Как защитится от ddos 389 порта?

Question

[Сергей Леманн]

Ребят, подскажите.
Бесконечные события на сервере подобного типа. Порядка 500 в секунду. Ip блокнул через штатный firewall, порт тоже открыт только для локальной сети. К концу дня сервак отпадает что даже через впн зайти не могу. Только через kvm. Как бороться с подобным?

Comments

[Alexey Dmitriev]

С какой целью порт авторизации открыт для доступа из сети Интернет?

Answer 1

[hint000]

Ip блокнул через штатный firewall, порт тоже открыт только для локальной сети.

Таким образом атаку на сервис вы исключили. Остаётся атака на канал. От DDoS на канал в принципе невозможно защититься локально, для этого пользуются услугами (платными) компаний с офигенно большой пропускной способностью. В лёгких случаях можно попросить родного провайдера (наверное, тоже не бесплатно). Но мне здесь видится другое:

Порядка 500 в секунду.

даже при блокировании все эти 500 событий в секунду пишутся в лог. Как вы думаете, запись в лог отнимает ресурсы сервера? У вас сервер только и занят этим процессом записи в лог.

Как бороться с подобным?

У вас Windows Server, как говорят в народе, выставлен голой задницей в интернет? Такие вещи нужно блокировать на внешнем (по отношению к серверу) firewall'е. Даже роутер-мыльница лучше, чем совсем ничего, вот там и надо блокировать трафик, чтобы на сервере этих событий вообще не было.

Comments

[Сергей Леманн]

А если сервер в дата центре, каким образом заменить мыльницу?

[hint000]

Сергей Леманн,

А если сервер в дата центре

это не проясняет ситуацию.

• У крупных компаний есть собственные дата-центры, и никто (кроме руководителей) не запретит делать в своём дата-центре что угодно.
  

В чужих дата-центрах бывают разные услуги:

• Колокейшен (colocation), когда вы размещаете своё железо в чужом дата-центре, это позоляет, по крайней мере, добавить роутер в стоечном исполнении, но можно и там найти людей, готовых договариваться, готовых пойти навстречу, разрешить подключить мыльницу; а ещё можно и на колокейшене попросить фильтровать трафик, за спрос клиентов не кусают и за спрос денег не берут; а ещё можно поднимать на своём сервере виртуальные машины и таким образом выстраивать нужную инфраструктуру в пределах одного физического сервера;
  
• Выделенный физический сервер - см. выше пункты про "попросить фильтровать" и про виртуалки;
  
• VPS (навряд ли это ваш случай, т.к. VPS с виндой дорого обходятся) - см. выше пункт про "попросить фильтровать", если не прокатит, то брать там же вторую VPS с Линуксом и фильтровать на Линуксе.