Задать вопрос

Что делать, если DDOS идет через мой сервер в Hetzner?

Здравствуйте! Получил вчера "письмо счастья" от abuse@hetzner.de на тему, что через мой сервер идет DDOS атака. На всё про все дали 24 часа.

Вот текст сообщения от пострадавшего:

Hi

My IP yy.yy.yy.yy is being ddosed from your network
All ips that attack me belong to Hetzner
Attack speed is more than 1gbit\s

PROTO=UDP SPT=10000 DPT=80 DST=yy.yy.yy.yy

IP addresses that are attacking me:
Feb 9 19:26:25 srv1 kernel: [ 69.722057] Firewall: *UDP_IN Blocked* IN=eth0 OUT= MAC=d8:9d:67:16:93:b0:00:0e:39:42:bc:00:08:00 SRC=xx.xx.xx.xx DST=yy.yy.yy.yy LEN=1396 TOS=0x00 PREC=0x00 TTL=246 ID=50113 PROTO=UDP SPT=10000 DPT=80 LEN=1376


Раньше с таким не приходилось сталкиваться. Начал копать в интернете и нашел, что могут DDOS-ить через рекурсивные запросы в DNS-сервере bind9
forum.searchengines.ru/showthread.php?t=785341
Но он у меня в принципе не установлен.

Также нашел статьи о использовании багов NTP сервера:
habrahabr.ru/post/209438
Но команда
ntpdc -c monlist адрес_сервера
отвечает Timed out. Следовательно эта дыра тоже закрыта.

Подскажите в какую сторону еще искать? Какие еще способы есть DDOS-а через мой сервер?
  • Вопрос задан
  • 6985 просмотров
Подписаться 5 Оценить 2 комментария
Решения вопроса 2
mikes
@mikes
способов много использовать вас в качестве атакующего.
сначала через iptables "перекройте кислород" из логов у вас есть данные чего куда закрыть
а потом как первый шаг проверьте netstat -p --udp коль вы по udp спамите и посмотрите что будет
Ответ написан
@throughtheether
human after all
Во-первых, необходимо проверить актуальность претензий. Не знаю насчет hetzner, но некоторые другие хостеры любят перенаправлять жалобы напрямую, не удосужившись элементарной проверкой. В вашем случае, вполне вероятна подделка адреса источника.
Итак, необходимо
1) Посмотреть на уровень трафика от вашего сервера в указанное время. Я надеюсь, это мониторится.
2) Написать в hetzner, что вы просите их проверить претензию на соответствие netflow-данным (я надеюсь, они их собирают). Грубо говоря, они должны подтвердить или опровергнуть, был ли трафик с вашего хоста на атакуемый сервер в указанное время на указанный порт, и в каком количестве.

TL;DR: Не факт, что эта атака к вам имеет какое-либо, кроме использования вашего адреса, отношение.
Ответ написан
Пригласить эксперта
Ответы на вопрос 2
makol
@makol
А вы не думаете что само письмо, это попытка развода?
Ответ написан
opium
@opium
Просто люблю качественно работать
Логично что вас ломанули и с сервера ддосят.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы