За последние пару недель я получил бесчисленное количество DDoS-атак. Только что поймал одну, пока запускал iptraf. Обычно 99,9% пакетов, используемых на моем сервере, являются пакетами TCP, а не UDP. Я вижу, что некоторые из них используются, но обычно почти не используются.
Теперь, когда произошла атака, я заметил тысячи входящих UDP-пакетов в секунду. Также tcpdump показывал это: http://pastebin.com/raw.php?i=QaybC8C1.
Я запускаю CENTOS 5.6 и использую его только для nginx (80,443), ssh (22), ftp (21). Я не использую серверы имен, электронную почту или что-то подобное.
У меня такой вопрос. Могу ли я заблокировать весь входящий UDP-трафик через iptables? Будет ли это эффективно против атак UDP ddos? И если я могу заблокировать весь UDP-трафик, вызовет ли это какие-нибудь проблемы в Linux?
Судя по изображению вашего захвата, он выглядит как DOS, а не DDOS, поскольку исходный IP-адрес тот же. Похоже, они пытаются подключиться к UDP-порту 17 (QOTD - http://en.wikipedia.org/wiki/QOTD), если я правильно читаю захват, что может быть не так, поскольку я никогда не использовал tcpdump. Как насчет того, чтобы начать с блокировки только этого IP-адреса или только этого порта?
Могу ли я заблокировать весь входящий UDP-трафик через iptables?
Конечно, но это, скорее всего, не принесет вам никакой пользы.
Будет ли это эффективно против атак UDP ddos?
Зависит от того, что атакует DDoS. Из ваших других вопросов становится ясно, что вас беспокоит пропускная способность; поэтому отказ от запроса, когда он уже попал на ваш сервер, не принесет вам никакой пользы; тем более, что ваша текущая конфигурация, вероятно, уже немедленно отбрасывает пакеты.
И если я могу заблокировать весь UDP-трафик, вызовет ли это какие-нибудь проблемы в Linux?
Да. UDP - это протокол без сохранения состояния; блокировка всего трафика заблокирует, например, входящие ответы на DNS-запросы, сделанные вашим сервером.
Я по-прежнему не уверен, что это вообще DoS (и это явно не DDoS, как указал @joeqwerty); они определенно исчерпывают вашу входящую полосу пропускания, но это может быть не намеренно или злонамеренно.
Источником трафика, похоже, является законный центр обработки данных; 64.37.60.212 - это эти ребята (Я предполагаю, что эти записи PTR являются законными, здесь - подтвердите, что исходный IP-адрес соответствует записям PTR), и у них есть очень четкая политика в отношении незаконного трафика опубликовал; если ничего другого, вы можете связаться с их адрес злоупотребления.
Более того, «атакующий» трафик выглядит как фрагментированные UDP-пакеты размером ровно 8192 байта - это кажется мне своего рода передачей файлов. Поскольку у вас есть веб-сервер, далеко более эффективной (и гораздо более распространенной) стратегией DDoS было бы использование TCP-соединений на открытых портах, истощая системные ресурсы без необходимости локального использования такой большой пропускной способности восходящего потока, как они потребляют ваш нисходящий поток.
Вы можете посмотреть, на какой порт они отправляют данные? Это действительно может пролить свет на эту проблему.
Изменить: я угадаю NFS - порт 2049.