Защита от udp flood dos

Против DOS надо комплекс мер:

1. Включить в ядре поддержку GRKERNSEC_BLACKHOLE = y

2. Iptables + ipset - создать блокирующие правило по таблице IP адресов и добавлять туда спец скриптом чёрные IP (чёрный список). Можно разрешающее правило и добавить только разрешенные, например всю Россию (белый список).

3. Если ddos забивает весь канал без просвета, то отбить его сможет только вышестоящий пров на своём оборудовании! Пунктов 1-2 хватит чтобы при таком ddos продолжать обслуживать клиентов, но качество снизится.

У меня сервера нормально работали при ddos более 600Mb/s но через пару дней датацентры отказывают в хостинге, сильно другие клиенты страдают из-за забитого флудом канала. По этому считаю что флуд 100Mb/s и более, обязаны отбивать вышестоящие провайдеры, и сие надо законодательно закрепить!

По этому считаю что флуд 100Mb/s и более, обязаны отбивать вышестоящие провайдеры, и сие надо законодательно закрепить!

Может они и за тебя твои говносайтики настраивать должны? Что за бред.

может есть защита от такого рода атак?

Да, обратиться к специалистам.
Например, в qrator.

Фильтровать где-то до вашей сетевой карты, т.е. в сети провайдера. Свяжитесь с вашим провайдером, они зачастую идут на встречу (ведь им этот трафик совершенно не нужен).

Фильтруя UDP трафик будьте осторожны, есть большая вероятность отрезать DNS и узнать много нового о своей системе (в частности в скольких местах она оказывается зависит от DNS).

Кажется время простоя для ТС не критично (учитывая что проблема возникла «на днях», пост создан только сегодня, а ТС ещё не повесился :)
Думаю можно обойтись без куратора, домотканными методами. Фильтрация силами своего провайдера технологически проще, а значит надёжнее. Да и дешевле потенциально.
Фильтрация атак по трафику не самая сильная сторона куратора, т.е. они это конечно умеют, но специализируются всё-же на более замысловатых вещах.

За трафик все равно платить придеться.

А куратору не придётся? По сути схема ведь будет та-же самая, только в случае с куратором трафик ещё нужно будет как-то пустить по обходному пути (через куратор).

Ключевой вопрос где дропнуть ddos трафик:

или мучая конечный сервер (цель атаки)

или на входе к провайдеру разгрузим сеть прова и сам сервер!

или кореневой провайдер дропнит входящий трафик, избавиви от твоего ddos всю сеть страны.

Прову надо всего одну запись ACL добавить на пограничный коммутатор чтобы избавить свою сеть и топикпастера от мучений..

Дропать ddos на конечном сервере можно но не оптимально.

Провайдер говорит что ничем помочь не может, точнее не провайдер а техническая поддержка.

ТП хостера у которого стоит сервер? Тогда qrator.
И я-бы задумался о переходе к другому хостеру.

Сами врятли чтото сделаете. В случае когда именно забит канал и сервак особой нагрузки не ощущает - труба-дело.

Но всетаки коечто посоветую из своего опыта:

1. Выяснить кого именно DDoS-ят, попробовать перенести по одному домены с атакуемого сервака на какойто другой и посмотреть будет ли атака «уходить» на новый сервак или нет.

2. Попросить провайдера/дата центр помочь бороться с атакой. Обычно среди атакующих есть 2-3-5 особо мощных хоста ... остальное мелочевка. Выяснить их (tcpdump, iftop ... etc) и попросить провайдера заблочить у себя на фаере.

3. Розпаралелить между 2-мя и более серваками сервисы которые крутятся на атакуемом серваке. В идеале построить простенькие прокси и розкидать их по миру :) Я так делал когда DDoS-или мой сайт. Настроил на двух dedicated серваках в разных концах мира nginx для проксирования трафика, и реальный сервер вообще убрал с DNS. Помогло выжить.

4. Обратиться в спец. конторы за платной помощью, есть много разных ... я не пользовал, ничего сказать не могу.

Как вариант, можно взять пару IP-адрессов у провайдера и переехать сначала на один, потом на второй. Перенастройка ботнета занимает время, поэтому так можно частично что-то восстановить, однако координация действий с провайдером все равно необходима.

Похоже вы уперлись в первый уровень тех. поддержки, которая действительно ничем помочь не может - звоните столько раз сколько понадобится пока вас не переключат на инженера, в идеале на инженера, который имеет непосредственный доступ к пограничным раутерам или ответственен за внутреннюю сеть.

Просите выставить конкретный фильтр, какой именно фильтр вы должны сформулировать сами. Если мальчикам в суппорте парралельно на DDoS в сети своего работадателя, то для инженера за эту сеть ответсвенного это тоже головная боль. Бороться с вашей атакой они не будут, тем более существует практика одностороннего отключения клиентов в таких случаях, но добиться выставления на время фильтра вполне возможно.

Конечно, если вы дежржите шаред хостинг, то все сильно усложняется.