Hur kommer min server stå sig mot denna DDoS-attack med 1 Gbps?
 

Tro det eller ej, men nu kommer ännu en tråd från mig som handlar om DDoS.

De två senaste dagarna jag min server blivit konstant DDoS:ad med cirka 1,2 miljoner PPS vilket fick mig att nästan ramla av stolen och ge upp. En sån ofantlig summa med paket per sekund fick mig nästan att ge upp hoppet om att kunna stå emot.

Dock fick jag sedan tips om att man inte bara ska kolla på hur många PPS attacken är på, utan även hur kraftig bandbredd attacken har. Jag kollade upp detta och det visar sig att den maximalt toppar omkring 74 Mb/s.

Min server har 100/100 mbps.

Nu är frågan. Om jag uppgraderar till en Intel Xeon E5-1620 med 1 Gbps kommer den då kunna stå emot ovanstående attack? Kanske till och med utan problem? Behöver inte idioten som utför dessa attacker då komma med avsevärt mycket mer bandbredd än de 74 mb/s han kommer med hittills?

Vad är er kommentar om detta? Jag har kollat runt på DDoS-skydd men min teori är att det är mer värt att bara skaffa 1 gbps istället för ett ddosskydd.

Hmm.. nu såg jag att det varierar lite. Vad tror ni om följande?

Internal (OVH to OVH) 1 Gbps

Incoming (Internet to OVH) 1 Gbps

Outgoing (OVH to internet) 200 Mbps

Outgoing Maximum 1 Gbps

Betyder det att vi har 1gbps om vi skaffar denna server eller inte vid en DDoS attack?

In till burken har du 1 Gbps.
Ut från burken och utanför OVH:s nät har du 200 mbit/s

Ja men vilken är det som är viktig vid en DDoS attack?

Om någon skickar data är det samma som att servern hämtar dvs 1Gbps.
Det är ju requests som skickas till servern för att få den att arbeta, sedan kommer den att försöka skicka så mycket som möjligt, tills den inte längre mäktar med alla requests.

Så, det förstnämnda är svaret.

Tror nog du skulle ta ett snack med Patrikweb. Han har nog den kunskap som krävs.

Så den skulle ha 1gbps att arbeta med?

Stämmer bra det.

Trevligt. Tror du rent spontant att det skulle hjälpa mot DDoS-attacker med storleken 1,2 miljoner PPS och genomsnittligt runt 70-80 mbps? Folk har mycket olika svar om det, vissa hävdar att en 1gbps lina är mycket svår att sänka.

Kan man blockera all trafik från ett visst land? Hur gör man det? Är det effektivt i DDoS-attacker? Skulle vilja bara tillåta svensk trafik.

Vad har du för trafikkostnad? Tänk på att OVH vill ha betalt för all din bandbredd. De bryr sig nog inte i om du blir DDoS:ad.

Att utöka till 1 Gbit kan ge attackeraren vatten på sin kvarn så han ökar upp till flera hundra Mbit. Om du då har en GB-volym per månad så förbrukas den fort.

Som jag nämnt tidigare. Du behöver lösa anledningen till varför du blir DDoS:ad och inte bara kasta på mer hårdvara på problemet.

I brandväggen brukar man kunna ställa in att droppa paket från olika subnät. Det finns listor på vilka subnät som man räknar som svenska så det är bara att börja knappa. :)

I teorin så borde det hjälpa lite, vad det ger i praktiken vet jag inte.

Du måste mena 74MB/s vilket motsvarar runt 1.2Mps i 60 storlek. Vilket är exempel standard storlek runt för ett syn paket.

Vilket är runt 700Mbit något, så du borde klara dig på 1Gbit då om trafik inte ökar. Samt om server klarar av det. Du lär få köra iptables med så trafiken inte når bakomliggande applikation.

Du har dock inte svarar vilken typ av trafik det är, är trafik inte direkt emot MC port så kan leverantör filtrera ut trafiken direkt innan.

Varför skapar du 3 trådar med i princip samma sak?

Jag har inte någon bra koll i vilka loggar jag ska kolla och vart jag hittar dem, gick dock in i /var/logs/kern.log och där är det många "UDP BAD CHECKSUM"

De verkar främst angripa i port 319, 16705 och 67 just nu. Det konstiga att det inte finns så mycket i loggen från igår trots att den var nere pga DDoS 4-5 gånger. Det finns endast 9 rader ungefär sparat i just den loggen för igår.

Kan det innebära att de angriper på andra sätt med?

Seriöst. Det här gör mig så himla förbannad. Idioter som sitter och SABOTERAR flera dagar is streck. Sedan verkar det inte finnas några Europeiska DDoS-skydd medan det finns hundratals för USA/Kanada.

