Ir para conteúdo
Este Tópico
  • Cadastre-se

[DDoS] - Ajuda UDP

Giuseppe

Por Giuseppe
em Segurança

 Compartilhar

Posts Recomendados

Giuseppe

Giuseppe

Postado
Postado

Estou recebendo ataque DDoS no meu gameserver

 

Meu VPS é Brasileiro, quando vou monitorar os ataques me deparo com isso = http://prntscr.com/4i2lmi

São varios IP's, não sei como parar, ja tenho regra para dar drop em pacotes a cima de 500

Tenho 50mbps de internet

 

O que devo fazer, qualquer dica é bem vinda.

PS = A maioria dos IPs vem da China

 

 

Obrigado.

0

Fernando Rafs

Fernando Rafs

Postado
Postado
  Em 30/08/2014 em 20:02, Giuseppe disse:

Estou recebendo ataque DDoS no meu gameserver

 

Meu VPS é Brasileiro, quando vou monitorar os ataques me deparo com isso = http://prntscr.com/4i2lmi

São varios IP's, não sei como parar, ja tenho regra para dar drop em pacotes a cima de 500

Tenho 50mbps de internet

 

O que devo fazer, qualquer dica é bem vinda.

PS = A maioria dos IPs vem da China

 

 

Obrigado.

 

Está utilizando algum Firewall via Software?

0
rubensk

rubensk

Postado
Postado
  Em 30/08/2014 em 21:21, Giuseppe disse:

Primeiramente obrigado pela resposta, não tenho nenhum software para proteger o servidor, só iptables mesmo

Uso Linux ubuntu

 

O iptables é um software firewall... 

 

Tente algo como

iptables -t raw -I PREROUTING -p udp --sport 19 -j DROP 

 

(ou se não tiver raw:

iptables -I PREROUTING -p udp --sport 19 -j DROP )

 

 

 

Isso não vai impedir os pacotes de chegarem até seu servidor, mas vai descartá-los da maneira mais rápida possível. Se conseguir derrubar na raw não vão saturar o número de conexões. 

0
Giuseppe

Giuseppe

Postado
  • Autor
Postado

Olá amigo,

 

Ja tem esta regra, mais o servidor quando recebe ataque, não fica offline, mais fica travado pela grande quantidade de pacotes que recebo.

Eu já tentei esta regra:

 

iptables -A INPUT -p udp -m length --length 500:65535 -j DROP
iptables -A FORWARD -p udp -m length --length 500:65535 -j DROP
 
Mais não adianta nada, meu server continua a receber ataques e os players travado com ping 1k
 
O que posso fazer?
Obrigado.
0
Visitante

Visitante

Postado
Postado

Como é óbvio,o iptables não vai poder te ajudar. Você tem duas opções:

 

1) Mitigar o ataque a nível de rede (acesso da operadora/datacenter)

2) Fazer upgrade para um servidor mais potente, que possa lidar com a qtdade de PPS.

0
rubensk

rubensk

Postado
Postado
  Em 31/08/2014 em 03:29, Giuseppe disse:

 

Olá amigo,

 

Ja tem esta regra, mais o servidor quando recebe ataque, não fica offline, mais fica travado pela grande quantidade de pacotes que recebo.

Eu já tentei esta regra:

 

iptables -A INPUT -p udp -m length --length 500:65535 -j DROP
iptables -A FORWARD -p udp -m length --length 500:65535 -j DROP
 
Mais não adianta nada, meu server continua a receber ataques e os players travado com ping 1k
 
O que posso fazer?
Obrigado.

 

 

Tem certeza que são pps e não conexões que estão saturando seu servidor ? Pq se forem conexões lotando o conntrack, tirar na raw ajuda como mencionei. 

Regra por tamanho não vai ajudar, regra por porta é mais eficiente e o ataque que você mostrou está concentrado em refletores de chargen. 

 

 

0
Giuseppe

Giuseppe

Postado
  • Autor
Postado

Como assim ataque/refletores chargen? por que existe um maluco que aluga 100 vps na china pra me atacar? são varios ips, consequentemente, varias maquinas certo? por que uma pessoa perde tempo com isso? essa regra raw eu ja tenho ela a um tempo, eu ja falei com a datacenter mais não me dão atenção.

0
rubensk

rubensk

Postado
Postado
  Em 31/08/2014 em 19:36, Giuseppe disse:

Como assim ataque/refletores chargen? por que existe um maluco que aluga 100 vps na china pra me atacar? são varios ips, consequentemente, varias maquinas certo? por que uma pessoa perde tempo com isso? essa regra raw eu ja tenho ela a um tempo, eu ja falei com a datacenter mais não me dão atenção.

 

O maluco não aluga 100 VPS, é um ataque por reflexão. Ele sabe endereços de 100 dispositivos (muitas vezes roteadores domésticos) que são vulneráveis a ataques de chargen (serviço UDP que fica gerando caracteres) e tem acesso a um servidor onde ele pode fazer IP spoofing. Ele manda pacotes como se fosse você para essas 100 máquinas, elas mandam a resposta para você. 

 

Raw não é regra, é uma das tabelas do iptables; se você listar todas as regras de iptables que você usa dá para dizer se tudo que você poderia fazer já está coberto ou não. Me parece que você está concluindo isso rápido demais; talvez até não tenha mais o que fazer, mas ainda vale confirmar isso. 

0

Participe da conversa

Você pode postar agora e se cadastrar mais tarde. Se você tem uma conta, faça o login para postar com sua conta.
Nota: Sua postagem exigirá aprovação do moderador antes de ficar visível.

Visitante
Infelizmente, seu conteúdo contém termos que não são permitimos. Edite seu conteúdo para remover as palavras destacadas abaixo.
Responder

×   Você colou conteúdo com formatação.   Remover formatação

  Apenas 75 emojis são permitidos.

×   Seu link foi automaticamente incorporado.   Mostrar como link

×   Seu conteúdo anterior foi restaurado.   Limpar o editor

×   Não é possível colar imagens diretamente. Carregar ou inserir imagens do URL.

×
 Compartilhar
Ir para a lista de tópicos

  • Quem Está Navegando   0 membros estão online

    • Nenhum usuário registrado visualizando esta página.

×
×
  • Criar Novo...

Informação Importante

Concorda com os nossos termos?

  I accept
-