forum.opennet.ru

Составление сообщения

Исходное сообщение

"DDoS атаки ~1.6gb/s"
Отправлено Estrayxxx, 02-Дек-14 20:21

Доброго времени суток.
Предыстория:
Я являюсь одним из мамонтов, что дожил до наших дней, держащий сервер игры Metin2. Проекту исполняется 2 года через 10 дней, нынешнему серверу - год. Две недели назад началась DDoS-атака, которой я, к сожалению, пока не смог противостоять и решил попытать счастье в поисках помощи у вас. К делу...
Немного информации:
Сервер - Core i5 3.8ГГц (4 ядра) / 8Гб RAM / 2x500Гб SATA;
ОС - FreeBSD 10;
Firewall - Packet Filter.
Так вот, ранее PF надежно защищал меня и я с командой спокойно занимались развитием сервера, но две недели назад начались DDoS-атаки, которые он просто не вывозит (подозреваю, что это botnet). Сообщения от хостера при каждой блокировке примерно в таком духе:
На момент блокировки зафиксирован средний входящий трафик 1.6 G бит в секунду со средним размером пакетов 338.
Основные источники трафика:
152.subnet118-97-77.static.astinet.telkom.net.id118.97.77.152 29.9M байт в секунду с размером пакета 1383 байт на 0 порт.
1.199.79.115 18.4M байт в секунду с размером пакета 287 байт на 13001 порт.
c-76-101-92-152.hsd1.fl.comcast.net76.101.92.152 17.9M байт в секунду с размером пакета 330 байт на 13001 порт.
116.231.142.73 17.7M байт в секунду с размером пакета 335 байт на 13001 порт.
116.226.17.126 17.7M байт в секунду с размером пакета 335 байт на 13001 порт.
116.231.133.210 17.7M байт в секунду с размером пакета 335 байт на 13001 порт.
62.217.41.81 17.1M байт в секунду с размером пакета 334 байт на 13001 порт.
141.70.80.99 17.1M байт в секунду с размером пакета 334 байт на 13001 порт.
39.73.197.141 16.7M байт в секунду с размером пакета 321 байт на 13001 порт.
89-162-96-137.fiber.signal.no89.162.96.137 12.3M байт в секунду с размером пакета 1375 байт на 0 порт.
83.20-broadband.acttv.in202.83.20.144 11.9M байт в секунду с размером пакета 1375 байт на 0 порт.
212-83-136-198.rev.poneytelecom.eu212.83.136.198 11.3M байт в секунду с размером пакета 1375 байт на 0 порт.
61.150.43.7 10.9M байт в секунду с размером пакета 1375 байт на 0 порт.
124.68.5.171 10.9M байт в секунду с размером пакета 340 байт на 13001 порт.
111.17.216.35 9.8M байт в секунду с размером пакета 1375 байт на 0 порт.
Присутствует забавная нотка: атака идёт на игровые порты, однако они не падают. То есть, все, кто находились в игре, играют, но новые люди зайти не могут. Всех выбрасывает, когда хостер блочит интернет на сервере.
Пара кусочков из правил PF:
set limit { states 40000, frags 40000, src-nodes 4000, table-entries 400000 }
set timeout { tcp.first 30, tcp.opening 15, tcp.established 60 }
pass in on $ext_if proto tcp from any to $ext_if port 11002 flags S/SA keep state \ (max-src-conn 35, max-src-conn-rate 8/15, overload <in_game> flush)
pass out on $ext_if proto { tcp, udp } all
Не уверен, что правильно понимаю, но в моём представлении происходит так: атакующие забивают очередь -> PF их не блокирует -> Хостер блочит сервер.
Может ли кто-нибудь помочь?
Заранее спасибо за отзывчивость.

