Как защититься от атаки с 500 фейковых IP в секунду?

Question

[Urukhayy]

VPS на защищённом хостинге, защита по UDP и TCP, все 7 уровней, сети OVH/Voxility. Но вот прикладное приложение падает из-за флуда подключениями. Если быть точней - это игровой сервис. На него подключается около 500 фейковых IP каждую секунду и он падает. Как защититься? Может в брандмауэре вычислять как-то фейковые IP?

Comments

[throughtheether]

Если быть точней - это игровой сервис.

Уточните, используется HTTP или какой-то кастомный протокол поверх UDP (или TCP)?

Answer 1

[sim3x]

От udp - никак, терпи пока не положат канал
От tcp - дропай подозрительные ип через ipset/iptables

Для защиты приложения, для начала спрячь сервис за nginx

Comments

[sim3x]

CyberUserRus: хороший инструмент, но не для интерактивной защиты

[sim3x]

CyberUserRus:
вроде слов в статье много, а юзкейсов - нет

Если заранее не озаботиться логами с подозрительними ип, то в нервной обстановке точно не до настройки

[АртемЪ]

sim3x: Так не надо нервничать, работать надо.

[Urukhayy]

А как в таком случае можно ограничить количество подключений в секунду? Или урезать лишние? (Команда iptables)

[sim3x]

Urukhayy: всех кто спамит 10+ запросов в сек отправить в бан до конца атаки

Answer 2

[АртемЪ]

Если это игровой сервер, то как правило наработана база постоянных клиентов - логи успешных подключений за последние полгода.
Им разрешать подключение безоговорочно.
+fail2ban
А всем остальным после двух-трех попыток, если это злоумышленник, то он поменяет ip, если это нормальный юзер, то он просто подключиться не сразу.

Comments

[Urukhayy]

А как в таком случае можно ограничить количество подключений в секунду? Или урезать лишние? (Команда iptables)

Answer 3

[Сергей]

Целевая аудитория российская? Если нет, можно в iptables прописать правила для российских айпишников, остальные резать.

Comments

[Urukhayy]

А можно ли в iptables прописать правило, чтобы к порту N подключались не более 50 IP в секунду?

[Urukhayy]

И могли бы вы привести пример этого правила?

[Сергей]

Urukhayy: unix.stackexchange.com/questions/139285/limit-max-... и www.servermom.org/how-to-limit-maximum-connections...

[Urukhayy]

Сергей Илларионов: Для моего случая поможет данная строчка:
iptables -A INPUT --dport 7777 -m state --state RELATED,ESTABLISHED -m limit --limit 50/second --limit-burst 160 -j ACCEPT

(На порту 7777 сервис)

Answer 4

[Виталий Пухов]

Можно пустить сервис через другойсервис, тогда это будет уже не ваша головная боль

Comments

[Urukhayy]

Атаку 500+ gbs удержит?

[Виталий Пухов]

Urukhayy: если нет ему же хуже, главное чтобы ваш сервис не пострадал. Учитывая что у них много кто "под защитой" они быстренько что ни будь придумают.