我需要一些帮助,现在我的游戏服务器已经遭受了2天的DoS攻击。 带宽攻击是没有问题,因为我主机与OVH,他们被过滤掉,但我的游戏服务器端口正在攻击的服务器的时间,并断开所有球员。
所以起初很容易,他用同样长度的包裹攻击,1062。
444 0.017859 159.208.182.160 192.95.55.2 UDP 1062 Source port: 53407 Destination port: 27016 445 0.017902 14.87.205.89 192.95.55.2 UDP 1062 Source port: 22286 Destination port: 27016 446 0.017907 68.191.26.190 192.95.55.2 UDP 1062 Source port: 48964 Destination port: 27016 447 0.017992 201.50.53.136 192.95.55.2 UDP 1062 Source port: 13001 Destination port: 27016 448 0.017993 58.15.28.176 192.95.55.2 UDP 1062 Source port: senip Destination port: 27016 所以我只是做了一个:
iptables -A INPUT -p udp --dport 27016 -m length --length 1062 -j DROP
哪些工作,我的服务器突然恢复生机。 这就像1000 – 4000 KB /秒的stream量。
接下来你知道的,他开始发送12 MB / s的stream量,我应该能够处理,因为我在千兆位,我做了,因为只有受到攻击的服务器下降(有4个服务器上运行4个不同的IP地址在同一台服务器上,其他的都没问题)。
我再次运行tcpdump,而且是一件事情。 所有我早先封锁的长度为1062的攻击? 所以我有点卡在这里,不知道该怎么做。
有人可以看看我的tcpdump文件,并告诉我我做错了什么,我怎么能阻止这种攻击(或不能)? 我会真的appriciate它!
我很难用wireshark阅读它,我一直试图阻止长度,hex代码等数据包,但都不成功。
http://www.mediafire.com/download/8xe7cvx33dlgwxx/ddos2.tar.gz
谢谢!
噢,还有一件事,在攻击期间,我的dmesg输出了这个:
[35126.217197] nf_conntrack: table full, dropping packet [35144.702662] nf_conntrack: table full, dropping packet [35147.513124] nf_conntrack: table full, dropping packet
我已经尝试过像sysctl -w net.netfilter.nf_conntrack_max = 524280,但似乎没有任何区别。
谢谢。
如果您不打算基于状态检查来应用NAT或过滤,那么最好不要使用连接跟踪。 您可以通过使用raw表中的NOTRACK目标来禁用每个数据包的连接跟踪。 这应该避免你看到的table full消息。
合适的规则可能是这样的:
-A PREROUTING -p udp --dport 27016 -j NOTRACK -A OUTPUT -p udp --sport 27016 -j NOTRACK