Задать вопрос
@braindev

Странная DDoS-атака, что делать?

Здравствуйте, ситуация очень странная. Ддосят мой сервер, я сидел смотрел netstat/htop, по нагрузке в Htop всё нормально и в netstat'e нет лишних процессов, но самое забавное то, что нереально лагает терминал и всё качается очень долго. Как я понимаю мне забивают чем-то интернет канал? Хостер заблокировал мой VPS написав следующее:
We are contacting you because, right now, your server is the target of an extremely large network attack. This attack has been detected and mitigated by our network to ensure the availability of your server.


И потом дописали что вынуждены были отключить айпи адрес моего сервера. Что мне делать? Как только включают айпи то всё, через 2-3 минуты сервер падает, но до этого когда не так мощно атаковали, htop и прочие не были забиты, то есть ресурсов хватало. Как я предполагаю, забивают интернет-канал. Какие есть варианты решения данной проблемы? Смена хостера? И как я понимаю раз настолько мощная атака, то долбят напрямую по IP-адресу?

Я не заметил ни одной аномалии в конфигах php-fpm/nginx/mariadb, но хочу заметить что когда атака была послабее php-fpm поругался на то что ему не хватает ps.max_children, я увеличил и ошибка пропала.

Во время атаки также смотрел access.log, но подозрительных GET запросов найдено не было, также сидел с Iptables и банил пару SYN пакетов, на сервере, судя по ним долбили 22 порт как раз SSH протокола, но после бана ипов и перезагрузки iptables - это не помогло. Также пытался смотреть tcpdump'ом, левых айпишников найдено не было, htop ресурсов ещё с головой хватает. Сайт стоит за cloudflare / nginx+php-fpm.

Характеристики сервера:
OC - CentsOS 7
8 ГБ Оперативы, 4 ядра, 200 GB SSD, 200 Mbit/s port
UNLIMITED Traffic

Атака длится уже более 24 часов.
  • Вопрос задан
  • 236 просмотров
Подписаться 2 Сложный 3 комментария
Пригласить эксперта
Ответы на вопрос 2
AlekseyNikulin
@AlekseyNikulin
недочеловек
1. Настройте Nginx
2. Добавьте Rate Limit
Ответ написан
@braindev Автор вопроса
Кому интересно пишу ответ:

Был весьма странный брутфорс самый очевидный который мог быть, по 22 порту, но при этом это добавляло кучу сессий и процессов, а также добавляло много крон задач, немного помогла смена порта у ssh, но потом они разозлились и начали ддосить SYN'ами. Думаю пока iptables крутить чтобы решить это.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы