Борьба с UDP досами и определение цели

12 3
D
На сайте с 05.06.2007
Offline
155
1870

Приветствую!

Предлагаю обсудить данную проблему, думаю многим интересно и актуально на данный момент.

Не знаю почему, но у нас последнее время атаки именно UDP флудом, и бороться с ними практически не возможно.

Основная сложность заключается в том что не удаётся определить цель атаки.

Ведь это просто флуд по udp портам, не логов, не возможности определить домен.

Пробовал даже сканировать пакеты DNS на предмет запросов от ботов, но ничего не удаётся вычислить. Возможно при запуске атаки идёт всего лишь 1 запрос к домену, а что ещё хуже атака сразу запускается на IP. От атаки ничего не спасает, ДЦ блокируют IP, присваиваем новый, и новый уходит в блок. В конце концов разбили все сайты на несколько IP что в результате уменьшило ущерб и не все сайты были оффлайн. Если кто-то знает как можно определить атакуемый сайт, поделитесь.

Теперь по блокировке, как вариант можно отслеживать UDP пакеты через tcpdump и зло-трафик блокировать, но везде пишут что в этом нет никакого смысла, так как флуду ответ от сервера не нужен и цель забить канал. Но как же тогда блокирует сам ДЦ ip сервера (null route) и это помогает, боты отступают.

Так вот вопрос к знатокам, для данной атаки поможет ли блокировка ботов методом blackhole

ip route add blackhole 123.123.123.123
или же это равносильно
iptables -j DROP -s 123.123.123.123 ?

Цель конечно же чтоб боты отсутпали или потерялись на маршруте и не долетали до сервера :)

И хорошо если кто-то поделится своей стратегией борьбы с этим видом атаки ;)

Написал не мало шедевров ;)
Romka_Kharkov
На сайте с 08.04.2009
Offline
485
#1

Dimanych, вы просто не понимаете как работает blackhole на стороне провайдера....

Когда ваш IP помещают в BlackHole это означает что во всем мире пропадают анонсы данного ИП в глобальном смысле маршрутизации и атакующая точка просто на просто теряет свою цель.... при этом естественно ни откуда не попасть на ваш сайт и если быть предельно точным, то вашего ИП не существует в глобальном списке маршрутизации....... по этому этот метод работает на все 100% и атака прекращается моментально... Если же говорить о борьбе методом самого сервера, тут вам четко все пояснили, если атака > чем ширина вашего канала.... вариантов нет.... разве что договариваться с Upstream провайдером о фильтрации данного трафика, но это увы не бывает бесплатно и зачастую может обходиться в десятки раз дороже чем стоимость атакуемой точки :) Такие вот дела :D Либо можно попробовать попросить того же Upstream вообще зарезать UDP на ваш сервер, если он у вас не используется.....

Есть около 15.000 ipv4 !!! (http://onyx.net.ua/price.php#ipv4) Качественный хостинг с 2005 года - лучшее клиентам! (http://onyx.net.ua/)
D
На сайте с 05.06.2007
Offline
155
#2
ip route add blackhole 123.123.123.123

В общем этот blackhole на стороне сервера ничего не даст, так как сервер не является маршрутизатором и маршрут до сервера уже определен, верно?

Так как же все борятся с этой атакой? Меняют IP постоянно или просто ждут окончания атаки? :)

Andreyka
На сайте с 19.02.2005
Offline
822
#3

Банют на аплинках

Не стоит плодить сущности без необходимости
Romka_Kharkov
На сайте с 08.04.2009
Offline
485
#4
Dimanych:
В общем этот blackhole на стороне сервера ничего не даст, так как сервер не является маршрутизатором и маршрут до сервера уже определен, верно?

Совершенно верно.

Dimanych:

Так как же все борятся с этой атакой? Меняют IP постоянно или просто ждут окончания атаки? :)

Есть два прямых варианта и один запасной:

1. Ждать пока атака закончится.

