Ддосят уже третий день.

Всем привет. Я в основном читатель на этом форуме, но теперь и хочется написать и получить помощь.

И так есть сервер, на котором 5 сайтов.

18 числа его начали бомбить. Хостер заблокировал сервер и отключил его.

Подключил все домены через сервис cloudflare и поудалял все MX записи и A Mail, чтобы не смогли узнать ИП адрес сервера. Сменили ип адрес у сервера.

Ддосер начал поливать уже на домен, но позже успокоился. В 5 утра он каким то образом узнал новый ИП сервера и начал поливать на ИП и попутно на домен.

Немного логов

Direction IN

Internal ХХ.ХХ.ХХ.ХХ

Threshold Packets 120.000 packets/s

Sum 42.294.000 packets/300s (140.980 packets/s), 42.264 flows/300s (140 flows/s), 1,578 GByte/300s (43 MBit/s)

External 172.68.11.151, 5.000 packets/300s (16 packets/s), 1 flows/300s (0 flows/s), 0,000 GByte/300s (0 MBit/s)

External 172.68.35.43, 5.000 packets/300s (16 packets/s), 5 flows/300s (0 flows/s), 0,000 GByte/300s (0 MBit/s)

External 172.68.34.160, 2.000 packets/300s (6 packets/s), 2 flows/300s (0 flows/s), 0,000 GByte/300s (0 MBit/s)

External 172.68.11.156, 2.000 packets/300s (6 packets/s), 2 flows/300s (0 flows/s), 0,000 GByte/300s (0 MBit/s)

External 141.101.81.11, 2.000 packets/300s (6 packets/s), 1 flows/300s (0 flows/s), 0,000 GByte/300s (0 MBit/s)

External 141.101.81.6, 2.000 packets/300s (6 packets/s), 1 flows/300s (0 flows/s), 0,000 GByte/300s (0 MBit/s)

External 162.158.38.199, 2.000 packets/300s (6 packets/s), 2 flows/300s (0 flows/s), 0,000 GByte/300s (0 MBit/s)

External 141.101.80.160, 2.000 packets/300s (6 packets/s), 1 flows/300s (0 flows/s), 0,000 GByte/300s (0 MBit/s)

External 39.245.135.36, 2.000 packets/300s (6 packets/s), 1 flows/300s (0 flows/s), 0,000 GByte/300s (0 MBit/s)

External 116.235.145.157, 2.000 packets/300s (6 packets/s), 1 flows/300s (0 flows/s), 0,000 GByte/300s (0 MBit/s)

External 177.149.197.128, 2.000 packets/300s (6 packets/s), 1 flows/300s (0 flows/s), 0,000 GByte/300s (0 MBit/s)

External 119.15.139.176, 2.000 packets/300s (6 packets/s), 1 flows/300s (0 flows/s), 0,000 GByte/300s (0 MBit/s)

External 15.194.238.245, 2.000 packets/300s (6 packets/s), 1 flows/300s (0 flows/s), 0,000 GByte/300s (0 MBit/s)

External 88.217.187.201, 2.000 packets/300s (6 packets/s), 1 flows/300s (0 flows/s), 0,000 GByte/300s (0 MBit/s)

External 38.127.230.106, 2.000 packets/300s (6 packets/s), 1 flows/300s (0 flows/s), 0,000 GByte/300s (0 MBit/s)

External 193.38.17.143, 2.000 packets/300s (6 packets/s), 1 flows/300s (0 flows/s), 0,000 GByte/300s (0 MBit/s)

External 141.101.80.55, 2.000 packets/300s (6 packets/s), 2 flows/300s (0 flows/s), 0,000 GByte/300s (0 MBit/s)

External 104.160.162.14, 2.000 packets/300s (6 packets/s), 1 flows/300s (0 flows/s), 0,000 GByte/300s (0 MBit/s)

External 172.6.70.64, 2.000 packets/300s (6 packets/s), 1 flows/300s (0 flows/s), 0,000 GByte/300s (0 MBit/s)

External 146.139.75.163, 2.000 packets/300s (6 packets/s), 1 flows/300s (0 flows/s), 0,000 GByte/300s (0 MBit/s)

External 60.42.146.209, 2.000 packets/300s (6 packets/s), 1 flows/300s (0 flows/s), 0,000

Вопросов несколько. Буду признателен за помощь и ответы.

1. Как он мог узнать новый ИП адрес если он скрыт сервисом? Возможно есть какие то способы еще, и надо подзакрыть эти "дыры".

2. Мощная ли это ддос атака? У меня достаточно мощный Дедик, но хостер его отключает из-за боязни что умрет железо.

3. Сейчас хочу разделить так: 4 сайта оставить на одном сервере и сменить снова ИП и 1 пациент которого хотят прибить, перенести на другой сервер. Но этот пациент тоже важен, вопрос как его защитить?

В данный момент подключил этому домену платный тариф в cloudflare, но тщетно, т.к. известен ип сервера и долбят по нему.

http://s018.radikal.ru/i520/1607/00/7aeac20e42da.jpg

http://s019.radikal.ru/i608/1607/e9/a57042f6281d.jpg