Защита от DDoS напрямую на айпи?

Question

[TRUEC0DER]

Есть сервер с открытым портом, который обязательно должен быть открыт, а есть не добросовестные люди, желающие нам и серверу всего плохого, которые с помощью платного стрессера шлют атаки на наш сервер (Сервер арендован у Hetzner, и по их словам должна быть защита от атак, но не видно..). От атак сервер начинает задыхаться, на сервере стоит настроенный IPTables, fail2ban + настроен firewall от Hetzner на пропуск только TCP запросов, толку ноль. Можно ли что-либо сделать на серверной стороне, не прибегая к аппаратной? Характеристики сервера ниже.

Intel Core i7-8700

NIC 1 Gbit
- Intel I219-LM

2x SSD M.2 NVMe 1 TB

4x RAM 16384 MB DDR4

Comments

[Денис Юрьев]

а что за порт/сервис то атакуют?

[TRUEC0DER]

Денис Юрьев, В основном атака приходится на 25565 порт, но могут атаковать и другие порты (SSH, SFTP)

[ky0]

TRUEC0DER, так хрен ли у вас SSH-то нараспашку?! :) Всё, кроме продукционных сервисов, обычно закрывают из интернета.

[TRUEC0DER]

ky0, А подключаться к серверу-то каким образом, если закрывать?

[ky0]

TRUEC0DER, через VPN, либо, если у тех, кому нужно подключаться, статические адреса - просто белый список в ACL. Но VPN универсальнее, конечно же.

[Денис Юрьев]

TRUEC0DER, fail2ban ваш майнкрафт точно защищает?))) или дефолтные настройки?)

Answer 1

[Владимир]

Если у вас нет денег на нормальный ддос протекшон то ваш варианты такие:
1 курим выхлоп netstat с разными ключами и думаем можно ли по кол-ву коннектов отличить ип клиентов от атакующих ип, если да - курим документацию по модулю iptables connlimit
2 курим выхлоп tcpdump или wireshark ищем паттерн в пакетах которыми вас бомбят - текстом или порядком байт, если нашли курим документацию iptables к модулю string.

Answer 2

[Надим]

Обратитесь к своему хостеру, как правило у большинства хостингов есть услуга по защите от ддос.

Comments

[TRUEC0DER]

Обращались уже, нас мягко послали

[Надим]

TRUEC0DER, тогда меняйте хостера, выберите такой хостинг, где гарантированно есть защита от ддос.

[Денис Юрьев]

Надим Закиров, не существует идеальной защиты от DDoS которую невозможно обойти. zero-day никто не отменял

Answer 3

[Владимир Коротенко]

Задавить канал самое простое. И от этого мало кто спасёт. А дальше нужно думать. Ведь пользователь он как то действует, вот по этим сценариям и отсекайте. Ведь допустим 200 rps от одного пользователя к поисковику маловероятны? Тогда в бан этого бота.

Answer 4

[ky0]

на сервере стоит настроенный IPTables, fail2ban + настроен firewall от Hetzner на пропуск только TCP запросов, толку ноль

Видимо, какие-то из перечисленных мер настроены недостаточно хорошо (есть у вас, например, ограничение по геолокации адресов?). Если выжирается весь канал - это одно, а если упирается в процессор - значит, недостаточно активно давите айпишники, ну и приложение, значит, плохо оптимизировано.

Answer 5

[Vitaly Karasik]

1) Для порта который должен быть открыт для пользователей - открыть support ticket у Hetzner c просьбой его защитить.
Второй вариант -  Cloudflare
2) Все "ваши" сервисы закрыть для интернета, отрыть для вашего IP или через VPN