WN - Gratis hjälpmedel för att skydda Ubuntu mot DDos

WN (https://www.wn.se/forum/index.php)

- Serversidans teknologier (https://www.wn.se/forum/forumdisplay.php?f=4)

- - Gratis hjälpmedel för att skydda Ubuntu mot DDos (https://www.wn.se/forum/showthread.php?t=1056214)

Gratis hjälpmedel för att skydda Ubuntu mot DDos

Hej! Har ledsnat på att bli utsatt för dessa DDos-attacker som drabbar mig hela tiden sedan en tid tillbaka. Jag sökte runt lite och hittade bland annat detta:

http://deflate.medialayer.com/ och det verkar onekligen smidigt och bra. Men jag vet inte hur bra det verkligen fungerar. Har någon av er erfarenhet utav det?

Jag fick nyligen ett mail från min förra leverantör som jag hade till för ett par dagar sedan, med IP-adresser och information om den upptäckta attacken. Med nedanstående information, vilket skydd tror ni jag behöver? Tror ni ovanstående skydd kan stå emot något liknande och vet ni fler bra tips på kostnadsfria skydd?

Vill inte verka snål men det kostar skjortan med vissa av skydden jag hittat på nätet.

Citat:

Threshold Traffic 150 MBit/s
Sum 6,096 GByte/300s (166 MBit/s), 6.591.000 packets/300s (21.970 packets/s), 3.021 flows/300s (10 flows/s)
External 23.20.217.239, 1,035 GByte/300s (28 MBit/s), 1.090.000 packets/300s (3.633 packets/s), 158 flows/300s (0 flows/s)
External 23.21.132.148, 1,001 GByte/300s (27 MBit/s), 1.054.000 packets/300s (3.513 packets/s), 131 flows/300s (0 flows/s)
External 141.30.143.246, 0,819 GByte/300s (22 MBit/s), 862.000 packets/300s (2.873 packets/s), 240 flows/300s (0 flows/s)
External 211.174.62.34, 0,517 GByte/300s (14 MBit/s), 544.000 packets/300s (1.813 packets/s), 204 flows/300s (0 flows/s)
External 180.179.36.7, 0,389 GByte/300s (10 MBit/s), 409.000 packets/300s (1.363 packets/s), 184 flows/300s (0 flows/s)
External 180.179.36.9, 0,358 GByte/300s (9 MBit/s), 377.000 packets/300s (1.256 packets/s), 182 flows/300s (0 flows/s)
External 128.196.124.99, 0,295 GByte/300s (8 MBit/s), 308.000 packets/300s (1.026 packets/s), 308 flows/300s (1 flows/s)
External 175.121.74.222, 0,280 GByte/300s (7 MBit/s), 295.000 packets/300s (983 packets/s), 146 flows/300s (0 flows/s)
External 141.30.100.164, 0,232 GByte/300s (6 MBit/s), 242.000 packets/300s (806 packets/s), 242 flows/300s (0 flows/s)
External 180.179.49.194, 0,207 GByte/300s (5 MBit/s), 216.000 packets/300s (720 packets/s), 216 flows/300s (0 flows/s)
External 211.100.49.162, 0,173 GByte/300s (4 MBit/s), 182.000 packets/300s (606 packets/s), 120 flows/300s (0 flows/s)
External 130.83.160.109, 0,088 GByte/300s (2 MBit/s), 92.000 packets/300s (306 packets/s), 92 flows/300s (0 flows/s)
External 178.16.152.226, 0,068 GByte/300s (1 MBit/s), 71.000 packets/300s (236 packets/s), 71 flows/300s (0 flows/s)
External 180.179.36.11, 0,065 GByte/300s (1 MBit/s), 68.000 packets/300s (226 packets/s), 53 flows/300s (0 flows/s)
External 208.67.225.152, 0,059 GByte/300s (1 MBit/s), 62.000 packets/300s (206 packets/s), 62 flows/300s (0 flows/s)
External 130.83.160.117, 0,055 GByte/300s (1 MBit/s), 57.000 packets/300s (190 packets/s), 57 flows/300s (0 flows/s)
External 130.83.160.123, 0,054 GByte/300s (1 MBit/s), 56.000 packets/300s (186 packets/s), 56 flows/300s (0 flows/s)
External 128.196.130.183, 0,054 GByte/300s (1 MBit/s), 56.000 packets/300s (186 packets/s), 56 flows/300s (0 flows/s)
External 61.250.197.70, 0,047 GByte/300s (1 MBit/s), 49.000 packets/300s (163 packets/s), 49 flows/300s (0 flows/s)
External 141.45.20.102, 0,044 GByte/300s (1 MBit/s), 46.000 packets/300s (153 packets/s), 46 flows/300s (0 flows/s)
External 208.44.114.158, 0,030 GByte/300s (0 MBit/s), 31.000 packets/300s (103 packets/s), 31 flows/300s (0 flows/s)
External 94.127.2.229, 0,029 GByte/300s (0 MBit/s), 30.000 packets/300s (100 packets/s), 30 flows/300s (0 flows/s)
External 94.127.2.136, 0,029 GByte/300s (0 MBit/s), 30.000 packets/300s (100 packets/s), 30 flows/300s (0 flows/s)
External 178.170.99.110, 0,022 GByte/300s (0 MBit/s), 23.000 packets/300s (76 packets/s), 23 flows/300s (0 flows/s)
External 178.170.114.142, 0,021 GByte/300s (0 MBit/s), 22.000 packets/300s (73 packets/s), 22 flows/300s (0 flows/s)
External 23.21.175.29, 0,020 GByte/300s (0 MBit/s), 21.000 packets/300s (70 packets/s), 17 flows/300s (0 flows/s)
External 23.23.12.103, 0,015 GByte/300s (0 MBit/s), 16.000 packets/300s (53 packets/s), 16 flows/300s (0 flows/s)
External 207.232.7.183, 0,012 GByte/300s (0 MBit/s), 13.000 packets/300s (43 packets/s), 4 flows/300s (0 flows/s)
External 23.23.218.180, 0,011 GByte/300s (0 MBit/s), 12.000 packets/300s (40 packets/s), 12 flows/300s (0 flows/s)
External 23.21.231.40, 0,011 GByte/300s (0 MBit/s), 11.000 packets/300s (36 packets/s), 11 flows/300s (0 flows/s)
External 23.21.156.99, 0,010 GByte/300s (0 MBit/s), 10.000 packets/300s (33 packets/s), 10 flows/300s (0 flows/s)
External 23.20.252.238, 0,008 GByte/300s (0 MBit/s), 8.000 packets/300s (26 packets/s), 8 flows/300s (0 flows/s)
External 23.21.92.143, 0,007 GByte/300s (0 MBit/s), 7.000 packets/300s (23 packets/s), 7 flows/300s (0 flows/s)
External 23.23.169.247, 0,007 GByte/300s (0 MBit/s), 7.000 packets/300s (23 packets/s), 7 flows/300s (0 flows/s)
External 23.23.8.51, 0,004 GByte/300s (0 MBit/s), 4.000 packets/300s (13 packets/s), 4 flows/300s (0 flows/s)
External 23.22.239.125, 0,003 GByte/300s (0 MBit/s), 3.000 packets/300s (10 packets/s), 3 flows/300s (0 flows/s)
External 50.195.157.237, 0,003 GByte/300s (0 MBit/s), 3.000 packets/300s (10 packets/s), 3 flows/300s (0 flows/s)
External 23.22.193.100, 0,002 GByte/300s (0 MBit/s), 2.000 packets/300s (6 packets/s), 2 flows/300s (0 flows/s)
External 23.22.31.222, 0,002 GByte/300s (0 MBit/s), 2.000 packets/300s (6 packets/s), 2 flows/300s (0 flows/s)
External 23.23.252.233, 0,001 GByte/300s (0 MBit/s), 1.000 packets/300s (3 packets/s), 1 flows/300s (0 flows/s)
External 207.42.225.171, 0,001 GByte/300s (0 MBit/s), 1.000 packets/300s (3 packets/s), 1 flows/300s (0 flows/s)
External 81.237.209.78, 0,001 GByte/300s (0 MBit/s), 12.000 packets/300s (40 packets/s), 4 flows/300s (0 flows/s)
External 213.67.191.2, 0,001 GByte/300s (0 MBit/s), 8.000 packets/300s (26 packets/s), 4 flows/300s (0 flows/s)
External 213.67.34.104, 0,001 GByte/300s (0 MBit/s), 10.000 packets/300s (33 packets/s), 3 flows/300s (0 flows/s)
External 81.234.252.170, 0,001 GByte/300s (0 MBit/s), 10.000 packets/300s (33 packets/s), 3 flows/300s (0 flows/s)
External 90.231.185.130, 0,001 GByte/300s (0 MBit/s), 8.000 packets/300s (26 packets/s), 3 flows/300s (0 flows/s)
External 78.72.43.235, 0,001 GByte/300s (0 MBit/s), 9.000 packets/300s (30 packets/s), 4 flows/300s (0 flows/s)
External 37.247.18.27, 0,000 GByte/300s (0 MBit/s), 7.000 packets/300s (23 packets/s), 4 flows/300s (0 flows/s)
External 78.69.30.140, 0,000 GByte/300s (0 MBit/s), 7.000 packets/300s (23 packets/s), 4 flows/300s (0 flows/s)
External 90.224.91.217, 0,000 GByte/300s (0 MBit/s), 8.000 packets/300s (26 packets/s), 4 flows/300s (0 flows/s)