Исходное сообщение
"DDoS атаки ~1.6gb/s" Отправлено Estrayxxx, 02-Дек-14 20:21
Доброго времени суток. Предыстория: Я являюсь одним из мамонтов, что дожил до наших дней, держащий сервер игры Metin2. Проекту исполняется 2 года через 10 дней, нынешнему серверу - год. Две недели назад началась DDoS-атака, которой я, к сожалению, пока не смог противостоять и решил попытать счастье в поисках помощи у вас. К делу... Немного информации: Сервер - Core i5 3.8ГГц (4 ядра) / 8Гб RAM / 2x500Гб SATA; ОС - FreeBSD 10; Firewall - Packet Filter. Так вот, ранее PF надежно защищал меня и я с командой спокойно занимались развитием сервера, но две недели назад начались DDoS-атаки, которые он просто не вывозит (подозреваю, что это botnet). Сообщения от хостера при каждой блокировке примерно в таком духе: На момент блокировки зафиксирован средний входящий трафик 1.6 G бит в секунду со средним размером пакетов 338. Основные источники трафика: 152.subnet118-97-77.static.astinet.telkom.net.id118.97.77.152 29.9M байт в секунду с размером пакета 1383 байт на 0 порт. 1.199.79.115 18.4M байт в секунду с размером пакета 287 байт на 13001 порт. c-76-101-92-152.hsd1.fl.comcast.net76.101.92.152 17.9M байт в секунду с размером пакета 330 байт на 13001 порт. 116.231.142.73 17.7M байт в секунду с размером пакета 335 байт на 13001 порт. 116.226.17.126 17.7M байт в секунду с размером пакета 335 байт на 13001 порт. 116.231.133.210 17.7M байт в секунду с размером пакета 335 байт на 13001 порт. 62.217.41.81 17.1M байт в секунду с размером пакета 334 байт на 13001 порт. 141.70.80.99 17.1M байт в секунду с размером пакета 334 байт на 13001 порт. 39.73.197.141 16.7M байт в секунду с размером пакета 321 байт на 13001 порт. 89-162-96-137.fiber.signal.no89.162.96.137 12.3M байт в секунду с размером пакета 1375 байт на 0 порт. 83.20-broadband.acttv.in202.83.20.144 11.9M байт в секунду с размером пакета 1375 байт на 0 порт. 212-83-136-198.rev.poneytelecom.eu212.83.136.198 11.3M байт в секунду с размером пакета 1375 байт на 0 порт. 61.150.43.7 10.9M байт в секунду с размером пакета 1375 байт на 0 порт. 124.68.5.171 10.9M байт в секунду с размером пакета 340 байт на 13001 порт. 111.17.216.35 9.8M байт в секунду с размером пакета 1375 байт на 0 порт. Присутствует забавная нотка: атака идёт на игровые порты, однако они не падают. То есть, все, кто находились в игре, играют, но новые люди зайти не могут. Всех выбрасывает, когда хостер блочит интернет на сервере. Пара кусочков из правил PF: set limit { states 40000, frags 40000, src-nodes 4000, table-entries 400000 } set timeout { tcp.first 30, tcp.opening 15, tcp.established 60 } pass in on $ext_if proto tcp from any to $ext_if port 11002 flags S/SA keep state \ (max-src-conn 35, max-src-conn-rate 8/15, overload <in_game> flush) pass out on $ext_if proto { tcp, udp } all Не уверен, что правильно понимаю, но в моём представлении происходит так: атакующие забивают очередь -> PF их не блокирует -> Хостер блочит сервер. Может ли кто-нибудь помочь? Заранее спасибо за отзывчивость.

Ваше сообщение
Имя*:
EMail:	Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	> Доброго времени суток. > Предыстория: > Я являюсь одним из мамонтов, что дожил до наших дней, держащий сервер > игры Metin2. Проекту исполняется 2 года через 10 дней, нынешнему серверу > - год. Две недели назад началась DDoS-атака, которой я, к сожалению, > пока не смог противостоять и решил попытать счастье в поисках помощи > у вас. К делу... > Немного информации: > Сервер - Core i5 3.8ГГц (4 ядра) / 8Гб RAM / 2x500Гб > SATA; > ОС - FreeBSD 10; > Firewall - Packet Filter. > Так вот, ранее PF надежно защищал меня и я с командой спокойно > занимались развитием сервера, но две недели назад начались DDoS-атаки, которые он > просто не вывозит (подозреваю, что это botnet). Сообщения от хостера при > каждой блокировке примерно в таком духе: > На момент блокировки зафиксирован средний входящий трафик 1.6 G бит в секунду > со средним размером пакетов 338. > Основные источники трафика: > 152.subnet118-97-77.static.astinet.telkom.net.id118.97.77.152 29.9M байт в секунду > с размером пакета 1383 байт на 0 порт. > 1.199.79.115 18.4M байт в секунду с размером пакета 287 байт на 13001 > порт. > c-76-101-92-152.hsd1.fl.comcast.net76.101.92.152 17.9M байт в секунду с размером пакета > 330 байт на 13001 порт. > 116.231.142.73 17.7M байт в секунду с размером пакета 335 байт на 13001 > порт. > 116.226.17.126 17.7M байт в секунду с размером пакета 335 байт на 13001 > порт. > 116.231.133.210 17.7M байт в секунду с размером пакета 335 байт на 13001 > порт. > 62.217.41.81 17.1M байт в секунду с размером пакета 334 байт на 13001 > порт. > 141.70.80.99 17.1M байт в секунду с размером пакета 334 байт на 13001 > порт. > 39.73.197.141 16.7M байт в секунду с размером пакета 321 байт на 13001 > порт. > 89-162-96-137.fiber.signal.no89.162.96.137 12.3M байт в секунду с размером пакета 1375 > байт на 0 порт. > 83.20-broadband.acttv.in202.83.20.144 11.9M байт в секунду с размером пакета 1375 байт > на 0 порт. > 212-83-136-198.rev.poneytelecom.eu212.83.136.198 11.3M байт в секунду с размером пакета > 1375 байт на 0 порт. > 61.150.43.7 10.9M байт в секунду с размером пакета 1375 байт на 0 > порт. > 124.68.5.171 10.9M байт в секунду с размером пакета 340 байт на 13001 > порт. > 111.17.216.35 9.8M байт в секунду с размером пакета 1375 байт на 0 > порт. > Присутствует забавная нотка: атака идёт на игровые порты, однако они не падают. > То есть, все, кто находились в игре, играют, но новые люди > зайти не могут. Всех выбрасывает, когда хостер блочит интернет на сервере. > Пара кусочков из правил PF: > set limit { states 40000, frags 40000, src-nodes 4000, table-entries 400000 } > set timeout { tcp.first 30, tcp.opening 15, tcp.established 60 } > pass in on $ext_if proto tcp from any to $ext_if port 11002 > flags S/SA keep state \ (max-src-conn 35, max-src-conn-rate 8/15, overload <in_game> > flush) > pass out on $ext_if proto { tcp, udp } all > Не уверен, что правильно понимаю, но в моём представлении происходит так: атакующие > забивают очередь -> PF их не блокирует -> Хостер блочит сервер. > Может ли кто-нибудь помочь? > Заранее спасибо за отзывчивость.
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру