удалено, удалено, удалено
Попросить ДЦ дропать вам ВЕСЬ UDP трафик на маршрутизаторе.
ДНС использовать сторонний.
посмотреть текущий UDP трафик
tcpdump -n -v udp
>netstat не показывает конекты которые режутся на iptables
Да, так и должно быть 🍿
Если все пакеты дропаются, то соединение не может быть установлено.
>а через tcpdump что то отследить невозможно (много не нужной информации)
в tcpdump есть мощный фильтр, настроив который вы можете смотреть лишь те пакеты, которые вам нужны. Но в логах access.log смотреть http флуд намного удобнее и проще.
>полная информация на русском языке есть о нем где то?
Полная информация есть в манах
man iptables
man tcpdump
Русские переводы есть, но в них часто много неточностей и информации по устаревшим версиям.
Хотя есть и очень хорошие руководства на русском.
Основы можно посмотреть на википедии.
>идет udp флуд с 3 адресов, с каждого по 20мбит, как их выявить?
iptables -N udpflood
iptables -I INPUT -p udp -j udpflood
iptables -A udpflood -s ip1 -j DROP
iptables -A udpflood -s ip2 -j DROP
iptables -A udpflood -s ip3 -j DROP
Хотя правильнее было бы попросить ДЦ фильтровать UDP, так как UDP вам быстро канал забъет.
>и еше вопрос, как можно отследить откуда атакуют?
tcpdump
логи access.log
>netstat показывает не все конекты
netstat -na
Напишите подробнее условия с ценами.
Такое предложение многим было бы интересно.
Сколько Мбит атаки предполагаете?
До 100 мбит, до 1 Гбит или больше?
Сколько ТБ трафика в месяц?
корпуса 1u через поисковик находятся за 3 минуты
http://www.srv-trade.ru/catalog/3415780419/
http://www.negorack.ru/wheretobuy/
стоят они от 8-10 тыс руб.
Если будете заниматься самосбором, вас еще ждет геморой по подбору радиатора, вентилятора, матиринской платы, памяти, которые поместятся в 1u.
можете взять готовую платформу, где все уже подобрано, но стоят они от 30 до 60 тыс руб.
Сервера дело не дешевое.
По моему здесь как раз syn флуд с поддельными обратными адресами, а не HTTP флуд, так как сервер отвечает пакетами synack
Но в ответ не получает ни ack, ни rst.
87.110.74.127.35758 > 62.76.186.149.http: S 4991762:4991762(0)
62.76.186.149.http > 87.110.74.127.35758: S 2773058894:2773058894(0) ack 4991763
Хотите сказать что синфлуд с подделкой адреса отправителя не возможен?
Я тестировал много раз. syn пакеты с фальшивыми обратными адресами отлично ходят между датацентами.
1) Сделать доску удобной
2) Добавить в нее функции социальной сети (личные сообщения, отзывы, оценки, репутации)
3) Оптимизировать для поисковиков.
Поставьте
echo '1'>/proc/sys/net/ipv4/tcp_syncookies # включить синкуки
echo '1'>/proc/sys/net/ipv4/tcp_synack_retries # Слать только один овет synack
Лучше в правилах iptables ставить -j DROP, а не -j REJECT
Покажите кусок
tcpdump -n -c 50