Vad är det du kör på servern som gör att du attackeras? Om det är återkommande attacker så är det inte något slumpmässigt.

Inte för att det hjälper dig med DDoS-skydd du frågar efter men du kanske kan lösa problemet mer permanent på andra sätt.

Sätt tex. en pfense brandvägg framför servern och justera antal max connections per IP och tidsenhet.

Du kan inte skydda dig mot en attack som går ut på att göra slut på bandbredd på inkommande trafik. Iaf inte om skyddet ligger på samma server som attacken är riktad mot.

Eftersom problemet redan uppkommit innan trafiken nått din server (din ISP får betala få onödig bandbredd och CPU i routrarna).

Citat:

Ursprungligen postat av Björklund (Inlägg 20458467)

Du kan inte skydda dig mot en attack som går ut på att göra slut på bandbredd på inkommande trafik.

Skulle dock inte tro att denna ddos är av den omfattningen, utan är mest tillräckligt många GET anrop på webbservern för att den ska börja bli överbelastad

Citat:

Ursprungligen postat av Danielos (Inlägg 20458469)

Skulle dock inte tro att denna ddos är av den omfattningen, utan är mest tillräckligt många GET anrop på webbservern för att den ska börja bli överbelastad

166mbit/s får du inte så enkelt av GET anrop. En DDOS består av inkommande trafik ofta UDP-trafik (alltså inte riktad mot webbserverns port).

Citat:

Ursprungligen postat av KristianE (Inlägg 20458460)

Det är en minecraft server. Kan säkert anses vara strunt samma om en sådan blir DDosad men det är en större sådan och flera hundra spelare som faktiskt blir utestängda så fort en attack sker och folk som donerat på servern kan inte spela för att den kraschat vilket skapar missnöje och massor med frågor från spelarna.

Om jag ska vara ärlig så tror jag inte att det finns ett allvarligt motiv bakom attackerna. Samtidigt som vi utsätts för dessa attacker så kan jag se att 2 av de andra större servrarna i Sverige också till synes ser ut att stängas ner. Det kan alltså handla om något slags nöje som personen finner i att sabba för oss då många spelare blir drabbade.

Fick hjälp igår att installera Deflate DDos så ska se om det fungerar någorlunda.

Citat:

Ursprungligen postat av Björklund (Inlägg 20458472)

166mbit/s får du inte så enkelt av GET anrop.

Men det där är ju bara exempel på hur http://deflate.medialayer.com/ fungerar inte värden från Dakotas ddos attack

Citat:

Ursprungligen postat av Danielos (Inlägg 20458478)

Men det där är ju bara exempel på hur http://deflate.medialayer.com/ fungerar inte värden från Dakotas ddos attack

Jo det är från min attack.

Citat:

Ursprungligen postat av Dakota (Inlägg 20458479)

Jo det är från min attack.

