Keista DDOS ataka

Sveiki :rolleyes:

Pirmą kartą susidūriau su tokio tipo ddos ataka. Naudoju dlink dir 615 routerį turintį šiokias tokias dos ddos apsaugas ir šiandien teko pakariaut su bootnetu. Routeris bando susitvarkyt su dos paketais, tačiau išpuolis per didelis ir nepajėgia. Iki linux serverio nepraeina nei vienas doso paketas, tačiau kimba pats routeris. Kas keisčiausia - ddos ataka nesibaigia net atjungus nuo routerio linux serverį (nuotolinis routerio prisijungimas išjungtas). Turit gal minčių kaip taip įmanoma? Taip išeina, kad dosinamas pats routeris? Niekaip nerandu sprendimo šiai problemai, jungiant serverį tiesiai iš tinklo, su atakom puikiai susitvarko IP tables bei firewalas esantis linuxe. Tačiau routeris gyvybiškai būtinas ir negaliu jo atsisakyt. Galbūt sprendimas pirkt routerį be firewalo? Rašykit jei turit minčių:)

Tai nebandei apsaugu isvis isjungti?

Tai tau matyt siuncia TCP/SYN paketus, be reikalavimo patvirtinti susijungima :) o kad atjungei linux tai cia dzin, tau ddos eina i tavo isorini adresa, todel routeris ir priima visa smugi, linuxa kaip supratau laikei viduj tinkle...

Priklausomai nuo ddos srauto didumo arba turesi islaukti, kol anam nusibos i tave ddos'inti (siaip normalus ddos irgi kainuoja, kartais nedaug bet kainuoja, tai kazkam turi apsimoketi tave fludinti...), arba imtis papildomu priemoniu, gal pvz kreiptis i ISP, jie gal tures galingesniu priemoniu toki ddos atfiltruoti, arba statyti galingesni routeri su galingesniu CPU ir lankstesnem firewall scriptinimo galimybem, kad suspetu apdoroti ir filtruoti ta srauta, jei tas srautas ner didesnis uz tavo interneto turima greiti :)

Sveiki :rolleyes:

Pirmą kartą susidūriau su tokio tipo ddos ataka. Naudoju dlink dir 615 routerį turintį šiokias tokias dos ddos apsaugas ir šiandien teko pakariaut su bootnetu. Routeris bando susitvarkyt su dos paketais, tačiau išpuolis per didelis ir nepajėgia. Iki linux serverio nepraeina nei vienas doso paketas, tačiau kimba pats routeris. Kas keisčiausia - ddos ataka nesibaigia net atjungus nuo routerio linux serverį (nuotolinis routerio prisijungimas išjungtas). Turit gal minčių kaip taip įmanoma? Taip išeina, kad dosinamas pats routeris? Niekaip nerandu sprendimo šiai problemai, jungiant serverį tiesiai iš tinklo, su atakom puikiai susitvarko IP tables bei firewalas esantis linuxe. Tačiau routeris gyvybiškai būtinas ir negaliu jo atsisakyt. Galbūt sprendimas pirkt routerį be firewalo? Rašykit jei turit minčių:)

DDoS ataka ne tai kad perdidelė, tiesiog tavo D-LINK routeris nespėja aptarnauti tiek pps ir 'states',tarkime jis gali palaikyti iki 5000 susijungimų , tad viskas kas bus po 5000 = drop.

DDoS ataka ne tai kad perdidelė, tiesiog tavo D-LINK routeris nespėja aptarnauti tiek pps ir 'states',tarkime jis gali palaikyti iki 5000 susijungimų , tad viskas kas bus po 5000 = drop.

ar ten tas d-link turi kazkokia galimybe valdyt ji per ssh, ten linuxas koks nors? gal galima jam dd-wrt ikalt firmware?

galima tada butu nustatyt kazka panasaus echo 5 > /proc/sys/net/ipv4/tcp_keepalive_time siek tiek pagerintu situacija su conecton limitais (5 sek).

ir dar:

echo 1 > /proc/sys/net/ipv4/tcp_syncookies

echo 5 > /proc/sys/net/ipv4/tcp_fin_timeout

echo "65535" > /proc/sys/net/ipv4/ip_conntrack_max (cia reguliuojama, nes cpu vis tiek gali nepatempt tiek susijungimu...)

Dlinkų firewalas pilnai neišsijungia, tik kai kurias jo funckijas galima išjungt. Tačiau tas negelbėja.

SSH prieeiga prie routerio yra, bet ji išjungta. dėl frameware update reiktų pasidomėt, tačiau kas gautūsi nupirkus routerį be firewall? Ar jis visą srautą praleistų tiesiai į servą, ar irgi pats užsifloodintų ir smigtų?

Doso srautas gerokai didesnis nei mano linija, speju jis sieks apie 1gb/s o gal ir daugiau. Bet jei ataka nereikalaujanti sujungimo patvirtinimo, kodel ip tables viska isbanina ir linija atsilaisvina? (jei internetas jungiamas tiesiai prie servo be routerio)