DDOS 100mbit, что делать?

А так нельзя судить, для всех себестоимость разная, кто покупает на рынке, по красной цене, то запросто и 500 в сутки за 100мб флуда заплатит, а если ботнет свой или "от своих"? Да и ботнет ботнету рознь т.к. если это чистая азия то такое дорого стоить по своей сути не может ибо азию вырубят и всех делов, а вот смешанный это уже просто так не отрубить.

Я лично на себе испытал, что такое несколько месяцев (!) доса. Чего только не делали. Но "заказчик" оказался не особо ограничен в бюджете и досили до тех пор пока не сняли с делегирования определенные домены. В будущем - стоит делегировать - дос снова начинается. Причем досили и днс, и 80-ый. Кончилось тем, что проиграл бюджет на защиту, ибо это тоже стоит не мало.

По опыту обращения за "помощью" наиболее профессионально и за адекватные деньги себя показали янки (дц инфомарт), в Москве только счета быстро выставляли, все остальное ... так себе.

Диманыч, обратитесь к Костичу. Можно найти его в соседних топиках в этом разделе.

смотрел несколько ип ботнета, москва украина корея канада.. отовсюду (

на ночь атака прекратилась.. щас опять начилась, вчера была 2 раза 2-4 часа длительностью(

провайдер вместо помощи посоветовал уменьшить порт сервера до 20мбит на тот случай чтобы не принести вреда серверу (( а я ещё собирался просить увеличить ( вот такой белибердизм ...

щас подумываю потратится всёже на другой сервер на 1 месяц с 1гбит, проверить какого объёма вообще этот ддос.

Боюсь что услуги Kostich мне далеко не по корману.

Временно закрыть файром udp?

Уже написал такую просьбу провайдеру, посмотрим что он ответит.

Вчера удалось проследить такое, сегодня вообще в шелл не зайти (

16:49:14.240594 IP 61.252.116.230.2530 > x.x.x.x.1900: UDP, length 1000

16:49:14.240595 IP 88.86.218.163.3636 > x.x.x.x.4477: UDP, length 1000

16:49:14.240759 IP 78.111.215.53.5566 > x.x.x.x.4253: UDP, length 1000

16:49:14.240759 IP 79.165.189.205.4436 > x.x.x.x.592: UDP, length 1000

16:49:14.240943 IP 121.1.81.46.17980 > x.x.x.x.571: UDP, length 1000

(x.x.x.x - мой ип)

Могут ли они с такой же лёгкостью сделать 100мбит на tcp или пингом?

Или это возможно только через udp? Т.е. стандартно забивают канал только через UDP?

я прав?

Это закрывается на core роутере либо самого прова, либо у аплинка. В России удачно работает схема РТКОММ (аплинк) + Eserver. Во всяком случае, у них есть такая услуга. Поэтому, если Вам ценен Ваш проект, возьмите в аренду сервер у Eserver'а + выделенный канал + попросите на выделенных IP заблокировать прохождение UDP и ICMP пакетов. Ещё как вариант, если не хотите менять сервер, это взять какой нить целерончик у того же Eserver'а и фильтровать трафик по вышеуказанной схеме, при этом нормальный трафик проксировать к Вашему серверу.

весёлый ответ от супорта на счёт прикрыть UDP

Here we can't stop this attack.

We will certainly put the bandwidth to 0Mbps for few days

so that the attack stop because it will continue if you

server stay UP

И что теперь вырубать и тупо ждать окончания атаки или всёже рискнуть и заказать новый сервер с 1гбитом, еслиб это помогло .. очень интересен полный объём поступления трафика..

на eserver перейти тоже неплохая идея, но хотелось бы остаться там где я щас..

-

(не обратил внимания что там пингвин)

Атака идет напрямую по ip или по ip Вашего домена? В первом случае можно попробовать сменить ip, во втором, сделать зеркало проекта у текущего хостера, а основной домен с редиректом на зеркало, временно разместить у хостера, который сможет справиться с это атакой.

Если на ип то на главный, а его я не могу отлючить, да и что это даст если атьакующий меняет за день 5 раз вид атаки либо запускает ддос заного. (если я справляюсь с одной из них)

сейчас вот дос прекратился, либо совпадение либо после того как я заблокировал через iptables всё кроме порта 22..