Jaha, ja då tar jag tillbaka mitt förslag till lösning :)

Citat:

Ursprungligen postat av Dakota (Inlägg 20458474)

Jag har haft ett par kunder som drabbats av just ddos mot minecraft. Och precis som du misstänker är jag övertygad om att även i mina fall har det inte funnits något direkt motiv bakom attackerna utan det är nog bara ungar som tycker det är kul i största allmänhet. Jag har fått uppfattningen att ddos mot minecraftservar är väldigt vanligt, finns hur många guider som helst hur man gör och så. Ett lokalt skydd på servern är bra att ha, då räddar du din maskin mot överbelastning. Frågan är om din internetanslutning kommer fyllas upp eller om attackerna är så pass små att de inte fyller din Internetanslutning. Jag har haft ett par attacker på 1000 megabit och då dör ju internettrafiken till servern ändå.

Angående kostandsfria skydd så kan du få din leverantör att filtrera bort udp trafik så lär problemet med servern vara löst (om inte minecraft kör udp det kanske den gör?) Har du sen bara tillräcklig bandredd så ska det vara en rätt stor attack för att sänka dig. Enligt din text verkade du kunna köra 150 megabit så jag antar att du har en 1000 megabit länk. Men räkna med att någon förr eller senare sänker även en sån uppkoppling.

Hoppas du hittar något sätt att få ordning på problemen för det här med ddos är ett riktigt elände, förhoppningsvis kommer det bli bättre med tiden om/när fler operatörer inför filter i sina nät men ofta får man ju betala ett antal tusen i månaden för att använda skydden.

Kom på nu att attackerna på 1000 megabit va mot samma maskin, tror de andra attackerna legat på mellan 300 - 600 megabit så har du 1000 megabit så kan du nog klara dig. Frågan är bara vad din Internetleverantör tycker om att det går så mycket trafik men den diskussionen kan du ju ta med dom om du börjar få klagomål.

Har du kollat något på https://www.cloudflare.com/ dom kanske är dyra dom med.

Citat:

Ursprungligen postat av tony-axbyte (Inlägg 20458482)

Tack för tipset! Minecraft verkar köra TCP så det ska inte vara något problem att filtrera bort UDP, får hoppas OVH går med på det. Jag är inte så kunnig alls inom det här, men det är UDP som används vid DDos eller?

Citat:

Ursprungligen postat av Dakota (Inlägg 20458484)

Ja det brukar uteslutande vara udp. tcp trafik skickar tillbaka massa kontrolldata, udp bara öser på med trafik så därför går det lättast att sänka en server med udp eftersom tcp måste invänta ett svar mellan varje paket. De minecraftservrar jag fått attack mot förut har varit udp med men det finns säkert någon typ av attack som kan köra med tcp. Hoppas din leverantör kan hjälpa dig med ett udp filter, det är en rätt knepig manöver men en vass routertekniker ska kunna fixa det. Vill dom inte hjälpa dig kanske det kan hjälpa med att filtrera bort udp trafik med en lokal brandvägg på servern t.ex. iptables. Men risken finns ju att brandväggstjänsten blir överbelastad med men börja med att kolla om du kan få hjälp med det från leverantören. För när dom som kör attacken märker att dom inte kan sänka din server ja då kommer dom ju sluta. Möjligen så försöker dom försöka öka på trafiken så dom maxar din internetanslutning men det kan man ju inte göra något åt.

Där rök servern igen. Man blir förbannad, vem är det som sitter och håller på med det här? Stackars människa..

Tyvärr kostar bra DDOS-skydd pengar.

http://www.blacklotus.net/protect/pr...-for-minecraft

Om du vill ha väldigt bra skydd, det kan finnas billigare proxy skydd som fungerar bra.

Citat:

Ursprungligen postat av tony-axbyte (Inlägg 20458481)

Enligt din text verkade du kunna köra 150 megabit så jag antar att du har en 1000 megabit länk.

Statistiken kommer från ISP:ns netflow-data. Dvsa innan den når hans server.
Det går alltså inte gissa om han har 10, 100 elller 1000mbit/s på porten.

Har du kollat vad det är för trafik, du är säker på att det inte är något legitimt? Har du skickat en abuse till IPna? De två mest aktiva och typ hälften av resterande IPn är ju Amazon EC2. Ingen skulle vilja betala deras priser för att DDoSa en minecraft-server så antingen är de hackade eller så har du någon bot/tjänst som ballat ur.

Kolla först vad problemet är, försök sedan lösa det. Den där listan innehåller inte mycket av värde. Vad är det för protokoll? Är det utgående/ingående trafik? Vilken port?