Vet inte vad jag ska göra heller! Har lagt in iptables och försökt blockera en rad länder men det verkar inte ens fungera. Är utslagen när jag skriver detta.. Snälla hjälp mig.

Med bara 100M hjälper ingen lokal blockering alls, sedan bör leverantör blockera alla övriga UDP portar än 25565 om den nu kör standard.

Funderar som sagt på att uppgradera till den med 1gbps men folk hävdade på något forum att det inte spelar någon roll. Men du rekommenderar att skaffa 1gbps?

Google säger att en spelare drar mellan 0.25-0.40Mbit på MC, vissa hävdar ännu lägre.

Men om man filtrerar ner till 0.5Mbit per IP så klara du attack från runt 200 IP på 100Mbit och runt 2000 på 1Gbit.

I praktiken, lite mindre i verkligheten. Nu vet jag inte hur många IP attack kommer ifrån men går ju räkna på.

Intressant, räknas ett IP med olika portar som olika IP:n? t.ex 123.444.555:1234 för jag såg att många anslutningar kom från samma IP men olika ändelse. Hur skulle det filtreras ner?

Jag vågar inte garantera något, men efter dina siffror från PPS så går inte trafiken över 1Gbit.

Sedan beror det på prestandan på servern, tror iptables med okej cpu klarar hantera en hel del paket med korrekta regler.

Du kan använda iptables för blockera size på UDP paket, även antal PPS/s per IP du ska tillåta.

Genom analysera trafik från en MC klient så kan du se var som är normalt PPS samt size på UDP. Sedan kan du lätta filtrera ut avvikande mönster.

En DDoS lär generera mer PPS per IP än en normalt klient gör, och hela botnät lär troligtvis använda exakt samma size på UDP paketen.

TTL kan dock skilja beroende vilka OS botnätet kommer ifrån.

Ett IP är ett IP, vilka portar spelar ingen roll om du sätter på IP nivå.

Dock har du en fördel om botnät skickar från flera portar hela tiden från samma IP, vilket är helt avvikande mönster från hur en normalt MC klient funkar.

Vilket du i praktiken kan bygga ett filter som från det mönster.

Väldigt värdefulla svar. Jag får försöka hitta en lösning baserat på det du skriver. Har du något exempel på hur man blockerar UDP paket över en viss storlek via iptables??

iptables -A INPUT -p udp -m length --length XX -j DROP

något sådant, du får köra tcpdump för kolla längden på udp paketen. Dock bör du köra output till fil på servern och inte ut till console.

När jag skrev tcpdump så börjades SSH-fönstret spammas och det höll på så tills jag manuellt stängde ner fönstret. Lenght står som 0 på allt jag kunde se. Vad ska jag göramed tcpdump?

Jag skrev att du inte skulle skicka output till console, samt du får göra mer verbose tcpdumpt med.

Du har 2 length från tcpdump, ena totala length räknat med allt. Dock har du endast syn / ack etc visas ena length som 0 i tcpdump då du har 0 data på TCP.

Exempel:

20:01:50.529322 IP (tos 0x0, ttl 61, id 1439, offset 0, flags [DF], proto TCP (6), length 64)
XX.XX.XX.190.59066 > XX.XX.XX.148.ntp: Flags [S], cksum 0x9abf (correct), seq 959303670, win 65535, options [mss 1268,nop,wscale 4,nop,nop,TS val 1135168592 ecr 0,sackOK,eol], length 0

Ett synpaket, där visas det 0 som ena length då det inte var någon data i TCP paketet, men totala längden för IP paketet är 64.

Alltså jag förstår inte så mycket alls om det här.. Ska jag kolla längden på den "normala" trafiken eller den elaka? Jag kan inget om det här alls så jag kommer säkert med korkade frågor.

Jag funderade lite och tänkte: Servern kanske är superenkel att DDoSa i nuläget och det kanske är det främsta problemet? Det är lätt att hysa respekt för attackerna man blir utsatt för och tro att de är otroligt stora när de i själva verket kanske inte alls är stora i storlek om man jämför med andra attacker.

Vad tror ni rent spontant om att uppgradera till 1gbps och tillämpa de iptables-regler patrikweb snackat om?

Din server måste klara av att hantera all paketfiltrering och samtidigt driva spelen...

Hur hårt belastas din server när du attackeras idag? Det är inte så att din server kryper på knäna för att den swappar ihjäl sig? Då spelar det ingen roll hur mycket bandbredd du kastar på den..

Grunden med filtrering innan är ju att paket inte ska komma till bakomliggande applikation som då kan dra extra cpu eller sluka minne.

Menar exempelvis en attackarad apache server kan ju sluka massa cpu minne, medan filtrerar du paketen blir det nästan 0 om man kör optimering av filter.