Cramac Опубликовано 14 февраля, 2020 · Жалоба Всем привет. Столкнулся с таким вопросом. Кто то где то накосячил, и абона решили за ддосить. Льют на его IP UDP трафик с разных адресов, без порта. Выглядит это так: Скрытый текст 20:46:04.275671 IP 77.239.200.31 > 91.х.х.34: ip-proto-17 20:46:04.275673 IP 77.239.200.31.53 > 91.х.х.34.57708: 4104 8/13/0 DNSKEY, RRSIG, RRSIG, RRSIG, RRSIG, DNSKEY, DNSKEY[|domain] 20:46:04.275680 IP 212.83.150.7.389 > 91.х.х.34.4109: UDP, length 2919 20:46:04.275683 IP 195.162.90.26.53 > 91.х.х.34.2558: 61366| 24/0/0 RRSIG, RRSIG, RRSIG, RRSIG, RRSIG, RRSIG, TXT "google-site-verification=gIEZUYY9g2-1blybvLN_bniEoxie4FWclulHw6DvZUU", TXT "MS=ms93096948", TXT "v=spf1 mx ip4:65.205.231.173 ip4:65.205.231.174 ip4:65.205.231.175 ip4:65.205.231.176 ip4:68.232.140.78 include:customers.clickdimensions.com include:amazonses.com exists:%{i}.spf.PeaceCorps.iphmx.com ~all", Type51, SOA[|domain] 20:46:04.275685 IP 212.83.150.7 > 91.х.х.34: ip-proto-17 20:46:04.275688 IP 13.94.171.17 > 91.х.х.34: ip-proto-17 20:46:04.275755 IP 195.162.90.26 > 91.х.х.34: ip-proto-17 20:46:04.275758 IP 195.162.90.26 > 91.х.х.34: ip-proto-17 20:46:04.275761 IP 103.244.250.146 > 91.х.х.34: ip-proto-17 20:46:04.275762 IP 103.244.250.146 > 91.х.х.34: ip-proto-17 20:46:04.275765 IP 13.94.171.17 > 91.х.х.34: ip-proto-17 20:46:04.275766 IP 191.242.217.214.389 > 91.х.х.34.29514: UDP, length 2828 20:46:04.275770 IP 185.84.137.115.389 > 91.х.х.34.10600: UDP, length 2954 20:46:04.275773 IP 185.84.137.115 > 91.х.х.34: ip-proto-17 20:46:04.275791 IP 181.225.136.2.389 > 91.х.х.34.21829: UDP, length 2808 20:46:04.275795 IP 181.225.136.2 > 91.х.х.34: ip-proto-17 20:46:04.275798 IP 188.186.185.245.53 > 91.х.х.34.34840: 48614| 27/0/0 RRSIG, TXT "adobe-idp-site-verification=c5bd8e9e38c19e39bab26f49615f8fef78d1865faa2ce8bfe0c941b0b1d5bd29", TXT "adobe-idp-site-verification="c5bd8e9e38c19e39bab26f49615f8fef78d1865faa2ce8bfe0c941b0b1d5bd29"", AAAA 2600:1f18:46d5:1100:4526:5944:91c8:a5b, SOA, MX mx2.peacecorps.iphmx.com. 20, MX mx1.peacecorps.iphmx.com. 10, MX mailmx.peacecorps.gov. 5, DNSKEY, DNSKEY, DNSKEY, DNSKEY, RRSIG[|domain] 20:46:04.275841 IP 44.233.125.174 > 91.х.х.34: ip-proto-17 20:46:04.275846 IP 44.233.125.174 > 91.х.х.34: ip-proto-17 20:46:04.275895 IP 87.245.140.165 > 91.х.х.34: ip-proto-17 20:46:04.275898 IP 87.245.140.165 > 91.х.х.34: ip-proto-17 20:46:04.275901 IP 95.211.202.75.389 > 91.х.х.34.48219: UDP, length 2957 20:46:04.275904 IP 95.211.202.75 > 91.х.х.34: ip-proto-17 20:46:04.275905 IP 95.211.202.75 > 91.х.х.34: ip-proto-17 20:46:04.275908 IP 188.186.185.245 > 91.х.х.34: ip-proto-17 20:46:04.275909 IP 159.242.119.62 > 91.х.х.34: ip-proto-17 20:46:04.275945 IP 91.197.144.174.53 > 91.х.х.34.53090: 3010| 26/0/0 MX mx2.peacecorps.iphmx.com. 20, DNSKEY, AAAA 2600:1f18:46d5:1100:4526:5944:91c8:a5b, RRSIG, RRSIG, RRSIG, RRSIG, RRSIG, RRSIG[|domain] 20:46:04.275948 IP 91.197.144.174 > 91.х.х.34: ip-proto-17 20:46:04.275950 IP 52.156.79.192 > 91.х.х.34: ip-proto-17 20:46:04.275952 IP 91.197.144.174 > 91.х.х.34: ip-proto-17 20:46:04.275956 IP 191.242.217.214 > 91.х.х.34: ip-proto-17 Схема такая магистрал - НАС - абон ддосят ип адрес абона (реальный), сеть адресов нам маршрутизирует магистрал. Абона отключили у себя, но трафик на него льется все равно. Блокировки ничего не дают (делал реджект через иптайблс для данного ип, закрыл полностью udp). Я так понимаю, без магистрала тут ничего не решить? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vlad11 Опубликовано 14 февраля, 2020 · Жалоба Либо самостоятельно фильтровать, либо просить у магистрала blackhole. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cramac Опубликовано 14 февраля, 2020 · Жалоба самостоятельно что то не выходит. Цитата iptables -t raw -D PREROUTING -p udp -i eth1 -j DROP ничего не дает. eth1 входящий интерфейс Цитата # iptables -L -n -v -t raw Chain PREROUTING (policy ACCEPT 169K packets, 147M bytes) pkts bytes target prot opt in out source destination 117K 360M DROP udp -- eth1 * 0.0.0.0/0 0.0.0.0/0 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rz3dwy Опубликовано 14 февраля, 2020 · Жалоба Если у вас канал толстый и оборудование могучее, то можете закрыть фильтром абонента, но пакеты к вам от этого лететь не перестанут. Ели это трафик мешает вам, то обращайтесь к аплинку за помощью. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cramac Опубликовано 14 февраля, 2020 · Жалоба да, канал был жирный (для нас) но его забило под завязку и да, забит только порт на вход, дальше тишина. Уже запросил помощи сверху.