过去几周我一直在接受无数的ddos攻击。 刚才我在运行iptraf时抓到了一个。 通常我的服务器上使用的数据包中有99.9%是TCP包,而不是UDP。 有几个是我看到的,但通常几乎没有。
现在,当攻击发生时,我注意到每秒有数千个传入的UDP数据包。 另外tcpdump显示这个: http : //pastebin.com/raw.php?i=QaybC8C1 。
我运行的是CENTOS 5.6,我只用它作为nginx(80,443),ssh(22),ftp(21)。 我不运行名称服务器,电子邮件或类似的东西。
我的问题是。 我可以通过iptables阻止所有传入的UDPstream量吗? 这对UDP ddos攻击有效吗? 如果我可以阻止所有的UDPstream量,这会导致在Linux中的任何问题?
根据捕获的图像,它看起来像一个DOS而不是DDOS,因为始发IP地址是相同的。 看起来他们正试图连接到UDP端口17(QOTD – http://en.wikipedia.org/wiki/QOTD ),如果我正确地阅读捕获,我可能不会因为我从来没有使用tcpdump。 如何通过阻止该IP地址或只是该端口来启动?
我可以通过iptables阻止所有传入的UDPstream量吗?
当然 – 但它可能不会对你有好处。
这对UDP ddos攻击有效吗?
取决于DDoS的打击。 从你的其他问题来看,显然带宽是你关心的问题。 所以,一旦它已经打到你的服务器就丢弃这个请求,这对你并不好; 特别是因为你目前的configuration可能已经立即丢弃数据包。
如果我可以阻止所有的UDPstream量,这会导致在Linux中的任何问题?
是。 UDP是一种无状态的协议; 阻止所有stream量将阻止,例如,对您的服务器进行的DNS请求的入站答复。
我仍然不相信这是一个DoS(显然不是一个DDoS,就像@joeqwerty指出的那样)。 他们肯定会耗尽你的入站带宽,但它可能不是故意的或恶意的。
stream量的来源似乎是一个合法的数据中心; 64.37.60.212是这些家伙 (我假设那些PTRlogging是合法的,在这里 – 确认源IP与PTRlogging相匹配),并且他们对滥用stream量发布有非常明确的策略; 如果没有别的,你可以联系他们的滥用地址 。
更重要的是,“攻击”stream量看起来像8192字节的碎片UDP数据包 – 这让我觉得是某种文件传输。 由于您运行的是Web服务器,所以更有效(更常见)的DDoS策略是在开放端口上使用TCP连接,耗尽系统资源,而无需在本地使用尽可能多的上行带宽下游。
你可以看看他们发送数据的端口吗? 这可能真的在这个问题上的一些亮点。
编辑:我会猜测NFS – 端口2049。