Linux за българи: Форуми

Собственик съм на няколко сайта TOP2 за България които се занимават с публичен хостинг и rent на гейм сървъри и по-точно Counter-Strike
Ползвам ко-локация на няколко лично мой машини в български доставчик. Вързан съм преди оптика директно в CISCO порт на 1 гигабит без ограничения имам около 20 IP адреса (VLAN)
На 19.06.2012г. точно в 17:00 започна някаква атака предимно от руски IP адреси и малко полски. Атаката в първия час беше слаба и не успяха да ме свалят.
В началото ме флуудеха около 500-600 спууфнати IP адреса от по-горе споменатите държави. Час по-късно IP адресите станаха над 1200 и спасение нямаше.
Паднаха ми всичките машини заедно със CISCO рутери на доставчика (което име ще запазя в тайна за момента), шейпъри, DNS-и, всичко беше долу.
Опитахме се да блокираме всички IP адреси ръчно и след няколко часа работа успяхме, е да ама точно 30 минути след като се дигнахме забелязаха, че сме се справили и ни атакуваха с нови 1000+ IP адреса. Генерираният трафик е над 5 гигабита. Флуудиха ни точно 36 часа при което спряха точно на 21.06.2012г (06:00 сутринта).
Казахме си, че всичко приключи и започнахме да се чудим как да се защитим ако евентуално повторят..
Минаха се около 10 часа и флууда се завърна пак от хиляди IP адреси този път само от Русия.
От тогава досега са офлайн всичките ми сайтове и всичките сървъри, което ме поставя в доста неудобна ситуация пред доста мой клиенти.
Решение на проблема няма, няколко системни администратора работят по въпроса и няма блокиране на тези IP адреси по смъртно. Постоянно идват с нови.
Флуудят на портове от 27000 до 27100, 80 и други. Блокирахме целия международен, но трафика влизаше през българския peering и пак умирам.
Не спират флууда. Сега мислиме нови неща за спасение, но не се знае до колко ще помогнат. Имам и логове от флууда, но не знам до каква степен ще могат да помогнат.
Според мен единственото спасение е Hardware Firewall, който доставчика няма и струва над 10 000 долара читав такъв.
Междунардоният доставчик cogent (tier1) отказва да блокира IP адресите по неясни причини за мен.

Ще съм благодарен, ако можете да дадете съвет как да оправим този проблем.
Сигурен съм, че това е БОТНЕТ или няколко такива. Все още не е известна причина кой и защо го прави.
Локален firewall на машините ми не върши работа, защото целия канал на доставчика се пълни.

П.П. Атаките не са само към нас и други колеги в този сектор(които ползват ко-локация в различни български доставчици) са имали този проблем, но тях са ги флуудили 60 часа и са спряли. При мен не го спират.

П.П2. Орязахме UDP-то на портовете от 27000 до 27100 и не успяват да ми направят нищо, но това не е решение, защото предлаганите от мен услуги са главно на тези портове. В последствие разбрахме, че има и някакъв exploit, тъй като от всичките ми IP адреси без знанието ми генерирам трафик на много колеги които се занимават с подобен тип хостинг и реално ги флуудя. Сигурен съм, че не са ме руутвали.

П.П3. Конкуренцията ме флууди по същия начин без дори да знаят, че го правят (явно имат същия exploit който и аз) Exploit-а се появи когато се появиха и атаките.

Предварително се извинявам на модераторите и администраторите, ако темата не е в правилния раздел!

Собственик съм на няколко сайта TOP2 за България които се занимават с публичен хостинг и rent на гейм сървъри и по-точно Counter-Strike

...

offtopic

като каза Counter Strike сървъри -- ако сайта ти случайно е alfa-public.com, тогава погледни IRC лога, който е публикуван на този ($2) адрес и може би ще ти стане ясно кой те флуудва.

За съжаление не мога да те посъветвам нищо конкретно за подобна ситуация, освен вече споменаваното в други теми в този сайт -- по-широка честотна лента и търсене на съдействие от твоя доставчик, както и пълна проверка на сървърите -- щом мислиш, че има използван exploit, това означава (поне за мен), че на машините ти има качен софтуер, на който мястото му не е там.

Като каза counte-strike сървъри, четох в блога на smshosting, че са набарали някакъв експлоит и са го фикснали, после открили още 2 и за тях намерили кръпки, пробвай да се свържеш с тях и да видиш, дали не става въпрос точно за това !

// По-скоро онтопик

Този ($2) сайт на който аз разчитам като потребител на AppleTV, също падна за няколко дни заради , както пише в блога, SYN flood atack с цел саботаж. Вероятно и в твоя случай са подобни мотивите.
Ако искаш прочети как се е справил Sam. Не съм много вещ в това направление, но чета за HW firewall и промяна на DNS настройките.

Благодаря на всички за съветите и отговорите!

Alfa-Public.com са колегите за които знам, че са яли дървото като мен.
Мойте сайтове са: gamehost.bg ; egame.bg

Колегите от gameservers.bg ; iplay.bg също са имали такива проблеми около 60 часа.

Снощи час-два след като пуснах темата атаките бяха спряни, но това не е решение тъй като могат да започнат по всяко време преди да сме се защитили.