Что делать, когда ддосят порт?

Question

[kxx]

Есть сервер на Slackware 14 (регулярно обновляемый), на котором крутится Apache, ntpd и ssh. Сооветственно, наружу открыты только 80, 123 и 22 порты. Сегодня случайно обнаружил такую картинку:

С помощью iptables закрыл 123 порт. AIDE изменений в файловой системе не показал. Собственно, что дальше делать, ибо идет непрерывный трафик на закрытый 123 порт?

Answer 1

[Игорь Воротнёв]

Fail2Ban поставьте, он айпишник обрубит в черный список, и на будущее пригодится. Хотя блока на уровне iptables в принципе достаточно. Я бы в нем, правда, не порт закрывал, а конкретно этому айпи запрещал все. Другие смогут пользоваться, а спаммер этот выкусит.

Answer 2

[Олег Баталов]

Судя по IP - это cloudflare.com, скерее всего у них ваш IP прописан как NTP-сервер (обычная невнимательность), и все их клиенты пытаются синхронизировать с вами время.
Попытайтесь с ними связаться, и обстоятельно объяснить проблему, устранить это могут только они.
Если не поможет, или на неадекватов нарветесь - можно запустить на этом порту реальный NTP-сервер и отдавать дату и время из прошлого века.

Answer 3

[Влад Животнев]

Если мешает - попросите хостера заблокировать этот трафик.
Другого варианта нет - трафик всё равно будет приходить на эту железку. Можно отсекать его от ОС, но физически вы его получать всё равно будете.

Answer 4

[Пума Тайланд]

пусть идет

Comments

[Пума Тайланд]

Дерните провайдера своего абузой на забивание канала, он обязан с о своей стороны дернуть другого провайдера, а тот должен залочить клиента.

[Ринат Гарипов]

@opium быстрее написать сразу ISP/хостеру откуда идет скан.

Answer 5

[kxx]

Сегодня IP сменился на 198.41.181.91 и 198.41.183.94. Забивают канал почти на 30%. Поставлю Fail2Ban.

Comments

[Влад Животнев]

Канал они забивать не перестанут, повторюсь. Трафик с вашей точки зрения - входящий, избавиться физически от него нельзя. Избавить вас от него может только тот, для кого этот трафик исходящий - например, шлюз сети хостера.

[Игорь Воротнёв]

Fail2Ban будет распознавать такие айпишники по поведению и банить. Станете спать спокойно.

[sonik_spb]

Но как верно говорит @inkvizitor68sl трафика в реальности от этого меньше не станет. Просто его теперь будет обрабатывать не ntp сервер, а иптаблес.

[Zhakupov]

@inkvizitor68sl говорит дело попробуй договорится с хостером. если есть деньги могу порекомендовать ru.wikipedia.org/wiki/Akamai_Technologies