На этот вопрос уже есть ответ здесь:
Последние пару недель я получаю бесчисленное количество ddos-атак. Только что я поймал одну, когда запускал iptraf. Обычно 99,9% пакетов, используемых на моем сервере, это пакеты TCP, а не UDP. Некоторые из них используются, но обычно их почти нет.
Теперь, когда произошла атака, я заметил тысячи входящих UDP пакетов в секунду. Также tcpdump показывал следующее: http://pastebin.com/raw.php?i=QaybC8C1.
Я использую CENTOS 5.6, и я использую его только для nginx (80,443), ssh (22), ftp (21). Я не использую серверы имен, электронную почту или что-то подобное.
Мой вопрос в следующем. Могу ли я заблокировать весь входящий UDP трафик через iptables? Будет ли это эффективно против UDP ddos атак? И если я могу блокировать весь UDP трафик, вызовет ли это какие-либо проблемы в linux?
На основе изображения Вашего получения это похоже на DOS и не DDOS, так как инициирующий IP-адрес является тем же. Похоже, что они пытаются соединиться с портом UDP 17 (QOTD - http://en.wikipedia.org/wiki/QOTD), если я читаю получение правильно, которым я не мог бы быть, так как я никогда не использовал tcpdump. Как насчет того, чтобы начинаться путем блокирования просто, что IP-адрес или просто тот порт?
Действительно ли я могу заблокировать весь входящий трафик UDP через iptables?
Уверенный - но это, вероятно, не принесет Вам пользы.
Это было бы эффективно против DDos-атак UDP?
Зависит, что поражает DDoS. От Ваших других вопросов ясно, что пропускная способность является Вашим беспокойством; таким образом отбрасывание запроса, после того как это уже поразило Ваш сервер, сделает Вас отрицательный результат; тем более, что Ваша текущая конфигурация, вероятно, уже отбрасывает пакеты сразу.
И если бы я могу заблокировать весь трафик UDP, это вызвало бы какие-либо проблемы в Linux?
Да. UDP является протоколом без сохранения информации о состоянии; блокирование всего трафика заблокировало бы, например, входящие ответы на запросы DNS, сделанные Вашим сервером.
Я продолжаю быть неубежденным, что это - DoS вообще (и это - ясно не DDoS, как @joeqwerty указанный); они, конечно, исчерпывают Вашу входящую пропускную способность, но это не может быть намеренным или злонамеренным.
Источник трафика, кажется, законный дата-центр; 64.37.60.212 эти парни (я предполагаю, что те записи PTR законны, здесь - подтверждают, что исходный IP соответствует записям PTR), и у них есть очень ясная политика об оскорбительном отправленном трафике; если ничто иное, можно обратиться по их адресу злоупотребления.
Главное, трафик "нападения" надеется быть фрагментированными пакетами UDP точно 8 192 байтов - который кажется мне некоторой передачей файлов. Так как Вы выполняете веб-сервер, намного более эффективное (и намного более распространенный), стратегия DDoS состояла бы в том, чтобы использовать соединения TCP на открытых портах, исчерпывая системные ресурсы, не имея необходимость к локально используемому в качестве большого количества восходящей пропускной способности, поскольку они используют Вашего нисходящего потока.
Можно ли изучить, в какой порт они отправляют данные? Это может действительно пролить некоторый свет на эту проблему.
Править: Я собираюсь предполагать NFS - порт 2049.