H
День добрый. Я новичок в администрировании серверов. Я арендую несколько серверов в Нидерландах, под игровые сервера.
И буквально 5 дней назад столкнулся с такой проблемой как DDoS. Всю ночь я наблюдал как один из моих серверов беспощадно досят с периодичностью в 30 минут и продолжительностью примерно тоже в 30 минут. По мониторингу ресурсов было видно, что загружают интернет канал на 98-100%, даже по рдп далеко не всегда получалось подключиться.
Причем было совсем не понятно что именно грузят, трафика по монитору было не видно, но показатель Network Utilization был 98%+.
(Канал 100мб)
Первое что пришло мне в голову это закрыть все лишние входящие соединения. Роутера в моем распоряжении нет, его можно арендовать за дополнительные деньги, предлагают cisco, но я не стал (потому-что плохо разбираюсь какая от него будет польза).
По этому в фаерволе удалил все правила во входящих соединениях, кроме нужного мне игрового UDP порта и RDP с привязкой к моему статическому, домашнему IP. Все безрезультатно, ддос продолжился днем.
Спустя 48 часов без сна, в попытках найти в интернете разного рода информацию, от тех-поддиржки хостинга пришел ответ на мои крики о помощи:
"We are sorry to hear that your server is experiencing DDoS/Syn flood attacks." Козлы, подумал я, но хорошо хоть сказали, что за тип атаки. Добавил в реестр ключи SynAttackProtect (1) и TcpMaxConnectResponseRetransmissions (2). И ушел спать. На утро обнаружил, что сервер по прежнему всю ночь подвергался атакам.
Скачал Network Monitor 3.4 чтобы хоть как-то увидеть вредоносный траффик и стал ждать новой атаки. Предварительно сделал снимок "нормального" траффика, чтобы затем сравнить и найти различия. Вроде получилось, застал вовремя атаку, включил Network Monitor, заснял около 20 минут ддос траффика. Сразу были видны различия, во время атаки появились какие то LDAPMessage пакеты, которых ну совсем нет при нормальной работе сервера. Вот кусок траффика:
Я на 99% уверен, что это тот самый ддос траффик, но все же хочется посоветоваться со знающими людьми, коих у меня нет в знакомых. В одну секунду времени, по логу убирается десятки тысяч таких строк пакетов\запросов. При чем в этот момент ни 1 клиент не подключен, с игрового сервера всех выкидывает почти сразу же как начинается атака.
Подскажите, вредоносный ли это траффик и что дальше с ним делать, возможно есть методы как закрыть дыру или просто заблокировать всю эту сеть по IP адресам? Кстати, все эти ип адреса пинговались мной на момент атаки и оказалось, что они реальные, т.е. нет подмены обратного IP. Если блокировать все эти адреса, то нужен роутер или можно обойтись брандмауером?
Очень надеюсь на вашу помощь, вот уже несколько дней приходится собирать разную информацию в интернете, как мазайку, но чаще всего уводит не туда.
И буквально 5 дней назад столкнулся с такой проблемой как DDoS. Всю ночь я наблюдал как один из моих серверов беспощадно досят с периодичностью в 30 минут и продолжительностью примерно тоже в 30 минут. По мониторингу ресурсов было видно, что загружают интернет канал на 98-100%, даже по рдп далеко не всегда получалось подключиться.
Причем было совсем не понятно что именно грузят, трафика по монитору было не видно, но показатель Network Utilization был 98%+.
(Канал 100мб)
Первое что пришло мне в голову это закрыть все лишние входящие соединения. Роутера в моем распоряжении нет, его можно арендовать за дополнительные деньги, предлагают cisco, но я не стал (потому-что плохо разбираюсь какая от него будет польза).
По этому в фаерволе удалил все правила во входящих соединениях, кроме нужного мне игрового UDP порта и RDP с привязкой к моему статическому, домашнему IP. Все безрезультатно, ддос продолжился днем.
Спустя 48 часов без сна, в попытках найти в интернете разного рода информацию, от тех-поддиржки хостинга пришел ответ на мои крики о помощи:
"We are sorry to hear that your server is experiencing DDoS/Syn flood attacks." Козлы, подумал я, но хорошо хоть сказали, что за тип атаки. Добавил в реестр ключи SynAttackProtect (1) и TcpMaxConnectResponseRetransmissions (2). И ушел спать. На утро обнаружил, что сервер по прежнему всю ночь подвергался атакам.
