Нужна помощь супротив DDoS Есть сервак игровой и некие уроды начали его ДДСить. Провайдер при обнаружении атаки тупо рубит UDP до утра. Есть варианты борьбы? Фильтрация и т.д. на сервере бесполезна при таком раскладе?
Re: Нужна помощь супротив DDoS Ну почему... Вообще, надо в правила глянуть. Все ненужные соединения должны дропиться. Именно через Drop. Ну а вообще - смотреть как именно идёт атака, через какие протоколы и порты. И по месту решать.
Re: Нужна помощь супротив DDoS Ну предположим все лишнее будет дропаться, как это помешает провайдеру определить атаку и обрубить UDP? Как провайдер определяет атаку по количеству или частоте обращений? Вопрос в том и состоит может ли что либо на стороне сервера (дроп и тд) повлиять на определение атаки провайдером? Я так понимаю все бессмысленно
Re: Нужна помощь супротив DDoS В первую очередь - поговорить с провайдером. Вообще, обычно железо отсекает атаку по пределу соединений в секунду. Т.е. если соединений, к примеру, больше 100 в секунду на один порт, то оно "видит" possible DDoS и дропает всё с этого порта на какое-то время. Опять таки, надо поговорить с провом и скажем... Предложить, чтобы сняли со слежения твой порт. А ты им клятвенно и торжественно пообещаешь, что разрулишь всё сам. P.S. Ещё как вариант, можно же сменить порт. Ведь скорее всего ддосят какую-нить известную игрушку. И если на сервере играют только свои или ограниченный контингент, то можно просто давать нужным людям номер порта. Если в сервере порт не меняется, то опять таки, договориться с провом, чтобы он вам его отфорвардил.
Re: Нужна помощь супротив DDoS 1. поток UDP не остановить 2. что забивается - канал или сам сервер? 3. если канал, то дропание на конечном сервере не поможет - пакет все-равно протащится по сети. 4. если сервер, то немного поможет динамическое распределение между фиксированным набором игровых портов, например, {29000, 29500, 30000, 33000, 39000 и т.п.}. какой текущий действующий порт определяется при логине игрока (но это уже элемент защиты последнего уровня). а лучше всего, конечно - хостинг типа amazon'а, и через его API автоматически устанавливать файрволлы по портам.
Re: Нужна помощь супротив DDoS Сервер не мой, я там просто бываю давно и регулярно. ДДОСят этот сервер целенаправленно и мощно. С провайдером разговаривать пытались - проблемы индейцев шерифа не колышат от слова никак. Другого провайдера с подходящим каналом пока нет. Как этому помешает смена порта? Еще раз повторяю вопрос - если рубит провайдер может ли на это повлиять сервер клиента фильтрацией, да хоть ВПН и прочими извратами? Гру читай вниматочнее - канал не забивается - его рубит провайдер при обнаружении атаки.
Re: Нужна помощь супротив DDoS UDP - протокол без установки соединений, так что дропать можно только по кол-ву пакетов в секунду. Можно попробовать работать через Cloudflare те атаки отсекают у себя, собственно для этого и предназначены.
Re: Нужна помощь супротив DDoS Ну послали туда пакеты раз, другой, поняли что без эффекта и отвалили. Канал, да, может провиснуть при очень мощной атаке. Но чай не Сбербанк ломают. Пара-тройка дебилов, не более того. Провайдер рубит весь UDP траффик вообще? Не поверю. Ибо так быть не может. Рубит конкретные порты. Помочь может TCP/IP туннель к примеру. По какому-нибудь левому порту.
Re: Нужна помощь супротив DDoS Вообще говоря, если уж говорить о протоколе, то соединение так или иначе устанавливается. Но на уровне приложения. Другое дело, что нет квитирования, контроля и всего прочего. Но если у тебя программа получает данные, то соединение таки есть. На уровне ядра у тебя есть маршрут и он работает. Можно по числу пакетов, можно по длине пакетов. Можно по псевдозаголовкам. Можно ещё всякие разные метки использовать. Но всё это уже варианты требующие хорошего знания iptables и прочего. Если атаки идут с конкретных адресов - закрывать на вход с этих адресов. Канал это не спасёт, конечно.
Re: Нужна помощь супротив DDoS Не обязательно, например серверу iptv всеравно слушает его кто-то на том конце или нет (он может даже не знать сколько тех слушателей). Так же как принимающему софту до лампочки откуда взялись пакеты на порту - его задача их обработать. Соединение подразумевает процесс установления, поддержания, завершения. В UDP этого всего нет. Канал нет, софтину что обрабатывает пакеты очень даже спасет от лишней работы. Тут можно только посоветовать переезд на новые ИП с доступом к ним через тот же CloudFlare или Амазоновский AWS WAF атакующие заипутся с ними тягаться. В идеале полностью переезд софтинки к ним на хостинг. Цены там нормальные, а если постараться то можно получить масштабируемую производительность от необходимости.
