LINUX.ORG.RU
ФорумAdmin

Вопросик )

 , ,


0

3

У меня есть сервер с каналом 1Gbps, на него начали сыпаться udp фрагментированные пакеты со скоростью ~5-8Gbps, ну и канал собственно парализуется. Я попросил своего провайдера отрубить нахер весь UDP, который идет ко мне или запретить ip fragmentation. У него стоит Arbor(это такое anti-ddos решение, которое стоит 70 евро и который не помогает, а только смягчает) и он говорит что это не файрвол и иди к черту. Неужели так трудно сделать фильтр ему? Вроде даже на самых простых маршрутизаторах есть firewall.

Хочу узнать нормально ли это для провайдера, вообще кто-нибудь делает подобное, что прошу я? Или может я что-то запредельно сложное прошу от него. Сам я на своем сервере конечно в iptables заблочил весь UDP, но толку 0, канал забивается естественно. Пров европейский не маленький

★★★★

Сам я на своем сервере конечно в iptables заблочил весь UDP

Хм, и как у Вас теперь DNS работает?

Serge10 ★★★★★
()

Вы просите техподдержку провайдера сделать то, чего нет в договоре. И скорее всего у них (у тех кто отвечает на ваши запросы) такой возможности (править правила фильтрации на маршрутизаторах) и нет вовсе.

А если вы хотите сменить провайдера и спрашиваете, какие провайдеры по запросу пользователя настраивают фильтрацию на своих маршрутизаторах, то лучше так прямо и задавайте вопрос, заодно у вас явно будут ещё какие-то другие требования. Я таких не знаю, но может кто ответит.

mky ★★★★★
()

Попробуйте для начала с провайдером сменить ваш IP-адрес, возможно, поможет.

berrywizard ★★★★★
()

с каналом 1Gbps
пакеты со скоростью ~5-8Gbps

Или лыжи или я. Что-то не сходиться по математике.

Я попросил своего провайдера отрубить нахер весь UDP

имхо неверная формулировка. Писать надо про ddos с просьбой решить проблему, а не предлагать им решение проблемы в виде «отрубить нахер весь UDP».

Сам я на своем сервере конечно в iptables заблочил весь UDP

Надеюсь DROP а не REJECT ?

anc ★★★★★
()
Ответ на: комментарий от Serge10

Разрешил udp со своих dns серверов

gobot ★★★★
() автор топика

Ты стал совсем большой и тебе можно сказать правду. Файрволл не может противодействовать сетевому ддосу. И никогда не мог. А теперь присядь и закрой глаза. В природе вообще не существует рецепта против сетевого ддос. Аминь.

targitaj ★★★★★
()
Ответ на: комментарий от anc

Или лыжи или я. Что-то не сходиться по математике.

На маршрутизаторе провайдера ~5-8Gbps в мою сторону, до меня доходит меньше 1Gbps

имхо неверная формулировка. Писать надо про ddos с просьбой решить проблему

Так поставили Arbor, но он не помогает на 100%, поэтому попросил полностью отключить udp

Надеюсь DROP а не REJECT

да

gobot ★★★★
() автор топика
Ответ на: комментарий от gobot

Так поставили Arbor, но он не помогает на 100%, поэтому попросил полностью отключить udp

Смотрите. Ведь проблема ddos это не только лично ваша проблема. Но и проблема самого прова. Например, Вы отказываетесь от его услуг, на сам адрес ведь ddos продолжиться. Надо на этом акцентировать внимание прова. Это не атака на ваш адрес, а на всего прова. Тем более скорее всего другие адреса тоже по замес попали.

anc ★★★★★
()
Последнее исправление: anc (всего исправлений: 1)
Ответ на: комментарий от targitaj

Файрволл не может противодействовать сетевому ддосу. И никогда не мог.

Бывало спасал. Во всяком случае у меня есть история успеха. Но это маааленький ddos был :)

anc ★★★★★
()
Ответ на: комментарий от anc

если трафик дошел до файрволла, то это значит, что линия УЖЕ занята. Деда Мороза не существует. Зубной феи тоже нет. Крис, боже, они же еще дети!!

targitaj ★★★★★
()
Ответ на: комментарий от targitaj

Не поверите, но действительно спас. Это старая тема про массовый ddos на dns, не помню сколько лет назад это было, это мировая атака по всем прошлась.

anc ★★★★★
()
Ответ на: комментарий от anc

так это же не сетевой ддос

и потом, это не на днс, это ддос с использованием чужих днс. Не тебя ддосили, а кого-то с помощью твоего днс

targitaj ★★★★★
()
Последнее исправление: targitaj (всего исправлений: 1)
Ответ на: комментарий от targitaj

Нет именно сетевой был. ЕМНИП кто-то опубликовал готовый скрипт для кулхацкеров, и все мамины какеры понеслись его запускать. Где-то и крупные провы долго справлялись, но мне повезло, обычного fw хватило. Так что разные истории бывают. Но вы правы, это скорее исключение чем правило.

