[patrikweb]

Citat:

Ursprungligen postat av Dakota

Funderar som sagt på att uppgradera till den med 1gbps men folk hävdade på något forum att det inte spelar någon roll. Men du rekommenderar att skaffa 1gbps?

Jag vågar inte garantera något, men efter dina siffror från PPS så går inte trafiken över 1Gbit.

Sedan beror det på prestandan på servern, tror iptables med okej cpu klarar hantera en hel del paket med korrekta regler.

Du kan använda iptables för blockera size på UDP paket, även antal PPS/s per IP du ska tillåta.

Genom analysera trafik från en MC klient så kan du se var som är normalt PPS samt size på UDP. Sedan kan du lätta filtrera ut avvikande mönster.

En DDoS lär generera mer PPS per IP än en normalt klient gör, och hela botnät lär troligtvis använda exakt samma size på UDP paketen.

TTL kan dock skilja beroende vilka OS botnätet kommer ifrån.

[patrikweb]

Citat:

Ursprungligen postat av Dakota

Intressant, räknas ett IP med olika portar som olika IP:n? t.ex 123.444.555:1234 för jag såg att många anslutningar kom från samma IP men olika ändelse. Hur skulle det filtreras ner?

Ett IP är ett IP, vilka portar spelar ingen roll om du sätter på IP nivå.

Dock har du en fördel om botnät skickar från flera portar hela tiden från samma IP, vilket är helt avvikande mönster från hur en normalt MC klient funkar.

Vilket du i praktiken kan bygga ett filter som från det mönster.

[Dakota]

Citat:

Ursprungligen postat av patrikweb

Ett IP är ett IP, vilka portar spelar ingen roll om du sätter på IP nivå.

Dock har du en fördel om botnät skickar från flera portar hela tiden från samma IP, vilket är helt avvikande mönster från hur en normalt MC klient funkar.

Vilket du i praktiken kan bygga ett filter som från det mönster.

Väldigt värdefulla svar. Jag får försöka hitta en lösning baserat på det du skriver. Har du något exempel på hur man blockerar UDP paket över en viss storlek via iptables??

[patrikweb]

Citat:

Ursprungligen postat av Dakota

Väldigt värdefulla svar. Jag får försöka hitta en lösning baserat på det du skriver. Har du något exempel på hur man blockerar UDP paket över en viss storlek via iptables??

iptables -A INPUT -p udp -m length --length XX -j DROP

något sådant, du får köra tcpdump för kolla längden på udp paketen. Dock bör du köra output till fil på servern och inte ut till console.

[Dakota]

Citat:

Ursprungligen postat av patrikweb

iptables -A INPUT -p udp -m length --length XX -j DROP

något sådant, du får köra tcpdump för kolla längden på udp paketen. Dock bör du köra output till fil på servern och inte ut till console.

När jag skrev tcpdump så börjades SSH-fönstret spammas och det höll på så tills jag manuellt stängde ner fönstret. Lenght står som 0 på allt jag kunde se. Vad ska jag göramed tcpdump?

[patrikweb]

Citat:

Ursprungligen postat av Dakota

När jag skrev tcpdump så börjades SSH-fönstret spammas och det höll på så tills jag manuellt stängde ner fönstret. Lenght står som 0 på allt jag kunde se. Vad ska jag göramed tcpdump?

Jag skrev att du inte skulle skicka output till console, samt du får göra mer verbose tcpdumpt med.

Du har 2 length från tcpdump, ena totala length räknat med allt. Dock har du endast syn / ack etc visas ena length som 0 i tcpdump då du har 0 data på TCP.

Exempel:

20:01:50.529322 IP (tos 0x0, ttl 61, id 1439, offset 0, flags [DF], proto TCP (6), length 64)
XX.XX.XX.190.59066 > XX.XX.XX.148.ntp: Flags [S], cksum 0x9abf (correct), seq 959303670, win 65535, options [mss 1268,nop,wscale 4,nop,nop,TS val 1135168592 ecr 0,sackOK,eol], length 0

Ett synpaket, där visas det 0 som ena length då det inte var någon data i TCP paketet, men totala längden för IP paketet är 64.

[Dakota]

Citat:

Ursprungligen postat av patrikweb

Jag skrev att du inte skulle skicka output till console, samt du får göra mer verbose tcpdumpt med.

Du har 2 length från tcpdump, ena totala length räknat med allt. Dock har du endast syn / ack etc visas ena length som 0 i tcpdump då du har 0 data på TCP.

Exempel:

20:01:50.529322 IP (tos 0x0, ttl 61, id 1439, offset 0, flags [DF], proto TCP (6), length 64)
XX.XX.XX.190.59066 > XX.XX.XX.148.ntp: Flags [S], cksum 0x9abf (correct), seq 959303670, win 65535, options [mss 1268,nop,wscale 4,nop,nop,TS val 1135168592 ecr 0,sackOK,eol], length 0

Ett synpaket, där visas det 0 som ena length då det inte var någon data i TCP paketet, men totala längden för IP paketet är 64.

Alltså jag förstår inte så mycket alls om det här.. Ska jag kolla längden på den "normala" trafiken eller den elaka? Jag kan inget om det här alls så jag kommer säkert med korkade frågor.

[Dakota]

Jag funderade lite och tänkte: Servern kanske är superenkel att DDoSa i nuläget och det kanske är det främsta problemet? Det är lätt att hysa respekt för attackerna man blir utsatt för och tro att de är otroligt stora när de i själva verket kanske inte alls är stora i storlek om man jämför med andra attacker.

Vad tror ni rent spontant om att uppgradera till 1gbps och tillämpa de iptables-regler patrikweb snackat om?

[KristianE]

Citat:

Ursprungligen postat av Dakota

Vad tror ni rent spontant om att uppgradera till 1gbps och tillämpa de iptables-regler patrikweb snackat om?

Din server måste klara av att hantera all paketfiltrering och samtidigt driva spelen...

Hur hårt belastas din server när du attackeras idag? Det är inte så att din server kryper på knäna för att den swappar ihjäl sig? Då spelar det ingen roll hur mycket bandbredd du kastar på den..

[patrikweb]

Citat:

Ursprungligen postat av KristianE

Din server måste klara av att hantera all paketfiltrering och samtidigt driva spelen...

Hur hårt belastas din server när du attackeras idag? Det är inte så att din server kryper på knäna för att den swappar ihjäl sig? Då spelar det ingen roll hur mycket bandbredd du kastar på den..

Grunden med filtrering innan är ju att paket inte ska komma till bakomliggande applikation som då kan dra extra cpu eller sluka minne.

Menar exempelvis en attackarad apache server kan ju sluka massa cpu minne, medan filtrerar du paketen blir det nästan 0 om man kör optimering av filter.