Jump to content
Калькуляторы

Проблема DDOS

Всем привет. Столкнулся с таким вопросом. Кто то где то накосячил, и абона решили за ддосить.

Льют на его IP UDP трафик с разных адресов, без порта.

Выглядит это так:

Скрытый текст

20:46:04.275671 IP 77.239.200.31 > 91.х.х.34: ip-proto-17
20:46:04.275673 IP 77.239.200.31.53 > 91.х.х.34.57708: 4104 8/13/0 DNSKEY, RRSIG, RRSIG, RRSIG, RRSIG, DNSKEY, DNSKEY[|domain]
20:46:04.275680 IP 212.83.150.7.389 > 91.х.х.34.4109: UDP, length 2919
20:46:04.275683 IP 195.162.90.26.53 > 91.х.х.34.2558: 61366| 24/0/0 RRSIG, RRSIG, RRSIG, RRSIG, RRSIG, RRSIG, TXT "google-site-verification=gIEZUYY9g2-1blybvLN_bniEoxie4FWclulHw6DvZUU", TXT "MS=ms93096948", TXT "v=spf1 mx ip4:65.205.231.173 ip4:65.205.231.174  ip4:65.205.231.175  ip4:65.205.231.176 ip4:68.232.140.78 include:customers.clickdimensions.com include:amazonses.com exists:%{i}.spf.PeaceCorps.iphmx.com ~all", Type51, SOA[|domain]
20:46:04.275685 IP 212.83.150.7 > 91.х.х.34: ip-proto-17
20:46:04.275688 IP 13.94.171.17 > 91.х.х.34: ip-proto-17
20:46:04.275755 IP 195.162.90.26 > 91.х.х.34: ip-proto-17
20:46:04.275758 IP 195.162.90.26 > 91.х.х.34: ip-proto-17
20:46:04.275761 IP 103.244.250.146 > 91.х.х.34: ip-proto-17
20:46:04.275762 IP 103.244.250.146 > 91.х.х.34: ip-proto-17
20:46:04.275765 IP 13.94.171.17 > 91.х.х.34: ip-proto-17
20:46:04.275766 IP 191.242.217.214.389 > 91.х.х.34.29514: UDP, length 2828
20:46:04.275770 IP 185.84.137.115.389 > 91.х.х.34.10600: UDP, length 2954
20:46:04.275773 IP 185.84.137.115 > 91.х.х.34: ip-proto-17
20:46:04.275791 IP 181.225.136.2.389 > 91.х.х.34.21829: UDP, length 2808
20:46:04.275795 IP 181.225.136.2 > 91.х.х.34: ip-proto-17
20:46:04.275798 IP 188.186.185.245.53 > 91.х.х.34.34840: 48614| 27/0/0 RRSIG, TXT "adobe-idp-site-verification=c5bd8e9e38c19e39bab26f49615f8fef78d1865faa2ce8bfe0c941b0b1d5bd29", TXT "adobe-idp-site-verification="c5bd8e9e38c19e39bab26f49615f8fef78d1865faa2ce8bfe0c941b0b1d5bd29"", AAAA 2600:1f18:46d5:1100:4526:5944:91c8:a5b, SOA, MX mx2.peacecorps.iphmx.com. 20, MX mx1.peacecorps.iphmx.com. 10, MX mailmx.peacecorps.gov. 5, DNSKEY, DNSKEY, DNSKEY, DNSKEY, RRSIG[|domain]
20:46:04.275841 IP 44.233.125.174 > 91.х.х.34: ip-proto-17
20:46:04.275846 IP 44.233.125.174 > 91.х.х.34: ip-proto-17
20:46:04.275895 IP 87.245.140.165 > 91.х.х.34: ip-proto-17
20:46:04.275898 IP 87.245.140.165 > 91.х.х.34: ip-proto-17
20:46:04.275901 IP 95.211.202.75.389 > 91.х.х.34.48219: UDP, length 2957
20:46:04.275904 IP 95.211.202.75 > 91.х.х.34: ip-proto-17
20:46:04.275905 IP 95.211.202.75 > 91.х.х.34: ip-proto-17
20:46:04.275908 IP 188.186.185.245 > 91.х.х.34: ip-proto-17
20:46:04.275909 IP 159.242.119.62 > 91.х.х.34: ip-proto-17
20:46:04.275945 IP 91.197.144.174.53 > 91.х.х.34.53090: 3010| 26/0/0 MX mx2.peacecorps.iphmx.com. 20, DNSKEY, AAAA 2600:1f18:46d5:1100:4526:5944:91c8:a5b, RRSIG, RRSIG, RRSIG, RRSIG, RRSIG, RRSIG[|domain]
20:46:04.275948 IP 91.197.144.174 > 91.х.х.34: ip-proto-17
20:46:04.275950 IP 52.156.79.192 > 91.х.х.34: ip-proto-17
20:46:04.275952 IP 91.197.144.174 > 91.х.х.34: ip-proto-17
20:46:04.275956 IP 191.242.217.214 > 91.х.х.34: ip-proto-17

Схема такая 

магистрал - НАС - абон

 

ддосят ип адрес абона (реальный), сеть адресов нам маршрутизирует магистрал.

Абона отключили у себя, но трафик на него льется все равно. Блокировки ничего не дают (делал реджект через иптайблс для данного ип, закрыл полностью udp). Я так понимаю, без магистрала тут ничего не решить?

