Skip to main content

Зудящий ДДоС

Обнаружил вчера, что мои серваки кто-то старательно DDoSит. Слабенько так. но неприятно.
В этой статейке расскажу, что можно делать.

Цель 1: Первичный DNS

Скорей всего мой сервер пытались использовать для DNS Amplification Attack. В чем суть? Суть в том, что приходит запрос с поддельным исходным адресом. Исходный адрес заменяется на адрес жертвы. В запросе содержится какой-нибудь домен, обычно специально созданный, у которого ооочень много A записей (да и не только A, т.к. запрос посылают обычно на Any). Сервер обрабатывает этот запрос и выдает весь этот огромный список жертве. Т.о. при небольшом входном потоке транзитный сервер генерирует очень много выходных данных (то самое усиление — Amplification) и заваливает жертву.

Но, возможно, т.к. запрашивающих машин было порядка 20, то это была и обычная атака на мой сервер (либо 20 одновременных жертв, что странно)

Что делать?

Читать дальше “Зудящий ДДоС” »