« -: Jun 25, 2012, 00:52 »
Собственик съм на няколко сайта TOP2 за България които се занимават с публичен хостинг и rent на гейм сървъри и по-точно Counter-Strike
Ползвам ко-локация на няколко лично мой машини в български доставчик. Вързан съм преди оптика директно в CISCO порт на 1 гигабит без ограничения имам около 20 IP адреса (VLAN)
На 19.06.2012г. точно в 17:00 започна някаква атака предимно от руски IP адреси и малко полски. Атаката в първия час беше слаба и не успяха да ме свалят.
В началото ме флуудеха около 500-600 спууфнати IP адреса от по-горе споменатите държави. Час по-късно IP адресите станаха над 1200 и спасение нямаше.
Паднаха ми всичките машини заедно със CISCO рутери на доставчика (което име ще запазя в тайна за момента), шейпъри, DNS-и, всичко беше долу.
Опитахме се да блокираме всички IP адреси ръчно и след няколко часа работа успяхме, е да ама точно 30 минути след като се дигнахме забелязаха, че сме се справили и ни атакуваха с нови 1000+ IP адреса. Генерираният трафик е над 5 гигабита. Флуудиха ни точно 36 часа при което спряха точно на 21.06.2012г (06:00 сутринта).
Казахме си, че всичко приключи и започнахме да се чудим как да се защитим ако евентуално повторят..
Минаха се около 10 часа и флууда се завърна пак от хиляди IP адреси този път само от Русия.
От тогава досега са офлайн всичките ми сайтове и всичките сървъри, което ме поставя в доста неудобна ситуация пред доста мой клиенти.
Решение на проблема няма, няколко системни администратора работят по въпроса и няма блокиране на тези IP адреси по смъртно. Постоянно идват с нови.
Флуудят на портове от 27000 до 27100, 80 и други. Блокирахме целия международен, но трафика влизаше през българския peering и пак умирам.
Не спират флууда. Сега мислиме нови неща за спасение, но не се знае до колко ще помогнат. Имам и логове от флууда, но не знам до каква степен ще могат да помогнат.
Според мен единственото спасение е Hardware Firewall, който доставчика няма и струва над 10 000 долара читав такъв.
Междунардоният доставчик cogent (tier1) отказва да блокира IP адресите по неясни причини за мен.
Ще съм благодарен, ако можете да дадете съвет как да оправим този проблем.
Сигурен съм, че това е БОТНЕТ или няколко такива. Все още не е известна причина кой и защо го прави.
Локален firewall на машините ми не върши работа, защото целия канал на доставчика се пълни.
П.П. Атаките не са само към нас и други колеги в този сектор(които ползват ко-локация в различни български доставчици) са имали този проблем, но тях са ги флуудили 60 часа и са спряли. При мен не го спират.
П.П2. Орязахме UDP-то на портовете от 27000 до 27100 и не успяват да ми направят нищо, но това не е решение, защото предлаганите от мен услуги са главно на тези портове. В последствие разбрахме, че има и някакъв exploit, тъй като от всичките ми IP адреси без знанието ми генерирам трафик на много колеги които се занимават с подобен тип хостинг и реално ги флуудя. Сигурен съм, че не са ме руутвали.
П.П3. Конкуренцията ме флууди по същия начин без дори да знаят, че го правят (явно имат същия exploit който и аз) Exploit-а се появи когато се появиха и атаките.
Предварително се извинявам на модераторите и администраторите, ако темата не е в правилния раздел!