Скачал Network Monitor 3.4 чтобы хоть как-то увидеть вредоносный траффик и стал ждать новой атаки. Предварительно сделал снимок "нормального" траффика, чтобы затем сравнить и найти различия. Вроде получилось, застал вовремя атаку, включил Network Monitor, заснял около 20 минут ддос траффика. Сразу были видны различия, во время атаки появились какие то LDAPMessage пакеты, которых ну совсем нет при нормальной работе сервера. Вот кусок траффика:
Код:
77546 2:43:56 PM 9/16/2017 8.5318933 54.79.121.59 172.142.7.56 LDAPMessage LDAPMessage:Search Result Entry, MessageID: 7 {LDAP:96257, UDP:96256, IPv4:96255}
77547 2:43:56 PM 9/16/2017 8.5319953 201.140.129.5 172.142.7.56 LDAPMessage LDAPMessage:Search Result Entry, MessageID: 7 {LDAP:96259, UDP:96258, IPv4:9957}
77551 2:43:56 PM 9/16/2017 8.5323194 201.140.129.28 172.142.7.56 LDAPMessage LDAPMessage:Search Result Entry, MessageID: 7 {LDAP:96261, UDP:96260, IPv4:10163}
77553 2:43:56 PM 9/16/2017 8.5323194 182.18.181.82 172.142.7.56 LDAPMessage LDAPMessage:Search Result Entry, MessageID: 7 {LDAP:96264, UDP:96263, IPv4:96262}
77554 2:43:56 PM 9/16/2017 8.5325511 116.12.134.108 172.142.7.56 LDAPMessage LDAPMessage:Search Result Entry, MessageID: 7 {LDAP:96266, UDP:96265, IPv4:43251}
77558 2:43:56 PM 9/16/2017 8.5328773 50.207.154.100 172.142.7.56 LDAPMessage LDAPMessage:Search Result Entry, MessageID: 7 {LDAP:96269, UDP:96268, IPv4:96267}
77559 2:43:56 PM 9/16/2017 8.5328773 89.204.242.200 172.142.7.56 LDAPMessage LDAPMessage:Search Result Entry, MessageID: 7 {LDAP:96271, UDP:96270, IPv4:2368}
77562 2:43:56 PM 9/16/2017 8.5331927 220.158.164.183 172.142.7.56 LDAPMessage LDAPMessage:Search Result Entry, MessageID: 7 {LDAP:96273, UDP:96272, IPv4:1730}
77564 2:43:56 PM 9/16/2017 8.5335259 47.94.47.163 172.142.7.56 LDAPMessage LDAPMessage:Search Result Entry, MessageID: 7 {LDAP:96275, UDP:96274, IPv4:88291}
77566 2:43:56 PM 9/16/2017 8.5338535 206.63.185.34 172.142.7.56 LDAPMessage LDAPMessage:Search Result Entry, MessageID: 7 {LDAP:96277, UDP:96276, IPv4:61076}
77568 2:43:56 PM 9/16/2017 8.5338767 142.112.14.59 172.142.7.56 LDAPMessage LDAPMessage:Search Result Entry, MessageID: 7 {LDAP:96279, UDP:96278, IPv4:60745}
77569 2:43:56 PM 9/16/2017 8.5342067 50.234.96.50 172.142.7.56 LDAPMessage LDAPMessage:Search Result Entry, MessageID: 7 {LDAP:96282, UDP:96281, IPv4:96280}
77572 2:43:56 PM 9/16/2017 8.5345308 89.197.105.50 172.142.7.56 LDAPMessage LDAPMessage:Search Result Entry, MessageID: 7 {LDAP:96284, UDP:96283, IPv4:2092}
77574 2:43:56 PM 9/16/2017 8.5348616 210.86.225.179 172.142.7.56 LDAPMessage LDAPMessage:Search Result Entry, MessageID: 7 {LDAP:96286, UDP:96285, IPv4:7520}
77577 2:43:56 PM 9/16/2017 8.5348616 121.41.112.45 172.142.7.56 LDAPMessage LDAPMessage:Search Result Entry, MessageID: 7 {LDAP:96288, UDP:96287, IPv4:31522}
77578 2:43:56 PM 9/16/2017 8.5350428 180.211.106.130 172.142.7.56 LDAPMessage LDAPMessage:Search Result Entry, MessageID: 7 {LDAP:96291, UDP:96290, IPv4:96289}
77583 2:43:56 PM 9/16/2017 8.5354027 80.188.128.136 172.142.7.56 LDAPMessage LDAPMessage:Search Result Entry, MessageID: 7 {LDAP:96294, UDP:96293, IPv4:96292}Подскажите, вредоносный ли это траффик и что дальше с ним делать, возможно есть методы как закрыть дыру или просто заблокировать всю эту сеть по IP адресам? Кстати, все эти ип адреса пинговались мной на момент атаки и оказалось, что они реальные, т.е. нет подмены обратного IP. Если блокировать все эти адреса, то нужен роутер или можно обойтись брандмауером?
Очень надеюсь на вашу помощь, вот уже несколько дней приходится собирать разную информацию в интернете, как мазайку, но чаще всего уводит не туда.