Share this post


Link to post
Share on other sites

Либо самостоятельно фильтровать, либо просить у магистрала  blackhole.

Share this post


Link to post
Share on other sites

самостоятельно что то не выходит.

Цитата

iptables -t raw -D PREROUTING -p udp -i eth1 -j DROP

 

ничего не дает.

 

eth1 входящий интерфейс

 

Цитата

# iptables -L -n  -v -t raw

Chain PREROUTING (policy ACCEPT 169K packets, 147M bytes)

 pkts bytes target     prot opt in     out     source               destination         

 117K  360M DROP       udp  --  eth1   *       0.0.0.0/0            0.0.0.0/0

 

Share this post


Link to post
Share on other sites

Если у вас канал толстый и оборудование могучее, то можете закрыть фильтром абонента, но пакеты к вам от этого лететь не перестанут. Ели это трафик мешает вам, то обращайтесь к аплинку за помощью.

Share this post


Link to post
Share on other sites

да, канал был жирный (для нас) но его забило под завязку и да, забит только порт на вход, дальше тишина. Уже запросил помощи сверху....

Share this post


Link to post
Share on other sites

Правильнее не резать firewall'ом, а повесить проблемные IP на локалхост маршрутизатора.
Другое дело, что это спасет ресурсы CPU, но никак не решит проблему переполнения входящего канала.

Share this post


Link to post
Share on other sites

как раз мне надо канал очистить. ресурсы у меня все свободны.

Share this post


Link to post
Share on other sites

Только аплинк. UDP на вход будут лететь до всирачки. Пусть у себя блекхолят.

Share this post


Link to post
Share on other sites

А что обратный DDOS нельзя сделать - вам пришли пакеты, вы их обратно на эти же адреса отзеркалили? Исходящий же канал свободен.

Share this post


Link to post
Share on other sites
27 минут назад, Saab95 сказал:

А что обратный DDOS нельзя сделать - вам пришли пакеты, вы их обратно на эти же адреса отзеркалили? Исходящий же канал свободен.

И тут же словить блокировку от аплинка за ддос. 

Share this post


Link to post
Share on other sites

Аплинк зафильтровал адрес что ддосили, проблема решилась. 
как оказалось, у клиента стоит сервер игры SCP:SL

и кому то он так насолил...

Share this post


Link to post
Share on other sites
В 15.02.2020 в 14:18, Cramac сказал:

Аплинк зафильтровал адрес что ддосили, проблема решилась. 
как оказалось, у клиента стоит сервер игры SCP:SL

и кому то он так насолил...

DDOS весёлой полосой имеет не малую цену, так что насолил или украл кусок пирога - это вторично.

Сколько лилось то? Мегабиты, гиги или 10 гиг?

Так для статистики вопрос.

Share this post


Link to post
Share on other sites

В данном случае, был гиговый порт, весь забитый.

Share this post


Link to post
Share on other sites
В 15.02.2020 в 13:24, Saab95 сказал:

А что обратный DDOS нельзя сделать - вам пришли пакеты, вы их обратно на эти же адреса отзеркалили? Исходящий же канал свободен.

Тупой совет.

SRC IP там может быть не реальный, и пакеты полетят в обратку совсем непричастным людям.

Share this post


Link to post
Share on other sites
В 15.02.2020 в 13:18, Cramac сказал:

как оказалось, у клиента стоит сервер игры SCP:SL

и кому то он так насолил...

может совпало.

нам недавно прилетал кратковременный (минут на 10 в общей сложности) ддос на несколько гбит (на глаз, т.к. вогнали канал в полку при запасе поболее гбита и исход сильно упал), кривыми (криво фрагментированными похоже) юдп пакетами, на ип из нат пула...

Share this post


Link to post
Share on other sites

Было бы на 10 минут, мало ктоб заметил. У нас 3 часа минимум длилось, пока адрес в блок ставили

Share this post


Link to post
Share on other sites
6 часов назад, Cramac сказал:

Было бы на 10 минут, мало ктоб заметил. У нас 3 часа минимум длилось, пока адрес в блок ставили

Дык вы договоритесь с провом по поводу коммьюнити. На случай след. раза, чтобы проблема решилась быстрее и не ждать 3 часа )))

Share this post


Link to post
Share on other sites

Аналогично на прошлой неделе влили на НАТовский IP несколько десятков гигабит, все аплинки в полку ушли... причем продолжительность была 5-10 мин, фактически даже в BH добавить не успели.

Вообще в основном ddos идет на реальники, первый раз у меня на натовский ип прилетело...

Был случай вообще из ряда вон - ddosили целую подсеть /21(т.е. реально лили на все ип сразу)... При этом там трафика по объему было минимум, но количество пакетов было просто огромным, маршрутизатору даже дурно начало становится, bgp начали флапать.

Фактически все работало, но кидание трафика между разными аплинками хомяков раздражало, т.к. так или иначе но в моменты флапов были потери нескольких пакетов. Фактически мы даже сделать ничего не могли, слить целую /21 в BH это как в голову выстрелить :) тупо и бессмысленно, а по src там тоже был не вариант, т.к. распределенная атака была... и так было час или полтора...

У меня практика простая, если ddos пришел на одного и того-же абона(физика) второй раз - нахрен из сети вылетает. Если это юрик, то предупреждение, что бы задумался что он что-то не то  творит в интернете, а дальше по обстоятельствам.

Правда последний случай с НАТовским ип... и ddos на всю /21... непонятно кого казнить )

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now