DDoS, в поисках силы

[nikitasius]

Однажды DNS Amp и мой сервер:

Sum 31.330 flows/300s (104 flows/s), 34.721.000 packets/300s (115.736 packets/s), 27,153 GByte/300s (741 MBit/s)

После этого NSD был пересобран (с рейтами) и в iptables поставил лимиты для FIN,SYN,ACK SYN и для ANY запросов к моему ДНС.

[equand]

Решается просто, запрещаете UDP на 53 порт и все.

[nikitasius]

Это не решение, а костыль, который урезает функционал днс сервера.

[Wintch]

DOSили сильно вот так. Пришлось сначала убрать сервер из списка а позже и совсем закрыть.
Конечно трафик мы отбросили через iptables, да вот отправителю (атакующему) об этом не известно.

[matrix9164]

Уважаемый автор статьи, посмотрите пожалуйста, а что вот это у меня недавно происходило?
zalil.su/309094

[simpleadmin]

techgage.com/news/bittorrent_dht_used_for_ddos_attacks/

[matrix9164]

Большое спасибо за помощь.

[icebreaker]

Полностью согласен, помимо PPP обертки входящих пакетов, в data присутствует структуризация согласно www.bittorrent.org/beps/bep_0005.html, т.е. такие поля, как id, target, find_node

[matrix9164]

PPP это обычное PPPoE для доступа в инет. Интересно кстати, вот кому я нужен? Ни по каким таким подозрительным ресурсам не хожу, подозрительных действий не выполняю. Обычный среднестатистический пользователь. Не понятно с какой целью выполняется атака и чего хочет достигнуть атакующий…

Ещё по статье вопрос: после добавления правила

# iptables -I OUTPUT -p icmp --icmp-type destination-unreachable -j DROP

получается входящего траффика ещё больше стало? И получается атакующий вообще целиком и полностью игнорирует доступность жертвы? Т.е. будет слать пакеты, даже если целевое устройство не в сети?