Задать вопрос

Как защититься от DDOS входящими UDP?

На сервер приходят огромное количество UDP пакетов, забивают 1Gbit\s.

Пакеты - явно ответы от DNS серверов, при этом мой сервер никаких запросов к ним не отправляет.
Так выглядит содержимое пакета: dl.dropbox.com/u/937100/screenshots/screen140501-0...

Пытаюсь заблокировать через iptables вообще весь траффик UDP, но tcpdump показывает, что пакеты все равно приходят:
-A INPUT -p udp -j DROP
-A OUTPUT -p udp -j DROP
-A INPUT -j DROP
  • Вопрос задан
  • 5149 просмотров
Подписаться 3 Оценить Комментировать
Решения вопроса 1
@inkvizitor68sl
Linux-сисадмин с 8 летним стажем.
Логично, это же входящий трафик.
У себя на интерфейсе сетевом от входящего трафика вы избавиться не можете никак. Вы можете не пропускать пакеты в систему, это да.

Резать атаку в данном случае нужно там, где трафик станет исходящим. Например, попросить хостера порезать входящий к вам UDP, или залезть за какой-нибудь cloudflare или другие антиддос-защиты.

А атака на вас ddos-amplification идет.
Ответ написан
Комментировать
Пригласить эксперта
Ответы на вопрос 3
@Snow-m
Многие обычно закрывают этот трафик так как от UDP сложно защитится это по сути мощная атак за счет порта и там можно наростить DNS Amplification невероятные мощности. в сотник гигабит.
Ответ написан
Комментировать
Cloudflare не поможет, они защищают только от layer 7 атак.
Ответ написан
Комментировать
@Armashka_cs
Здравствуйте! у меня та же самая проблема. Стоит железка микротик ccr 1036, за ней сервер. Ширина канала 1G/s , какие то чудики ддосят наш айпи адрес уже 3тью неделю. Просто берут тупо льют мусорный udp трафик по всем портам подряд в диапазоне от 4120 до 59000 , что вызывает перегруз входящей скорости канала до 970Mbit , соответственно сервер не может выйти в интернет и удаленной связи нет с микротом. Что я только не делал, какие правила блокировки не писал! Дропы в файрволл, блочил порты, закрывал внешку на микроте, ничего не помогает! Вроде бы атаки отражаются правилами микрота, видно что блочет, но как будто не успевает, канал все равно нагружен на 100%, это при том, что 1G/s ! никакие не 100Мбит. Облазил весь гугл везде пишут что защиты возможна только на уровне провайдера, которому к сожалению плевать на ддос атаки, они тупо интернет канал прокидывают , работает и работает! на левый трафик им по барабану. Что посоветуете добрые люди???
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы