Проблема DDOS

[Cramac]

Всем привет. Столкнулся с таким вопросом. Кто то где то накосячил, и абона решили за ддосить.

Льют на его IP UDP трафик с разных адресов, без порта.

Выглядит это так:

Скрытый текст

20:46:04.275671 IP 77.239.200.31 > 91.х.х.34: ip-proto-17
20:46:04.275673 IP 77.239.200.31.53 > 91.х.х.34.57708: 4104 8/13/0 DNSKEY, RRSIG, RRSIG, RRSIG, RRSIG, DNSKEY, DNSKEY[|domain]
20:46:04.275680 IP 212.83.150.7.389 > 91.х.х.34.4109: UDP, length 2919
20:46:04.275683 IP 195.162.90.26.53 > 91.х.х.34.2558: 61366| 24/0/0 RRSIG, RRSIG, RRSIG, RRSIG, RRSIG, RRSIG, TXT "google-site-verification=gIEZUYY9g2-1blybvLN_bniEoxie4FWclulHw6DvZUU", TXT "MS=ms93096948", TXT "v=spf1 mx ip4:65.205.231.173 ip4:65.205.231.174  ip4:65.205.231.175  ip4:65.205.231.176 ip4:68.232.140.78 include:customers.clickdimensions.com include:amazonses.com exists:%{i}.spf.PeaceCorps.iphmx.com ~all", Type51, SOA[|domain]
20:46:04.275685 IP 212.83.150.7 > 91.х.х.34: ip-proto-17
20:46:04.275688 IP 13.94.171.17 > 91.х.х.34: ip-proto-17
20:46:04.275755 IP 195.162.90.26 > 91.х.х.34: ip-proto-17
20:46:04.275758 IP 195.162.90.26 > 91.х.х.34: ip-proto-17
20:46:04.275761 IP 103.244.250.146 > 91.х.х.34: ip-proto-17
20:46:04.275762 IP 103.244.250.146 > 91.х.х.34: ip-proto-17
20:46:04.275765 IP 13.94.171.17 > 91.х.х.34: ip-proto-17
20:46:04.275766 IP 191.242.217.214.389 > 91.х.х.34.29514: UDP, length 2828
20:46:04.275770 IP 185.84.137.115.389 > 91.х.х.34.10600: UDP, length 2954
20:46:04.275773 IP 185.84.137.115 > 91.х.х.34: ip-proto-17
20:46:04.275791 IP 181.225.136.2.389 > 91.х.х.34.21829: UDP, length 2808
20:46:04.275795 IP 181.225.136.2 > 91.х.х.34: ip-proto-17
20:46:04.275798 IP 188.186.185.245.53 > 91.х.х.34.34840: 48614| 27/0/0 RRSIG, TXT "adobe-idp-site-verification=c5bd8e9e38c19e39bab26f49615f8fef78d1865faa2ce8bfe0c941b0b1d5bd29", TXT "adobe-idp-site-verification="c5bd8e9e38c19e39bab26f49615f8fef78d1865faa2ce8bfe0c941b0b1d5bd29"", AAAA 2600:1f18:46d5:1100:4526:5944:91c8:a5b, SOA, MX mx2.peacecorps.iphmx.com. 20, MX mx1.peacecorps.iphmx.com. 10, MX mailmx.peacecorps.gov. 5, DNSKEY, DNSKEY, DNSKEY, DNSKEY, RRSIG[|domain]
20:46:04.275841 IP 44.233.125.174 > 91.х.х.34: ip-proto-17
20:46:04.275846 IP 44.233.125.174 > 91.х.х.34: ip-proto-17
20:46:04.275895 IP 87.245.140.165 > 91.х.х.34: ip-proto-17
20:46:04.275898 IP 87.245.140.165 > 91.х.х.34: ip-proto-17
20:46:04.275901 IP 95.211.202.75.389 > 91.х.х.34.48219: UDP, length 2957
20:46:04.275904 IP 95.211.202.75 > 91.х.х.34: ip-proto-17
20:46:04.275905 IP 95.211.202.75 > 91.х.х.34: ip-proto-17
20:46:04.275908 IP 188.186.185.245 > 91.х.х.34: ip-proto-17
20:46:04.275909 IP 159.242.119.62 > 91.х.х.34: ip-proto-17
20:46:04.275945 IP 91.197.144.174.53 > 91.х.х.34.53090: 3010| 26/0/0 MX mx2.peacecorps.iphmx.com. 20, DNSKEY, AAAA 2600:1f18:46d5:1100:4526:5944:91c8:a5b, RRSIG, RRSIG, RRSIG, RRSIG, RRSIG, RRSIG[|domain]
20:46:04.275948 IP 91.197.144.174 > 91.х.х.34: ip-proto-17
20:46:04.275950 IP 52.156.79.192 > 91.х.х.34: ip-proto-17
20:46:04.275952 IP 91.197.144.174 > 91.х.х.34: ip-proto-17
20:46:04.275956 IP 191.242.217.214 > 91.х.х.34: ip-proto-17

Схема такая 

магистрал - НАС - абон

 

ддосят ип адрес абона (реальный), сеть адресов нам маршрутизирует магистрал.

