM 9/16/2017 8.5338767 142.112.14.59 172.142.7.56 LDAPMessage LDAPMessage:Search Result Entry, MessageID: 7 {LDAP:96279, UDP:96278, IPv4:60745}
77569 2:43:56 PM 9/16/2017 8.5342067 50.234.96.50 172.142.7.56 LDAPMessage LDAPMessage:Search Result Entry, MessageID: 7 {LDAP:96282, UDP:96281, IPv4:96280}
77572 2:43:56 PM 9/16/2017 8.5345308 89.197.105.50 172.142.7.56 LDAPMessage LDAPMessage:Search Result Entry, MessageID: 7 {LDAP:96284, UDP:96283, IPv4:2092}
77574 2:43:56 PM 9/16/2017 8.5348616 210.86.225.179 172.142.7.56 LDAPMessage LDAPMessage:Search Result Entry, MessageID: 7 {LDAP:96286, UDP:96285, IPv4:7520}
77577 2:43:56 PM 9/16/2017 8.5348616 121.41.112.45 172.142.7.56 LDAPMessage LDAPMessage:Search Result Entry, MessageID: 7 {LDAP:96288, UDP:96287, IPv4:31522}
77578 2:43:56 PM 9/16/2017 8.5350428 180.211.106.130 172.142.7.56 LDAPMessage LDAPMessage:Search Result Entry, MessageID: 7 {LDAP:96291, UDP:96290, IPv4:96289}
77583 2:43:56 PM 9/16/2017 8.5354027 80.188.128.136 172.142.7.56 LDAPMessage LDAPMessage:Search Result Entry, MessageID: 7 {LDAP:96294, UDP:96293, IPv4:96292}
Я на 99% уверен, что это тот самый ддос траффик, но все же хочется посоветоваться со знающими людьми, коих у меня нет в знакомых. В одну секунду времени, по логу убирается десятки тысяч таких строк пакетов\запросов. При чем в этот момент ни 1 клиент не подключен, с игрового сервера всех выкидывает почти сразу же как начинается атака.

Подскажите, вредоносный ли это траффик и что дальше с ним делать, возможно есть методы как закрыть дыру или просто заблокировать всю эту сеть по IP адресам? Кстати, все эти ип адреса пинговались мной на момент атаки и оказалось, что они реальные, т.е. нет подмены обратного IP. Если блокировать все эти адреса, то нужен роутер или можно обойтись брандмауером?
Очень надеюсь на вашу помощь, вот уже несколько дней приходится собирать разную информацию в интернете, как мазайку, но чаще всего уводит не туда.

Оффлайн paxa_amo

  • Начинающий
  • *
  • Сообщений: 30
  • Рейтинг: 2
    • Просмотр профиля
  • Откуда: Миасс
DDoS
« Ответ #1 : 20 сентября 2017, 21:36:23 »
Есть 2 основных варианта DDoS: на уровне сервиса и на уровне канала.
В Вашем случае просто заливают канал паразитным трафиком.
При этом Вашему серверу вовсе не обязательно на него отвечать.
Блокировка этих адресов/сетей в данном случае не поможет.
Отбиться на уровне фаервола на сервере тоже не получится.

Собственно вариантов немного:
 - расширить канал и не обращать внимание (только расширять придется очень значительно, т.к. к Вам может и несколько Гб/с прилетать)
 - поменять хостера или адреса. Но если хотят задолбать конкретно Вас, то это не поможет и атакующие быстро вычислят новые.
 - узнать в Вашего хостера есть ли у него сервисы защиты от DDoS. Может за отдельные деньги что-то подобное есть.
 - воспользоваться сторонними сервисами.


Оффлайн sirarthur

  • Старожил
  • ****
  • Сообщений: 577
  • Рейтинг: 5
  • Пол: Мужской
    • Просмотр профиля
DDoS
« Ответ #2 : 20 сентября 2017, 22:26:16 »
тут вам только хостер сможет помочь - иначе - все что на ваш сервер идет - они просто пропускают в вашу сторону и все. И получается что канал уже загружен.

Оффлайн hulimontana

  • Новичок
  • *
  • Сообщений: 3
  • Рейтинг: 0
  • Пол: Мужской
    • skype
    • Просмотр профиля
  • Откуда: на земле столько уродов?
DDoS
« Ответ #3 : 21 сентября 2017, 07:49:29 »
Мощность DDoS траффика, как назло - 1.1 Gbit\s. Стоимость абонентской платы при увеличении канала у этого хостера -
до 1 Gbit\s = 10Евро,
до 2 Gbit\s = 239 Евро.
Ддос защита - 250 Евро установка и каждый месяц 99 Евро абонентская плата.
Для меня это много. Я уже им плачу 10к руб в месяц, я просто столько не зарабатываю.
Быть может кто-то подскажет сторонние сервисы по защите от ддос (С приемлимым ценником)? Я так понимаю через них придется пропускать траффик, скорее всего это плохо повлияет на пинг? Или может кто-то знает хостера с хорошей защитой? Желательно в европпе т.к. играют люди со всего мира. Смена ип адреса не поможет, сервер виден в общем списке по названию и кое-кто нацелен конкретно на него. Название менять совсем не вариант, растеряю всех клиентов.

Оффлайн sirarthur

  • Старожил
  • ****
  • Сообщений: 577
  • Рейтинг: 5
  • Пол: Мужской
    • Просмотр профиля
DDoS
« Ответ #4 : 21 сентября 2017, 11:32:41 »
Cloudfire вроде  предоставляет защиту от ддос
https://habrahabr.ru/company/hosting-cafe/blog/324848/


Updated: 21 September 2017, 11:34:18

Смена ип адреса не поможет
Название менять совсем не вариант
я вот это не совсем понял. Айпи сервера и название - что такое название? dns ? Или что-то другое?

Оффлайн hulimontana

  • Новичок
  • *
  • Сообщений: 3
  • Рейтинг: 0
  • Пол: Мужской
    • skype
    • Просмотр профиля
  • Откуда: на земле столько уродов?
DDoS
« Ответ #5 : 21 сентября 2017, 12:23:51 »
я вот это не совсем понял. Айпи сервера и название - что такое название? dns ? Или что-то другое?
Имя игрового сервера в общем списке. Спасибо Вам за советы и за ссылку, сейчас гляну.