anc ★★★★★
()
Ответ на: комментарий от targitaj

и потом, это не на днс, это ддос с использованием чужих днс. Не тебя ддосили, а кого-то с помощью твоего днс

Это уже другая история была. Так же помню. Нет, моя история старее.

anc ★★★★★
()
Ответ на: комментарий от anc

))) ясно. Познал все прелести ))) Мы сейчас решаем проблемы возможных ддосов использованием крупных буферов типа CDN всяких и VPS на специализированных площадках. Самый действенный способ скрыться от ддоса - отсутствие у врага инфы о расположение нашего бэка и наличие устойчивой системы фронтов, которые сами это решают. Пускай досит фронты, на здоровье, не наша это головная боль.

targitaj ★★★★★
()
Ответ на: комментарий от gobot

Формулировка «полностью отключить udp» в случае fragmentation звучит наивно. Основная задача атаки заставить маршрутизатор тратить ресурсы на сборку целого ip-пакета из фрагментов. При это информация о том udp, или icmp, или что ещё лежит в первых байтах ip-пакета и не дублируется в остальных. Чтобы понять, что пакет udp нужно его весь собрать. Если уж на то пошло, провайдер должен просто запрещать все фрагментированные пакеты.

mky ★★★★★
()
Ответ на: комментарий от targitaj

Но если у провайдера допустим канал 100GB, а атака идет 5-8, разве он не может заблокировать этот трафик, чтобы он не шел ко мне? Мне он не нужен )

gobot ★★★★
() автор топика

# hping3 -S -p 80 --flood xx.xx.xx.xx

amd_amd ★★★★★
()
Ответ на: комментарий от gobot

Провайдер - может. По сути, это задача решается совместными синхронными действиями провайдеров всех уровней.

В смысле, техническая возможность противодейсвовать есть. К этой возможности надо еще, как минимум, навыки. Лично я такими навыками не обладаю и не думаю, что за 5 минут гугления смогу подтянуться до уровня людей, которые на ддосах деньги зарабатывают.

targitaj ★★★★★
()
Последнее исправление: targitaj (всего исправлений: 1)
Ответ на: комментарий от targitaj

Провайдер - может

Так о провайдере и идет речь

По сути, это задача решается совместными синхронными действиями провайдеров всех уровней

Есть пример такого взаимодействия в реальности?

gobot ★★★★
() автор топика
Ответ на: комментарий от gobot

Есть пример такого взаимодействия в реальности?

я же уже сказал выше, что не в теме по этой теме

targitaj ★★★★★
()
Ответ на: комментарий от gobot

С чего вы взяли что на всего прова?

Ну обычно ddos-ят не по одному ip а подсетями. Или вы думаете это конкретная атака вас? Тогда да, все хуже, пров одного клиента может и на юг послать.

anc ★★★★★
()
Ответ на: комментарий от anc

Ну обычно ddos-ят не по одному ip а подсетями

Откуда такие данные, можно статистику посмотреть?

пров одного клиента может и на юг послать

Ну послать могут и на улице ) Сейчас дос-атака обычный случай, можно сказать штатный, более менее нормальные провайдеры к ней готовы и имеют средства для ее смягчения и полной утилизации

gobot ★★★★
() автор топика
Ответ на: комментарий от gobot

Откуда такие данные,

1. Практика + отзывы других.

можно статистику посмотреть?

2. Нет конечно. Не собираю такого.

anc ★★★★★
()
Ответ на: комментарий от gobot

Дядь, типичный провайдер плохо себе представляет что делать с ддос. Возможно, я ошибаюсь. Хорошо бы так.

targitaj ★★★★★
()
Ответ на: комментарий от gobot

Сейчас дос-атака обычный случай, можно сказать штатный

Вы хотели сказать ddos ?
Если это направленно на «вас любимых» то это целенаправленная заказуха. И вот тут решать сменой ip не получиться.
Если варианты когда накрывают сетями то другое.

anc ★★★★★
()
Ответ на: комментарий от gobot

Это как-то больше похоже просто на udp-флуд, чем на фрагментацию, потому что пакеты размером с MTU, если только провайдер их не собирает и не фрагментирует заново.

Да, по поводу первых байт я вам нагнал, протокол указывается в каждом ip пакете. Почему-то подумал, что вы хотите запретить определённые udp-порты (или все, кроме DNS).

mky ★★★★★
()
Ответ на: комментарий от anc

Значит это ваше субъективное мнение

gobot ★★★★
() автор топика
Ответ на: комментарий от mky

Это как-то больше похоже просто на udp-флуд, чем на фрагментацию

А фрагментация это не флуд?

Почему-то подумал, что вы хотите запретить определённые udp-порты (или все, кроме DNS).

Можно было бы запретить только порт, но дело в том, что порт этот был 80, поэтому не мог. Пришлось запретить весь UDP

gobot ★★★★
() автор топика
Ответ на: комментарий от gobot

Флуд, но мелкими пакетами, разрмер фрагмента заметно меньше размера MTU. Хотя, как я уже писал, можно предположить, что хостер дефрагментирует эти пакеты и исходно приходят пакеты меньшего размера.

mky ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.