2. Фильтровать атаку на уровень выше. (Как и писал ранее, зачастую суммы не соизмеримы)

3. Попробовать воспользоваться более дешевыми сервисами которые будут прятать ваш реальный IP за своим и тоже фильтровать.... возможно будет чуть дешевле чем п.2 но все равно надо будет платить $$$ если вы хотите "работать под атакой".

D
На сайте с 05.06.2007
Offline
155
#5

А если взять сервер с полосой 10гбит, например такой:

http://www.leaseweb.com/en/dedicated-servers/10-gbps-servers/configurator/7399

Будет ли он работать нормально если атака будет к примеру 5гбит или всё равно сеть просядет от кол-ва пакетов?

Его ведь можно будет использовать как прокси на те случаи когда начнётся атака...

N
На сайте с 06.05.2007
Offline
419
#6
Dimanych:
Будет ли он работать нормально если атака будет к примеру 5гбит или всё равно сеть просядет от кол-ва пакетов?

То примерно за 4.7 суток вы накачаете 250Tбайт и вас отключат. И это только видимый в тарифном плане порог. Что там в реальности происходит и как они реагируют на очевидные перегрузки оборудования ddos-ом, я не знаю.

Кнопка вызова админа ()
Den73
На сайте с 26.06.2010
Offline
523
#7
Dimanych:
А если взять сервер с полосой 10гбит, например такой:
http://www.leaseweb.com/en/dedicated-servers/10-gbps-servers/configurator/7399

Будет ли он работать нормально если атака будет к примеру 5гбит или всё равно сеть просядет от кол-ва пакетов?
Его ведь можно будет использовать как прокси на те случаи когда начнётся атака...

брать такие сервера для решения вашей задачи - большая ошибка.

при аномальном количестве pps сработает триггер и вас отключат.

прочитайте их оферту там вообще если не ошибаюсь 30kpps был порог, для 10гбит серверов должен быть выше но это не спасет.

D
На сайте с 05.06.2007
Offline
155
#8

Всем спасибо за информацию.

На счёт 4.7 дня, с такими досами я пока не встречался, самый долгий был 2 полных дня и около 3гбит/с.

Romka_Kharkov
На сайте с 08.04.2009
Offline
485
#9
Dimanych:
А если взять сервер с полосой 10гбит, например такой:
http://www.leaseweb.com/en/dedicated-servers/10-gbps-servers/configurator/7399

Будет ли он работать нормально если атака будет к примеру 5гбит или всё равно сеть просядет от кол-ва пакетов?
Его ведь можно будет использовать как прокси на те случаи когда начнётся атака...

Полностью поддерживаю отписавшихся выше.... там где написано 10 GB/s вовсе не означает что вам дадут держать там ресурс "под атакой", так как 10 GB/s это полоса включения.... а реальный трафик это реальные деньги .... провайдеру все равно куда включить вас в 10/100/1000 или 10000 .... это мелкие и разовые затраты , а вот пропустить к вам 10 GB/s трафика.... )))) или 100 mpps :))) Это совсем другое дело. Так что такие решения - не есть решениями для вас.... Хотя изначально не ясно какая атака к вам приходит... возможно если там около 1 Gb/s ... то все может и случится... но в любом случае:

1. Обсудить это предварительно с хостером.

2. Понимать какой мощности текущая атака и это обсуждать с хостером.

3. Внимательно изучить оферту, а именно правила расторжения договора, там наверняка указаны какие-то лимиты....

D
На сайте с 05.06.2007
Offline
155
#10

А на счёт превышения 30kpps, в чём собственно проблема, неужели железо не справляется? Общался с одни владельцем ДЦ, и как то он рассмеялся когда я сказал что сервер заблокировали при 200kpps, якобы сотни тысяч это вообще не нагрузка. Вот теперь у меня двоякое мнение ... )

Цены у него правда от 10тыс руб на сервер.

12 3

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий