We are in the process of migrating this forum. A new space will be available soon. We are sorry for the inconvenience.

VAC non filtra tutti gli attacchi DDoS


Andrea.C
02.01.2015, 11.19
@filippobn tutti gli IP associati al server sono in mitigazione permanente, per l'ip che ho pubblicato non c'è problema, visto che è un ip failover a cui punta il mio dominio

filippobn
02.01.2015, 11.15
Hai messo ip in mitigazione permanete? in oltre ti cosgilio di editare il messaggio non è mai buono mettere ip in pubblico potresti appunto avere ulteriori attacchi doss

Andrea.C
01.01.2015, 20.30
In questi ultimi giorni il mio server è sotto continuo attacco ddos.

Il vac sembra che non lo rilevi nemmeno che il server è sotto attacco, ma i grafici di banda indicano che ci sono 500mbps in entrata

Ecco un piccolo pezzo del tcpdump eseguito durante l'attacco premettendo che 178.32.137.237 è l'ip failover della mia macchina da dove entrano le connessioni e il traffico malevolo e nella porta 25565 gira il servizio sotto attacco

19:53:28.668847 IP 178.32.137.237.25565 > 16.122.67.1.61278: Flags [R], seq 1, win 0, length 0
19:53:28.668848 IP 31.222.172.19.56398 > 178.32.137.237.25565: Flags [.], ack 1, win 16800, options [nop,nop,TS val 125819436 ecr 3679778033], length 0
19:53:28.668853 IP 178.32.137.237.25565 > 31.222.172.19.56398: Flags [R], seq 1, win 0, length 0
19:53:28.668854 IP 62.255.96.165.60357 > 178.32.137.237.25565: Flags [.], ack 1, win 259, options [nop,nop,TS val 125819453 ecr 247032173], length 0
19:53:28.668859 IP 178.32.137.237.25565 > 62.255.96.165.60357: Flags [R], seq 1, win 0, length 0
19:53:28.668860 IP 70.252.75.21.55860 > 178.32.137.237.25565: Flags [.], ack 1, win 253, options [nop,nop,TS val 4103231109 ecr 125819355], length 0
19:53:28.668864 IP 178.32.137.237.25565 > 70.252.75.21.55860: Flags [R], seq 1, win 0, length 0
19:53:28.668865 IP 92.178.142.192.47502 > 178.32.137.237.25565: Flags [.], ack 1, win 254, options [nop,nop,TS val 4103231109 ecr 125819355], length 0
19:53:28.668870 IP 178.32.137.237.25565 > 92.178.142.192.47502: Flags [R], seq 1, win 0, length 0

Ho bloccato con iptables tutti i pacchetti RST e FIN ma è strano che il VAC di ovh non filtra queste connessioni.
Il server con iptables non risulta in grado di tenere 400/500mbps in entrata e la cpu lavora all 100% ed è inutilizzabile
Ho inviato anche una mail al supporto antiddos di ovh (antiddos@ovh.net) ma non ho ancora ricevuto alcuna risposta (forse anche perchè siamo in periodo di feste)

Auguro a tutti un buon 2015

Andrea