Перейти к содержимому
Калькуляторы

Проблема DDOS

Всем привет. Столкнулся с таким вопросом. Кто то где то накосячил, и абона решили за ддосить.

Льют на его IP UDP трафик с разных адресов, без порта.

Выглядит это так:

Скрытый текст

20:46:04.275671 IP 77.239.200.31 > 91.х.х.34: ip-proto-17
20:46:04.275673 IP 77.239.200.31.53 > 91.х.х.34.57708: 4104 8/13/0 DNSKEY, RRSIG, RRSIG, RRSIG, RRSIG, DNSKEY, DNSKEY[|domain]
20:46:04.275680 IP 212.83.150.7.389 > 91.х.х.34.4109: UDP, length 2919
20:46:04.275683 IP 195.162.90.26.53 > 91.х.х.34.2558: 61366| 24/0/0 RRSIG, RRSIG, RRSIG, RRSIG, RRSIG, RRSIG, TXT "google-site-verification=gIEZUYY9g2-1blybvLN_bniEoxie4FWclulHw6DvZUU", TXT "MS=ms93096948", TXT "v=spf1 mx ip4:65.205.231.173 ip4:65.205.231.174  ip4:65.205.231.175  ip4:65.205.231.176 ip4:68.232.140.78 include:customers.clickdimensions.com include:amazonses.com exists:%{i}.spf.PeaceCorps.iphmx.com ~all", Type51, SOA[|domain]
20:46:04.275685 IP 212.83.150.7 > 91.х.х.34: ip-proto-17
20:46:04.275688 IP 13.94.171.17 > 91.х.х.34: ip-proto-17
20:46:04.275755 IP 195.162.90.26 > 91.х.х.34: ip-proto-17
20:46:04.275758 IP 195.162.90.26 > 91.х.х.34: ip-proto-17
20:46:04.275761 IP 103.244.250.146 > 91.х.х.34: ip-proto-17
20:46:04.275762 IP 103.244.250.146 > 91.х.х.34: ip-proto-17
20:46:04.275765 IP 13.94.171.17 > 91.х.х.34: ip-proto-17
20:46:04.275766 IP 191.242.217.214.389 > 91.х.х.34.29514: UDP, length 2828
20:46:04.275770 IP 185.84.137.115.389 > 91.х.х.34.10600: UDP, length 2954
20:46:04.275773 IP 185.84.137.115 > 91.х.х.34: ip-proto-17
20:46:04.275791 IP 181.225.136.2.389 > 91.х.х.34.21829: UDP, length 2808
20:46:04.275795 IP 181.225.136.2 > 91.х.х.34: ip-proto-17
20:46:04.275798 IP 188.186.185.245.53 > 91.х.х.34.34840: 48614| 27/0/0 RRSIG, TXT "adobe-idp-site-verification=c5bd8e9e38c19e39bab26f49615f8fef78d1865faa2ce8bfe0c941b0b1d5bd29", TXT "adobe-idp-site-verification="c5bd8e9e38c19e39bab26f49615f8fef78d1865faa2ce8bfe0c941b0b1d5bd29"", AAAA 2600:1f18:46d5:1100:4526:5944:91c8:a5b, SOA, MX mx2.peacecorps.iphmx.com. 20, MX mx1.peacecorps.iphmx.com. 10, MX mailmx.peacecorps.gov. 5, DNSKEY, DNSKEY, DNSKEY, DNSKEY, RRSIG[|domain]
20:46:04.275841 IP 44.233.125.174 > 91.х.х.34: ip-proto-17
20:46:04.275846 IP 44.233.125.174 > 91.х.х.34: ip-proto-17
20:46:04.275895 IP 87.245.140.165 > 91.х.х.34: ip-proto-17
20:46:04.275898 IP 87.245.140.165 > 91.х.х.34: ip-proto-17
20:46:04.275901 IP 95.211.202.75.389 > 91.х.х.34.48219: UDP, length 2957
20:46:04.275904 IP 95.211.202.75 > 91.х.х.34: ip-proto-17
20:46:04.275905 IP 95.211.202.75 > 91.х.х.34: ip-proto-17
20:46:04.275908 IP 188.186.185.245 > 91.х.х.34: ip-proto-17
20:46:04.275909 IP 159.242.119.62 > 91.х.х.34: ip-proto-17
20:46:04.275945 IP 91.197.144.174.53 > 91.х.х.34.53090: 3010| 26/0/0 MX mx2.peacecorps.iphmx.com. 20, DNSKEY, AAAA 2600:1f18:46d5:1100:4526:5944:91c8:a5b, RRSIG, RRSIG, RRSIG, RRSIG, RRSIG, RRSIG[|domain]
20:46:04.275948 IP 91.197.144.174 > 91.х.х.34: ip-proto-17
20:46:04.275950 IP 52.156.79.192 > 91.х.х.34: ip-proto-17
20:46:04.275952 IP 91.197.144.174 > 91.х.х.34: ip-proto-17
20:46:04.275956 IP 191.242.217.214 > 91.х.х.34: ip-proto-17

Схема такая 

магистрал - НАС - абон

 

ддосят ип адрес абона (реальный), сеть адресов нам маршрутизирует магистрал.

