Problem z atakami DDOS

antilgbt | 2021-06-12 11:00:13 UTC | #1

Witam, od wczoraj mam problemy z atakami ddos (odrazu mowie, tak to jest na pewno ddos, nie crash lub poty, bo nie moge sie do ssh nawet polaczyc podczas ataku i serwer ma tps 20)

na poczatku atakowali UDP.
https://i.imgur.com/BHX6FEX.png
(logi z tcpdump podczas ataku UDP)

wycialem cale UDP w firewallu i przez godzine byl spokoj, teraz znowu zaczeil atakowac (chyba tcp teraz)


(logi z tcpdump)
nie wiem co z tym zrobic


KrEdEnS | 2021-06-12 11:11:09 UTC | #2

  1. Podczas ataku wykonaj dumpa tcpdump -n -c 100000 -w log.pcap
  2. Jeżeli możesz wrzuć SSy ruchu sieciowego z proxmoxa
  3. Wykonany dump wyślij w tickecie (wrzuć na https://plik.root.gg/ a potem link w tickecie)
  4. Zainteresuj się https://forum.lvlup.pro/t/automatyczny-tcpdump-podczas-ataku-ddos-dos
  5. Jeżeli chcesz możesz podzielić się dumpem tutaj
  6. Żeby zablokować atak TCP możesz skorzystać z poradnika zamieszczonego na https://javapipe.com/blog/iptables-ddos-protection/ ewentualnie https://forum.lvlup.pro/t/kompleksowy-poradnik-dotyczacy-bezpieczenstwa-serwerow-minecraft/13696

antilgbt | 2021-06-12 11:16:38 UTC | #4

[quote=”KrEdEnS, post:2, topic:19250”]
Podczas at
[/quote]

co do 2 to jest to serwer dedykowany na OVH wiec proxmoxa tu nie ma, mogę dać SSy z ruchu filtrowania OVH


KrEdEnS | 2021-06-12 11:18:34 UTC | #5

  1. Jeżeli możesz podziel się z nami co tam działa i jaki to serwer (która seria GAME / RISE itd…)
  2. Skorzystaj z network firewalla na OVH (zablokuj wszystko czego nie potrzebujesz) https://docs.ovh.com/pl/dedicated/network-firewall/

antilgbt | 2021-06-12 11:20:06 UTC | #6

  1. RISE-2

    CPU
    Intel i7-7700K - 4c/8t - 4.2 GHz/4.5 GHz
    RAM
    64 GB 2133 MHz
    

KrEdEnS | 2021-06-12 11:20:45 UTC | #7

Ok, ale co tam działa (Minecraft, TS3)? Dodatkowo firewalla musisz poprawić.


antilgbt | 2021-06-12 11:22:04 UTC | #8

Panel pterodactyl, 7 serwerow Minecraft, 2 boty discord, 5 stron www na nginx


KrEdEnS | 2021-06-12 11:23:57 UTC | #9

Ok, w takim bądź razie zastosuj się do https://docs.ovh.com/pl/dedicated/network-firewall/ odblokuj tylko te porty, które używasz i zablokuj wszystko inne ¯_(ツ)_/¯


antilgbt | 2021-06-12 11:32:06 UTC | #10

Na kazdy serwer mam 2 lub 3 porty (glowny, query, rcon)
Priorytetow w ovh firewall jest 20, kazdy mozna uzyc tylko raz, wiec nie starczy priorytetow zeby odblokowac wszystkie porty.


KrEdEnS | 2021-06-12 11:32:37 UTC | #11

W takim bądź razie użyj dodatkowo iptablesa


Jakubk15 | 2021-06-12 12:57:37 UTC | #12

Nie znam się na atakach DDoS, przepraszam, ale chciałem się zapytać, dlaczego wszystkie adresy IP atakują z portu 37810?


antilgbt | 2021-06-13 18:26:38 UTC | #14

nie mam pojecia, nic na tym porcie nie mam.

Logi tcpdump z atakow UDP:
https://gofile.io/d/xqPXlO

Zablokowalem cale UDP, jak walna TCP to dam logi z atakow TCP
Dodam ze sprawdzilem te ip i wiekszosc ip to USA, Canada, Chile itp z dostawca Oracle Corporation

//edit
Logi z atakow TCP:
https://gofile.io/d/EibC85

Uzycie sieci podczas takigo ataku to ~1000Mbps DL, czyli tyle ile mam maksymalnie na dedyku


KrEdEnS | 2021-06-15 13:02:58 UTC | #15

Ok, niestety jeden z nielicznych ataków, przy którym nic nie możesz zrobić (wysycenie łącza). Utwórz zgłoszenie na OVH i wyślij im dumpy, niech wrzucą TCP+


kjakkonrad | 2021-06-19 10:03:04 UTC | #16

Hej, tam poza tematem jaki srv mc? Chętnie pogram


chix | 2021-06-22 13:05:53 UTC | #17

Ja bym osobiście nie grał na serwerze na którym właściciel/technik ma nick antilgbt. Bez kappy.


Dudix | 2021-06-22 13:07:36 UTC | #18

Jest to serwer który słynie z wycieków ( ͡° ͜ʖ ͡°)


kjakkonrad | 2021-06-22 15:22:39 UTC | #20

Napisz jaki chętnie sprawdzę

Ogólnie to bardziej aby zobaczyć jak to wyglada


system | 2021-07-24 13:28:39 UTC | #21

Ten temat został automatycznie zamknięty 32 dni po ostatnim wpisie. Tworzenie nowych odpowiedzi nie jest już możliwe.