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vlad11 Опубликовано 14 февраля, 2020 · Жалоба Правильнее не резать firewall'ом, а повесить проблемные IP на локалхост маршрутизатора. Другое дело, что это спасет ресурсы CPU, но никак не решит проблему переполнения входящего канала. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cramac Опубликовано 14 февраля, 2020 · Жалоба как раз мне надо канал очистить. ресурсы у меня все свободны. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TriKS Опубликовано 14 февраля, 2020 · Жалоба Только аплинк. UDP на вход будут лететь до всирачки. Пусть у себя блекхолят. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cramac Опубликовано 14 февраля, 2020 · Жалоба спасибо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 15 февраля, 2020 · Жалоба А что обратный DDOS нельзя сделать - вам пришли пакеты, вы их обратно на эти же адреса отзеркалили? Исходящий же канал свободен. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
witch Опубликовано 15 февраля, 2020 · Жалоба 27 минут назад, Saab95 сказал: А что обратный DDOS нельзя сделать - вам пришли пакеты, вы их обратно на эти же адреса отзеркалили? Исходящий же канал свободен. И тут же словить блокировку от аплинка за ддос. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cramac Опубликовано 15 февраля, 2020 · Жалоба Аплинк зафильтровал адрес что ддосили, проблема решилась. как оказалось, у клиента стоит сервер игры SCP:SL и кому то он так насолил... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bike Опубликовано 16 февраля, 2020 · Жалоба В 15.02.2020 в 14:18, Cramac сказал: Аплинк зафильтровал адрес что ддосили, проблема решилась. как оказалось, у клиента стоит сервер игры SCP:SL и кому то он так насолил... DDOS весёлой полосой имеет не малую цену, так что насолил или украл кусок пирога - это вторично. Сколько лилось то? Мегабиты, гиги или 10 гиг? Так для статистики вопрос. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cramac Опубликовано 17 февраля, 2020 · Жалоба В данном случае, был гиговый порт, весь забитый. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 17 февраля, 2020 · Жалоба В 15.02.2020 в 13:24, Saab95 сказал: А что обратный DDOS нельзя сделать - вам пришли пакеты, вы их обратно на эти же адреса отзеркалили? Исходящий же канал свободен. Тупой совет. SRC IP там может быть не реальный, и пакеты полетят в обратку совсем непричастным людям. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 17 февраля, 2020 · Жалоба В 15.02.2020 в 13:18, Cramac сказал: как оказалось, у клиента стоит сервер игры SCP:SL и кому то он так насолил... может совпало. нам недавно прилетал кратковременный (минут на 10 в общей сложности) ддос на несколько гбит (на глаз, т.к. вогнали канал в полку при запасе поболее гбита и исход сильно упал), кривыми (криво фрагментированными похоже) юдп пакетами, на ип из нат пула... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cramac Опубликовано 18 февраля, 2020 · Жалоба Было бы на 10 минут, мало ктоб заметил. У нас 3 часа минимум длилось, пока адрес в блок ставили Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 18 февраля, 2020 · Жалоба 6 часов назад, Cramac сказал: Было бы на 10 минут, мало ктоб заметил. У нас 3 часа минимум длилось, пока адрес в блок ставили Дык вы договоритесь с провом по поводу коммьюнити. На случай след. раза, чтобы проблема решилась быстрее и не ждать 3 часа ))) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
KotikBSd Опубликовано 21 февраля, 2020 · Жалоба Аналогично на прошлой неделе влили на НАТовский IP несколько десятков гигабит, все аплинки в полку ушли... причем продолжительность была 5-10 мин, фактически даже в BH добавить не успели. Вообще в основном ddos идет на реальники, первый раз у меня на натовский ип прилетело... Был случай вообще из ряда вон - ddosили целую подсеть /21(т.е. реально лили на все ип сразу)... При этом там трафика по объему было минимум, но количество пакетов было просто огромным, маршрутизатору даже дурно начало становится, bgp начали флапать. Фактически все работало, но кидание трафика между разными аплинками хомяков раздражало, т.к. так или иначе но в моменты флапов были потери нескольких пакетов. Фактически мы даже сделать ничего не могли, слить целую /21 в BH это как в голову выстрелить :) тупо и бессмысленно, а по src там тоже был не вариант, т.к. распределенная атака была... и так было час или полтора... У меня практика простая, если ddos пришел на одного и того-же абона(физика) второй раз - нахрен из сети вылетает. Если это юрик, то предупреждение, что бы задумался что он что-то не то творит в интернете, а дальше по обстоятельствам. Правда последний случай с НАТовским ип... и ddos на всю /21... непонятно кого казнить ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...