Абона отключили у себя, но трафик на него льется все равно. Блокировки ничего не дают (делал реджект через иптайблс для данного ип, закрыл полностью udp). Я так понимаю, без магистрала тут ничего не решить?

[vlad11]

Либо самостоятельно фильтровать, либо просить у магистрала  blackhole.

[Cramac]

самостоятельно что то не выходит.

Цитата

iptables -t raw -D PREROUTING -p udp -i eth1 -j DROP

 

ничего не дает.

 

eth1 входящий интерфейс

 

Цитата

# iptables -L -n  -v -t raw

Chain PREROUTING (policy ACCEPT 169K packets, 147M bytes)

 pkts bytes target     prot opt in     out     source               destination         

 117K  360M DROP       udp  --  eth1   *       0.0.0.0/0            0.0.0.0/0

 

[rz3dwy]

Если у вас канал толстый и оборудование могучее, то можете закрыть фильтром абонента, но пакеты к вам от этого лететь не перестанут. Ели это трафик мешает вам, то обращайтесь к аплинку за помощью.

[Cramac]

да, канал был жирный (для нас) но его забило под завязку и да, забит только порт на вход, дальше тишина. Уже запросил помощи сверху....

[vlad11]

Правильнее не резать firewall'ом, а повесить проблемные IP на локалхост маршрутизатора.
Другое дело, что это спасет ресурсы CPU, но никак не решит проблему переполнения входящего канала.

[Cramac]

как раз мне надо канал очистить. ресурсы у меня все свободны.

[TriKS]

Только аплинк. UDP на вход будут лететь до всирачки. Пусть у себя блекхолят.

[Cramac]

спасибо.

[Saab95]

А что обратный DDOS нельзя сделать - вам пришли пакеты, вы их обратно на эти же адреса отзеркалили? Исходящий же канал свободен.

[witch]

27 минут назад, Saab95 сказал:

А что обратный DDOS нельзя сделать - вам пришли пакеты, вы их обратно на эти же адреса отзеркалили? Исходящий же канал свободен.

И тут же словить блокировку от аплинка за ддос. 

[Cramac]

Аплинк зафильтровал адрес что ддосили, проблема решилась. 
как оказалось, у клиента стоит сервер игры SCP:SL

и кому то он так насолил...

[bike]

В 15.02.2020 в 14:18, Cramac сказал:

Аплинк зафильтровал адрес что ддосили, проблема решилась. 
как оказалось, у клиента стоит сервер игры SCP:SL

и кому то он так насолил...

DDOS весёлой полосой имеет не малую цену, так что насолил или украл кусок пирога - это вторично.

Сколько лилось то? Мегабиты, гиги или 10 гиг?

Так для статистики вопрос.

[Cramac]

В данном случае, был гиговый порт, весь забитый.

[Ivan_83]

В 15.02.2020 в 13:24, Saab95 сказал:

А что обратный DDOS нельзя сделать - вам пришли пакеты, вы их обратно на эти же адреса отзеркалили? Исходящий же канал свободен.

Тупой совет.

SRC IP там может быть не реальный, и пакеты полетят в обратку совсем непричастным людям.

[NiTr0]

В 15.02.2020 в 13:18, Cramac сказал:

как оказалось, у клиента стоит сервер игры SCP:SL

и кому то он так насолил...

может совпало.

нам недавно прилетал кратковременный (минут на 10 в общей сложности) ддос на несколько гбит (на глаз, т.к. вогнали канал в полку при запасе поболее гбита и исход сильно упал), кривыми (криво фрагментированными похоже) юдп пакетами, на ип из нат пула...

[Cramac]

Было бы на 10 минут, мало ктоб заметил. У нас 3 часа минимум длилось, пока адрес в блок ставили

[VolanD666]

6 часов назад, Cramac сказал:

Было бы на 10 минут, мало ктоб заметил. У нас 3 часа минимум длилось, пока адрес в блок ставили

Дык вы договоритесь с провом по поводу коммьюнити. На случай след. раза, чтобы проблема решилась быстрее и не ждать 3 часа )))

[KotikBSd]

Аналогично на прошлой неделе влили на НАТовский IP несколько десятков гигабит, все аплинки в полку ушли... причем продолжительность была 5-10 мин, фактически даже в BH добавить не успели.

Вообще в основном ddos идет на реальники, первый раз у меня на натовский ип прилетело...

Был случай вообще из ряда вон - ddosили целую подсеть /21(т.е. реально лили на все ип сразу)... При этом там трафика по объему было минимум, но количество пакетов было просто огромным, маршрутизатору даже дурно начало становится, bgp начали флапать.

Фактически все работало, но кидание трафика между разными аплинками хомяков раздражало, т.к. так или иначе но в моменты флапов были потери нескольких пакетов. Фактически мы даже сделать ничего не могли, слить целую /21 в BH это как в голову выстрелить :) тупо и бессмысленно, а по src там тоже был не вариант, т.к. распределенная атака была... и так было час или полтора...

У меня практика простая, если ddos пришел на одного и того-же абона(физика) второй раз - нахрен из сети вылетает. Если это юрик, то предупреждение, что бы задумался что он что-то не то  творит в интернете, а дальше по обстоятельствам.

Правда последний случай с НАТовским ип... и ddos на всю /21... непонятно кого казнить )