У меня есть выделенный сервер с 32 ГБ оперативной памяти. Он работает нормально, пока некоторые игроки не пришли на мой сервер ddos. У меня была действительно высокая пропускная способность восходящего канала (более 150 Мбит / с). Я посмотрел netstat с помощью следующей команды:
netstat -an | grep tcp | awk '{print $5}' | cut -f 1 -d : | sort | uniq -c | sort -n
Он показывает тысячи подключений для нескольких IP-адресов: я использовал следующие правила iptable, чтобы ограничить количество подключений по IP:
iptables -A INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 15 --connlimit-mask 32 -j REJECT --reject-with tcp-reset
iptables -A INPUT -m state --state RELATED,ESTABLISHED -m limit --limit 150/second --limit-burst 160 -j ACCEPT
Я сохранил эти правила, и эти правила находятся в верхней части списка iptables. Я перезапустил систему, чтобы закрыть все подключения, и восстановил правила iptable. Переведите сервер в оперативный режим. Сервер был почти мертв, и снова были тысячи подключений. У меня установлен UFW, и открыта только пара портов.
Что я могу сделать, чтобы это остановить? Как убить установленные соединения по ip? Кстати. все ипы маскируются и фальшивые.
netstat -ant | awk '{print $6}' | sort | uniq -c | sort -n
1 CLOSING
1 established)
1 Foreign
2 SYN_SENT
7 FIN_WAIT2
16 LISTEN
21 CLOSE_WAIT
48 LAST_ACK
209 SYN_RECV
284 FIN_WAIT1
772 ESTABLISHED
35426 TIME_WAIT
вывод iptraf -d eth0
IPTraf
l Statistics for eth0 qqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqk
x x
x Total Total Incoming Incoming Outgoing Outgoing x
x Packets Bytes Packets Bytes Packets Bytes x
x Total: 332826 128344K 192313 14538688 140513 113805K x
x IP: 332826 123518K 192313 11679988 140513 111838K x
x TCP: 332692 123507K 192311 11679924 140381 111827K x
x UDP: 0 0 0 0 0 0 x
x ICMP: 134 11448 2 64 132 11384 x
x Other IP: 0 0 0 0 0 0 x
x Non-IP: 0 0 0 0 0 0 x
x x
x x
x Total rates: 31150.2 kbits/sec Broadcast packets: 0 x
x 25144.8 packets/sec Broadcast bytes: 0 x
x x
x Incoming rates: 8907.0 kbits/sec x
x 14266.2 packets/sec x
x IP checksum errors: 0 x
x Outgoing rates: 22243.2 kbits/sec x
x 10878.6 packets/sec
Собственно, вы спрашиваете, как защититься от DDOS-атаки. Это действительно зависит от количества трафика / пакетов в вашей системе. Я считаю, что в вашем случае это TCP syn flood.
Вам нужно проверить количество пакетов в секунду и трафика с помощью iptraf (например, iptraf -d eth0).
Также вы должны посмотреть sysctl:
net.ipv4.tcp_syncookies
net.ipv4.tcp_synack_retries
И включите SYNPROXY в ваших iptables для продолжительности атаки: http://rhelblog.redhat.com/tag/synproxy/
Однако положительный результат зависит от того, насколько сильна DDOS-атака.
Вы можете попробовать использовать некоторые службы для защиты от ddos-атак, но у меня нет опыта их использования.