Re: Нужна помощь супротив DDoS IPTV это бродкаст, но даже для него будет работать или не работать проброс потока внутрь сети, иначе ничего ты за роутером не увидишь. Здесь речь о P2P. Установление связи, поддержание и всё прочее это всё относится к контролю соединения. Если при работе по udp этого не делает линейное оборудование, то это не означает того, что контроля нет. И софту, а вернее, файерволлу с натом, далеко не пофиг откуда пришёл пакет. Т.к. по связке адрес:порт он будет пробрасывать маршрут куда-то дальше по заранее определённому алгоритму. А это и есть контроль соединения. Сам факт получения пакетов или отказа от него так же регулируется на хосте. Есть байнд сокета на интерфейсе - получишь пакеты. Нету - не получишь. Вот тебе и управление соединением. Т.е. грубо говоря, если связь между двумя хостами есть, то соединение есть. То что ему не предшествовал handshake, syn, ack и прочее - говорит только о том, что на уровне логики протокола нет транспортного контроля. Тем не менее, есть механизмы вне протокола, которые обеспечивают и управление и контроль. К тому же, udp сам по себе не живёт. Он же под IP ходит.
Re: Нужна помощь супротив DDoS если бОльшую проблему доставляет провайдер, с которым фиг договоришься, нежели сама атака (похоже, сам сервер настоящую атаку не встречал еще), то есть вариант от Сии - cloudflare. правда, я с udp не ковырял там настройки, но скорее всего есть.
Re: Нужна помощь супротив DDoS Вообще-то взрослое ИПТВ это мультикаст, и для него придумали специальный роутинг. Если у тебя пинг на двадцать посылок получил только десять подтверждений - это установленная связь или нет? А если ответы он получал через одну посылку? Если быть уж совсем точным, то цитата из RFC791 про IP Установка соединений, контроль и прочее реализовано в TCP поверх IP. И да, найди команду которая показывает установленные UDP соединения.
Re: Нужна помощь супротив DDoS Оххх. netstat -a -s -p udp Про мультикаст согласен. Перепутал. Если хоть один пинг вернулся - связь была установлена. Ну иначе, он бы не вернул ответ.
Re: Нужна помощь супротив DDoS Не охай, этой командой ты только увидишь слушающие порты с udp. Сравни вывод с "-p tcp" где в "Состояние" будет указано состояние соединения (даже если оно не установлено - будет Listening). Это скорее то, что называется "Connectivity" - возможность связи, но никак не "установка соединения".
Re: Нужна помощь супротив DDoS Э не-е-е-ет. Ключ -s. Что он тебе покажет? Ну не совсем. Скорее соединение = link. Установка соединения это всё-таки набор неких команд и действий, направленных на обеспечение [непрерывной?] связи между двумя ХОСТАМИ. Аппаратура на маршруте тоже участвует в связи, маршрутизирует, ретранслирует и так далее. Считать её участвующей в установлении соединения или нет?
Re: Нужна помощь супротив DDoS -s кажет статистику, а ключик -a - "слушающие+неслушающие" сокеты так вот, что характерно, статистика: Tcp: 11177 active connections openings 17 passive connection openings 89 failed connection attempts 1272 connection resets received 23 connections established 501496 segments received 448062 segments send out 412 segments retransmited 45 bad segments received. 1588 resets sent Udp: 129958 packets received 1360 packets to unknown port received. 21 packet receive errors 103855 packets sent InCsumErrors: 21 у статистики TCP есть слово "connection", а у UDP только про пакеты речь.
Re: Нужна помощь супротив DDoS Mcgru уже ответил - только вывод статистики. Нет, аппаратура на маршруте только занимается маршрутизацией. Скажу больше, на маршрутизатор могут начать идти пакеты от уже установленного соединения. Такое бывает, когда маршрут динамически меняется. Установка соединения и работа шла через A - B - C, линк B - C вышел из строя, вместо него поднялся маршрут A - D - C и приложения на сторонах A, C даже не заметили этого. При этом D без понятия о установленных соединениях, он просто маршрутизирует приходящие пакеты. Те соединения UDP про которые ты говоришь - они находятся на самом высоком уровне - прикладном уровне. Маршрутизаторы про них не в курсе, их работа идет на сетевом уровне. https://ru.wikipedia.org/wiki/Сетевая_модель_OSI Есть конечно железки, которые влазят в прикладной уровень, антивирусы всякие, прослушивалки и т.п.
