Нуждая се от помощ против DDOS atаки

[Nox Gaming]

Здравейте. Накратко 14-годишен разглезен пръдльо от Казанлък има парички купил си буутерче за 20 долара и ме флууди нон стоп.

Ето два скрийна на какво ми изглежда Торч-а когато ме флууди:

 

http://prikachi.com/images/832/6434832h.png

http://prikachi.com/images/833/6434833l.png

 

големия проблем в случая е SSYN flood-a, но както виждате освен по ТCP има и UDP.

Moля помогнете с някаква професионална конфигурация, не може рутера да издържи толкова много ИП-та да човъркат рутера.

Готов съм да платя дори някаква скромничка сума за изработване на работещи firewall филтри или каквото и да е стига да има ефект. изчел съм какви ли не форуми, двама човека ми помагат и успяхме да намалим атаките до около 50% но тези останаха.

Целия официален форум на микротик съм го изчел и съм изпробвал правилата им там. но съпорта им там е несъществуващ.

Хелп, моля!

 

п.с. извинете за двойния пост но незнаех къде точно да постна

[Nox Gaming]

Дори просто да DROP-не целият входящ трафик без купчина "сложни правила", пак няма да има интернет, като канала му е 60 мегабита?

 

@111111 Има доста решения, евтини, стига автора на темата да знае къде да търси..

VPS-а който исках ми отказаха, не били готови да поемат флууд. Може ли да ми покажеш някои от тези решения, тъй като явно незнам къде да търся

 

 

P.S.

някой може ли да ми каже как да защитя  вече отворен порт? Например порт 44405 ми е за конектсървъра и без значение от останалите правила (мисля) могат да думкат по този порт, тъй като е отворен за конекции.

Редактирано 13 Август, 2013 от Nox Gaming

[krustanovs]

виж portknocking

[Mupo neTkoB]

А като е запълнен канала му какво чукане на портове? Разбери се с доставчика ти!

[Nox Gaming]

А като е запълнен канала му какво чукане на портове? Разбери се с доставчика ти!

Отново казвам, доставчика бяха ясни че няма да ми помогнат изобщо.

Според тях за мен един ип адрес може да е лош, но на други техни клиенти да им прави милиони.... не искали да бъдат съдени затова че са спрели услуга на някой заради мен.... пълна тъпотия е това според мен, но те незнаеха какво е SSYN Flood тъй че не си слагам в ушите това което са ми казали

[stel]

"14-годишен разглезен пръдльо от Казанлък" явно знаеш кой е, защо не си решиш проблема кардинално? лесно и без да ти коства екстра $$$.

[Nox Gaming]

"14-годишен разглезен пръдльо от Казанлък" явно знаеш кой е, защо не си решиш проблема кардинално? лесно и без да ти коства екстра $$$.

hahahaha ти си поне 20-тия човек който ми предлага това 

[krustanovs]

лошо е че си в Стара Загора за един обект там и аз им ползвам услугите мрежата им е ужас, но по-добро няма за сега там

[msboy]

Пробва ли с IP firewall правилата на тестовите сървъри на микротик ( http://www.mikrotik.com/software.html# ). Аз ги ползвам тях досега съм нямал такива проблеми.

[111111]

Пробва ли с IP firewall правилата на тестовите сървъри на микротик ( http://www.mikrotik.com/software.html# ). Аз ги ползвам тях досега съм нямал такива проблеми.

нещо не си разбрал за флуда 

когато входящия трафик е равен на входящия канал спасение няма с каквито и да е било правила

[msboy]

http://www.cisco.com/en/US/prod/collateral/vpndevc/ps5879/ps6264/ps5888/product_data_sheet0900aecd800fa55e.html

а това би ли свършило работа ??  и......евентуално кой би го настроил ! Цената му в БГ е около 600 лева и дали си струва.

Редактирано 14 Август, 2013 от msboy

[hgd]

Решението на такива проблеми трябва да е на ниво ISP, както и на МВР (както е в други държави).

Отдавна е дефиниран метода "BGP blackhole"  в RFC3882. Засега не е част от задължителните условия за интерконект в БГ.

 

Ето и практически пример (статия) на руски: http://habrahabr.ru/post/91574/

[SubmitBG]

В случая става въпрос за обикновен домашен интернет, не може да плащаш 20лв на месец за интернет и да искаш доставчика да ти пази "гейм сървъра",

това го няма абсолютно никъде по света! BGP blackhole-ването дори на цели автономни системи няма да помогне, защото:

 

1-во, не знаеш и няма как да разбереш физическия IP адрес на сървъра / VPS-а от който идва атаката;

2-ро, няма как да разбереш локацията и интернет доставчика на атакуващия;

3-то, няма как да филтрираш IP адреси, тъй като всеки пакет е с произволно генериран IP адрес;

4-то, дори теоритично да филтрираш цялата мрежа на доставчика от където идва атаката, връщаме се на 3-та точка, IP-тата са спууфнати и трафика си минава спокойно;

[kokaracha]

blackhole-ването се ползва от доставчиците при такива ситуаций у нас и то доста често

Друг е въпроса колко е ефективно и ефикасно .

Още по интересно става когата пакетите идват от 2-3K или повече random ip,още по често можеш само да гледаш и мигаш на едри парцали 

[bojko91]

Напоследък явно много хора са пропищели. И аз имах този проблем, но успях да се справя що годе. Сложих си филтрация в ядрото на линукса, малко иптейбълс правила. Поне предимството при мен е, че работя за интернет доствчика ми и си имам мониторинг 24/7. Едната вечер си седя и си говоря с клиентите и гледам алерт от Хост монитора, че ми се вдига CPU И си пуснах един tcpdump -i any -C 100 на расчето, видях кой прай мизерии и с голямата гьострица iptables -t mangle -A PREROUTING -s xx.xx.xx.xx -d xx.xx.xx.xx -j DROP.

 

В крайна сметка ви съветвам да пробвате с малко мазнене към оператора да ви дропи ип или поне да ги филтрира (или дадени ип или подмрежата им...)

[blagynchy]

С ipt и дроб не можеш да си решиш проблема, ако го замажеш ще е добре. а пък и твоето е бил някой новоизлюпен щом е проработило.