Атакi идут

[Dimoks]

Надо смотреть что там конкретно за пакеты.

хз я в этом не шарю, а Алекс говорит пакеты 1500 байт на 80 порт udp

Забанить Россию это потерять индексацию Yandex и людей с него...

Плюс некоторые юзеры все таки ездят в Россию...

 

[alex444]

Если там правда 10Гб то не школьники. А что там, TCP или UDP?

UDP, я ж писал выше.

Третий налёт за сентябрь. Первые два были "отладочными", похоже, с вбитым жестко dst_ip... последний (вчерашний) - уже работал с dns-разрешением.

 

[Мебельный мастер]

хз я в этом не шарю, а Алекс говорит пакеты 1500 байт на 80 порт udp

Забанить Россию это потерять индексацию Yandex и людей с него...

Плюс некоторые юзеры все таки ездят в Россию...

и 100% этих некоторых обсирают нас с ног до головы. Сколько еще можно это терпеть? Бань. Яндекс в Украине не оч и популярен.

 

[Ferox]

хз я в этом не шарю, а Алекс говорит пакеты 1500 байт на 80 порт udp

Забанить Россию это потерять индексацию Yandex и людей с него...

Плюс некоторые юзеры все таки ездят в Россию...

1500 это скорее всего просто MTU.

Дешевые UDP-атаки обычно делают так: находят некоторое количество DNS-серверов, которые настроены так, что отдают длинные ответы. Например по AXFR запросу. Шлют с ботнета к этим DNS-серверам запросы, якобы от твоего IP. А те отсылают ответ на этот DNS-запрос твоему серверу, чем просто забивают к нему канал.

То есть пакеты к тебе приходят даже не от DDOSера.

В такой ситуации можно просто просить аплинка зафильтровать весь UDP трафик к тебе, или весь UDP на 80 порт. Но это все равно немалых денег стоит.

Забанить Россию

Это не так-то просто технически... если у тебя есть возможность при этих объемах трафика как-то фильтровать его - проше резать весь UDP.

 

[alex444]

Дешевые UDP-атаки обычно делают так: находят некоторое количество DNS-серверов, которые настроены так, что отдают длинные ответы. Например по AXFR запросу. Шлют с ботнета к этим DNS-серверам запросы, якобы от твоего IP. А те отсылают ответ на этот DNS-запрос твоему серверу, чем просто забивают к нему канал.

внутри пакетов не было ничего осмысленного. и dstport был не 53, а 80.

Это не так-то просто технически...

cloudflare:

Access Rules

Firewall rules based on IP address, IP address range, or two letter country code.

p.s. я, кстати, не считаю необходимым вообще вести тут обсуждение - вполне вероятно, что заказчик атаки нас читает и делает выводы.

 

[Ferox]

внутри пакетов не было ничего осмысленного

Тогда непонятно, почему именно UDP и именно на 80 порт? Казалось бы UDP на 80 порту не бывает - так резать его. А если атака идет напрямую с ботнета - логичнее слать на 80 порт TCP. Его так просто не порежешь. Может быть DNS ответы могут быть запакованными и ты видишь часть архива, которая кажется неосмысленной? Я просто в этом не разбираюсь, давно уже от всех сетевых дел отошел.

и dstport был не 53, а 80.

А порт при амплификации как-раз может выбрать атакующий. Что он у себя в запросе укажет src-port - то тебе будет dst-port

Посмотри что за IP-шники с которых к тебе пакеты идут. Может там открытый DNS который отвечает кому попало. Тогда надо писать их админам - пусть чинят.

 

[Zigote]

Цітату Зіготе прошу додати отдєльним HINFO-записом (а єслі получіцца - то ZIGINFO-запісом) до домєнного імєні для увєковєченія заслуг пєрєд Родіной і для запугіванія врагів. Спасібо

ps LOC поставіть в Зімбабвє, а для WKS указать "ідітє в дупу, гаспада, ідітє"

Я просто біл искреннє и говорил чистую правду

 

[Liker]

Дешевые UDP-атаки обычно делают так: находят некоторое количество DNS-серверов, которые настроены так, что отдают длинные ответы. Например по AXFR запросу.

вообще приличный днс (и сервер, и клиент) должны axfr по tcp гонять.
но если запрос и ответ помещаются каждый в один udp пакет, то да, можно и таким образом по udp

 

[lucky)))]

одни матюки какие-то в теме

 

[Liker]

Посмотри что за IP-шники с которых к тебе пакеты идут. Может там открытый DNS который отвечает кому попало. Тогда надо писать их админам - пусть чинят.

подобных серваков, которые голой жопой в инет смотрят - бесконечно. Всем админам заебешься писать.

 

[martyshkin]

одни матюки какие-то в теме

+100

хорошо хоть без картинак

С картинками могло бы быть понятнее
кто чего куда савал.

 

[DJ Кот]

теперь понятно, што случилось...а то хотел уже тему создавать что ХФ виснет и сбрасывается...

 

[martyshkin]

эрекция, эякуляция - так понятнее

Получается, случается эякуляция от того, что у ХФ постоянная эрекция...

 

[lucky)))]

что у ХФ постоянная эрекция...

какая эрекция, если он в последнее время постоянно висит

 

[martyshkin]

какая эрекция, если он в последнее время постоянно висит

Не справляется с эякуляциями...

 

[lucky)))]

Не справляется с эякуляциями...

слабаки!

 

[косолано]

Да на темы в главном глянте, создают их "консервы" - я думаю это связано с последними крымскими новостями. Щя обострение пойдет.

 

[lucky)))]

я думаю это связано с последними крымскими новостями. Щя обострение пойдет.

я тоже заметила, что после бурного обсуждения блокады теперь уже острова сайт и полетел

 

[alex444]

сайт и полетел

сайт никуда не летал.

 

[lucky)))]

сайт никуда не летал.

ок, скажу по другому, на время перестал работать