Jeg driver til hverdag et gamehosting firma, navnet kan være ligegyldig i denne sammenhæng. Problemet er dog at vores servere bliver ddos konstant, vi har følgende udstyr stående foran serverne.
Host-->Firewall (Linux)-->Firewall(cisco)-->Router-->foreskellige vlan også serverne. Vi har omtrent 1gb net, men problemet er at den bliver fyldt ud af ddos. Vi står i den situration at vi ikke helt hvad vi skal gøre for at komme videre, da vi ellers står til at skulle lukke ned. Dette sker da kunderne selvfølelig vil have en ordenlig server.
Vi har prøvet med load balancer, Route ip til 0 osv. Problemet er bare mange gange at når vi ikke engang kan få fat i vores ASA (firewall) så kan vi ikke blockere dem, før det tager lidt af.
Hvis nogen har nogle ideer vil jeg meget gerne høre dem, det eneste der er, er at vi ikke kan få mere net lige som det er nu.
Kan i ikke se i log filerene om det er de samme ip'er? er det udp eller tcp? hvad porte?
Vi har en freebsd server med firewall på.
Mange af ddosne er enten spooffed så vores firewall validere dem, eller er det port 0... Men de spooffede ip´er er alt fra CS:S Servere til Teamspeak porte osv.
Begynd og log trafikken og filtrer det på den måde at den kun logger "mistænkelige" pakker. Derefter tager i kontakt til jeres udbyder og får lavet en managed firewall-løsning hvis de tilbyder det og får dem til at blokere det. De har en væsentlig mere omfattende infrastruktur kan jeg forestille mig, så hvis i får det blokeret ved dem før trafikken når frem til jer så burde i være sikret.
Vores budget er desværre faldet så meget at vi ikke kan få en løsning fra vores host af. Det andet problem med at kigge på pakker, er at de ligner jo vores gameserver pakker, dem kan vi jo ikke blockere...
Kig evt. på hvor mange byte der er i hver pakke. Det skal siges at jeg IKKE er sikker på at de stadig har denne størrelse, men jeg har tidligere selv sat et iptables-filter op for dos-angreb mod gameservere, og der var størrelsen på 24 og 46 bytes.
Hvis i bliver overrendt med pakker så bør i kunne skille dem ud fra hinanden da der meget vel kommer langt flere pakker fra en enkelt host end alle de andre meget hyppigere per sekund. Må man spørge om hvorfor i har 2 firewalls på?
Bliv gratis medlem
Opret bruger