Как защититься от DDOS входящими UDP?

Question

[p4s8x]

На сервер приходят огромное количество UDP пакетов, забивают 1Gbit\s.

Пакеты - явно ответы от DNS серверов, при этом мой сервер никаких запросов к ним не отправляет.
Так выглядит содержимое пакета: dl.dropbox.com/u/937100/screenshots/screen140501-0...

Пытаюсь заблокировать через iptables вообще весь траффик UDP, но tcpdump показывает, что пакеты все равно приходят:

-A INPUT -p udp -j DROP
-A OUTPUT -p udp -j DROP
-A INPUT -j DROP

Answer 1

[Влад Животнев]

Логично, это же входящий трафик.
У себя на интерфейсе сетевом от входящего трафика вы избавиться не можете никак. Вы можете не пропускать пакеты в систему, это да.

Резать атаку в данном случае нужно там, где трафик станет исходящим. Например, попросить хостера порезать входящий к вам UDP, или залезть за какой-нибудь cloudflare или другие антиддос-защиты.

А атака на вас ddos-amplification идет.

Answer 2

[Snow-m]

Многие обычно закрывают этот трафик так как от UDP сложно защитится это по сути мощная атак за счет порта и там можно наростить DNS Amplification невероятные мощности. в сотник гигабит.

Answer 3

[Максим Антропов]

Cloudflare не поможет, они защищают только от layer 7 атак.

Answer 4

[Armashka_cs]

Здравствуйте! у меня та же самая проблема. Стоит железка микротик ccr 1036, за ней сервер. Ширина канала 1G/s , какие то чудики ддосят наш айпи адрес уже 3тью неделю. Просто берут тупо льют мусорный udp трафик по всем портам подряд в диапазоне от 4120 до 59000 , что вызывает перегруз входящей скорости канала до 970Mbit , соответственно сервер не может выйти в интернет и удаленной связи нет с микротом. Что я только не делал, какие правила блокировки не писал! Дропы в файрволл, блочил порты, закрывал внешку на микроте, ничего не помогает! Вроде бы атаки отражаются правилами микрота, видно что блочет, но как будто не успевает, канал все равно нагружен на 100%, это при том, что 1G/s ! никакие не 100Мбит. Облазил весь гугл везде пишут что защиты возможна только на уровне провайдера, которому к сожалению плевать на ддос атаки, они тупо интернет канал прокидывают , работает и работает! на левый трафик им по барабану. Что посоветуете добрые люди???