Jump to content

[DDoS] - Ajuda UDP


Giuseppe

Recommended Posts

Estou recebendo ataque DDoS no meu gameserver

 

Meu VPS é Brasileiro, quando vou monitorar os ataques me deparo com isso = http://prntscr.com/4i2lmi

São varios IP's, não sei como parar, ja tenho regra para dar drop em pacotes a cima de 500

Tenho 50mbps de internet

 

O que devo fazer, qualquer dica é bem vinda.

PS = A maioria dos IPs vem da China

 

 

Obrigado.

Link to comment
Share on other sites

Estou recebendo ataque DDoS no meu gameserver

 

Meu VPS é Brasileiro, quando vou monitorar os ataques me deparo com isso = http://prntscr.com/4i2lmi

São varios IP's, não sei como parar, ja tenho regra para dar drop em pacotes a cima de 500

Tenho 50mbps de internet

 

O que devo fazer, qualquer dica é bem vinda.

PS = A maioria dos IPs vem da China

 

 

Obrigado.

 

Está utilizando algum Firewall via Software?

Link to comment
Share on other sites

Primeiramente obrigado pela resposta, não tenho nenhum software para proteger o servidor, só iptables mesmo

Uso Linux ubuntu

 

O iptables é um software firewall... 

 

Tente algo como

iptables -t raw -I PREROUTING -p udp --sport 19 -j DROP 

 

(ou se não tiver raw:

iptables -I PREROUTING -p udp --sport 19 -j DROP )

 

 

 

Isso não vai impedir os pacotes de chegarem até seu servidor, mas vai descartá-los da maneira mais rápida possível. Se conseguir derrubar na raw não vão saturar o número de conexões. 

Link to comment
Share on other sites

Olá amigo,

 

Ja tem esta regra, mais o servidor quando recebe ataque, não fica offline, mais fica travado pela grande quantidade de pacotes que recebo.

Eu já tentei esta regra:

 

iptables -A INPUT -p udp -m length --length 500:65535 -j DROP
iptables -A FORWARD -p udp -m length --length 500:65535 -j DROP
 
Mais não adianta nada, meu server continua a receber ataques e os players travado com ping 1k
 
O que posso fazer?
Obrigado.
Link to comment
Share on other sites

Como é óbvio,o iptables não vai poder te ajudar. Você tem duas opções:

 

1) Mitigar o ataque a nível de rede (acesso da operadora/datacenter)

2) Fazer upgrade para um servidor mais potente, que possa lidar com a qtdade de PPS.

Link to comment
Share on other sites

 

Olá amigo,

 

Ja tem esta regra, mais o servidor quando recebe ataque, não fica offline, mais fica travado pela grande quantidade de pacotes que recebo.

Eu já tentei esta regra:

 

iptables -A INPUT -p udp -m length --length 500:65535 -j DROP
iptables -A FORWARD -p udp -m length --length 500:65535 -j DROP
 
Mais não adianta nada, meu server continua a receber ataques e os players travado com ping 1k
 
O que posso fazer?
Obrigado.

 

 

Tem certeza que são pps e não conexões que estão saturando seu servidor ? Pq se forem conexões lotando o conntrack, tirar na raw ajuda como mencionei. 

Regra por tamanho não vai ajudar, regra por porta é mais eficiente e o ataque que você mostrou está concentrado em refletores de chargen. 

 

 

Link to comment
Share on other sites

Como assim ataque/refletores chargen? por que existe um maluco que aluga 100 vps na china pra me atacar? são varios ips, consequentemente, varias maquinas certo? por que uma pessoa perde tempo com isso? essa regra raw eu ja tenho ela a um tempo, eu ja falei com a datacenter mais não me dão atenção.

Link to comment
Share on other sites

Como assim ataque/refletores chargen? por que existe um maluco que aluga 100 vps na china pra me atacar? são varios ips, consequentemente, varias maquinas certo? por que uma pessoa perde tempo com isso? essa regra raw eu ja tenho ela a um tempo, eu ja falei com a datacenter mais não me dão atenção.

 

O maluco não aluga 100 VPS, é um ataque por reflexão. Ele sabe endereços de 100 dispositivos (muitas vezes roteadores domésticos) que são vulneráveis a ataques de chargen (serviço UDP que fica gerando caracteres) e tem acesso a um servidor onde ele pode fazer IP spoofing. Ele manda pacotes como se fosse você para essas 100 máquinas, elas mandam a resposta para você. 

 

Raw não é regra, é uma das tabelas do iptables; se você listar todas as regras de iptables que você usa dá para dizer se tudo que você poderia fazer já está coberto ou não. Me parece que você está concluindo isso rápido demais; talvez até não tenha mais o que fazer, mas ainda vale confirmar isso. 

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Unfortunately, your content contains terms that we do not allow. Please edit your content to remove the highlighted words below.
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

Do you agree with our terms?