Ubuntu

無法阻止 DDOS

  • March 7, 2014

我需要一些幫助來處理 ddos​​。我的伺服器遇到 1gb ddos​​ 攻擊,我不知道如何阻止它。(1gbs 是伺服器的最大速度。)

我有以下 iptables 規則:

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 8080 -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -j DROP

但是使用 tcpdump 我可以看到來自埠 53 的數據包

12:14:40.341410 IP 195.137.162.149 > x.x.x.x: ip-proto-17
12:14:40.341411 IP 193.169.188.52.53 > x.x.x.x.23495: 23454- 0/4/6 (234)
12:14:40.341414 IP 195.248.88.120 > x.x.x.x: ip-proto-17
12:14:40.341416 IP 193.19.184.42.53 > x.x.x.x.50529: 26701| 6/0/1 TXT[|domain]
12:14:40.341418 IP 192.41.13.71.53 > x.x.x.x.10634: 23454| 6/0/1 TXT[|domain]
12:14:40.341418 IP 50.97.53.214.53 > x.x.x.x.65437: 23454| 6/0/1 TXT[|domain]
12:14:40.341419 IP 192.3.130.149.53 > x.x.x.x.57519: 24820| 6/0/1 TXT[|domain]
12:14:40.341438 IP 195.182.58.136 > x.x.x.x: ip-proto-17
12:14:40.341441 IP 193.234.216.12 > x.x.x.x: ip-proto-17
12:14:40.341442 IP 195.228.85.145.53 > x.x.x.x.7903: 37969| 6/0/1 TXT[|domain]
12:14:40.341512 IP 192.195.177.60.53 > x.x.x.x.42871: 57501- 0/13/23 (718)
12:14:40.341552 IP 192.210.150.10.53 > x.x.x.x.41447: 25994| 6/0/1 TXT[|domain]
12:14:40.341556 IP 193.28.177.41 > x.x.x.x: ip-proto-17

iptables -xnvL

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
   pkts      bytes target     prot opt in     out     source               destination         
 415575 293176304 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state ESTABLISHED
  24101  1323153 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80
  19725  1182436 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:8080
      2      104 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
13101233 35329988490 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
   pkts      bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 488686 packets, 518540789 bytes)
   pkts      bytes target     prot opt in     out     source               destination      

在 nginx 我有

limit_req_zone  $binary_remote_addr  zone=one:10m   rate=5r/s;

在此螢幕截圖中,您可以看到實際數字。我的正常使用量不超過 5mb/秒。 在此處輸入圖像描述

網路統計-ntu | awk ‘{列印 $5}’ | 切-d:-f1 | 排序 | 唯一的-c | 排序-n | 尾巴 | grep -v “127.0.0”

13 87.149.x.x
14 95.68.x.x
15 109.186.x.x
15 84.108.x.x
15 91.231.x.x
17 162.17.x.x
18 82.212.x.x
82 151.248.x.x
94 79.180.x.x

據我所知,iptables問題是一個紅鯡魚:您的規則很好地丟棄了這些數據包,因此非常大的數據包計數在您的第五條也是最後一條規則(DROP規則)中。

我從您的問題中推測您不僅希望刪除它們,而且根本不想在您的埠上看到它們,而這只能通過與您的提供商交談來實現。簡單地讓他們阻止源埠 53 的所有入站 UDP 流量可能會停止伺服器工作,因為它會破壞 DNS,但如果您可以將伺服器重新配置為僅使用兩個或三個特定的上游 DNS 伺服器,則有可能獲得您的提供商阻止所有其他入站埠 53 流量。

編輯:我對你可憐的供應商表示同情。我認為硬體防火牆的問題無關緊要:其中之一不會阻止流量傳遞到您的埠,它只會位於您的埠和伺服器之間,並阻止流量消耗伺服器上的資源。由於我在上面沒有看到任何證據表明它會導致伺服器上的任何資源問題,我看不出這會對您有什麼幫助。

負責任的供應商同意暫時阻止某些類型的到港口的流量確實是很正常的,但是如果您的供應商不這樣做,那麼我認為您無能為力,只能聳聳肩,度過難關,然後在您的契約到期續籤時查看其他提供商。

引用自:https://serverfault.com/questions/564656