Абона отключили у себя, но трафик на него льется все равно. Блокировки ничего не дают (делал реджект через иптайблс для данного ип, закрыл полностью udp). Я так понимаю, без магистрала тут ничего не решить?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Либо самостоятельно фильтровать, либо просить у магистрала  blackhole.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

самостоятельно что то не выходит.

Цитата

iptables -t raw -D PREROUTING -p udp -i eth1 -j DROP

 

ничего не дает.

 

eth1 входящий интерфейс

 

Цитата

# iptables -L -n  -v -t raw

Chain PREROUTING (policy ACCEPT 169K packets, 147M bytes)

 pkts bytes target     prot opt in     out     source               destination         

 117K  360M DROP       udp  --  eth1   *       0.0.0.0/0            0.0.0.0/0

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если у вас канал толстый и оборудование могучее, то можете закрыть фильтром абонента, но пакеты к вам от этого лететь не перестанут. Ели это трафик мешает вам, то обращайтесь к аплинку за помощью.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

да, канал был жирный (для нас) но его забило под завязку и да, забит только порт на вход, дальше тишина. Уже запросил помощи сверху....

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Правильнее не резать firewall'ом, а повесить проблемные IP на локалхост маршрутизатора.
Другое дело, что это спасет ресурсы CPU, но никак не решит проблему переполнения входящего канала.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

как раз мне надо канал очистить. ресурсы у меня все свободны.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Только аплинк. UDP на вход будут лететь до всирачки. Пусть у себя блекхолят.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А что обратный DDOS нельзя сделать - вам пришли пакеты, вы их обратно на эти же адреса отзеркалили? Исходящий же канал свободен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

27 минут назад, Saab95 сказал:

А что обратный DDOS нельзя сделать - вам пришли пакеты, вы их обратно на эти же адреса отзеркалили? Исходящий же канал свободен.

И тут же словить блокировку от аплинка за ддос. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Аплинк зафильтровал адрес что ддосили, проблема решилась. 
как оказалось, у клиента стоит сервер игры SCP:SL

и кому то он так насолил...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 15.02.2020 в 14:18, Cramac сказал:

Аплинк зафильтровал адрес что ддосили, проблема решилась. 
как оказалось, у клиента стоит сервер игры SCP:SL

и кому то он так насолил...

DDOS весёлой полосой имеет не малую цену, так что насолил или украл кусок пирога - это вторично.

Сколько лилось то? Мегабиты, гиги или 10 гиг?

Так для статистики вопрос.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 15.02.2020 в 13:24, Saab95 сказал:

А что обратный DDOS нельзя сделать - вам пришли пакеты, вы их обратно на эти же адреса отзеркалили? Исходящий же канал свободен.

Тупой совет.

SRC IP там может быть не реальный, и пакеты полетят в обратку совсем непричастным людям.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 15.02.2020 в 13:18, Cramac сказал:

как оказалось, у клиента стоит сервер игры SCP:SL

и кому то он так насолил...

может совпало.

нам недавно прилетал кратковременный (минут на 10 в общей сложности) ддос на несколько гбит (на глаз, т.к. вогнали канал в полку при запасе поболее гбита и исход сильно упал), кривыми (криво фрагментированными похоже) юдп пакетами, на ип из нат пула...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Было бы на 10 минут, мало ктоб заметил. У нас 3 часа минимум длилось, пока адрес в блок ставили

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

6 часов назад, Cramac сказал:

Было бы на 10 минут, мало ктоб заметил. У нас 3 часа минимум длилось, пока адрес в блок ставили

Дык вы договоритесь с провом по поводу коммьюнити. На случай след. раза, чтобы проблема решилась быстрее и не ждать 3 часа )))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Аналогично на прошлой неделе влили на НАТовский IP несколько десятков гигабит, все аплинки в полку ушли... причем продолжительность была 5-10 мин, фактически даже в BH добавить не успели.

Вообще в основном ddos идет на реальники, первый раз у меня на натовский ип прилетело...

Был случай вообще из ряда вон - ddosили целую подсеть /21(т.е. реально лили на все ип сразу)... При этом там трафика по объему было минимум, но количество пакетов было просто огромным, маршрутизатору даже дурно начало становится, bgp начали флапать.

Фактически все работало, но кидание трафика между разными аплинками хомяков раздражало, т.к. так или иначе но в моменты флапов были потери нескольких пакетов. Фактически мы даже сделать ничего не могли, слить целую /21 в BH это как в голову выстрелить :) тупо и бессмысленно, а по src там тоже был не вариант, т.к. распределенная атака была... и так было час или полтора...

У меня практика простая, если ddos пришел на одного и того-же абона(физика) второй раз - нахрен из сети вылетает. Если это юрик, то предупреждение, что бы задумался что он что-то не то  творит в интернете, а дальше по обстоятельствам.

Правда последний случай с НАТовским ип... и ddos на всю /21... непонятно кого казнить )

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.