chcialbym poruszyc temat, ktory ostatni czasy mocno mnie zastanawia, mianowicie co właściwie się dzieje w momencie gdy w serwer uderza pakiet UDP lub też TCP?
generalnie kilka dni temu mialem przyjemnosc na wlasnej skorze w OVH walczyc z UDP Floodem i co mnie zaskoczylo - pomimo tego, iz OVH oferuje 1gbitowe lacze dla serwera a sam atak nie przekraczal 300mbps i byl wyciety w pien na firewallu - maszyna i tak utracila swoja stabilnosc, zalogowanie sie do shella stanowilo cud i ogolnie jedna wielka kaszanka
pomyslalem cos jest nie tak.. OVH co prawda limituje polaczenia tranzytowe do 100mbitow (w serii Business spodziewam sie ze reszta jest podobnie limitowana jednak nie doszukalem sie informacji) jednak ja lacze sie ze swoim serwerem wykorzystujac nielimitowany w OVH punkt wymiany ruchu PLIX (http://www.ovh.pl/jednostki/zastosowanie/rozbudowane_projekty.xml?gm=pop) - co oznacza ze limitem 100mbitow nie jestem objety
pierwszy moj strzal - co moze powodowac niedostepnosc systemu - w jakis magiczny sposob IPTables sie "przeciazyl"? Pomyslalem ze skoro bombardowany jestem milionami pakietow UDP a firewall odrzuca je wykorzystujac moduł "recent" czy tez modul mlimit ktore gdzies w pamieci musza trzymac informacje o odebranych pakietach to byc moze one sa sprawca problemu. Dodalem tuz na poczatku lancucha INPUT regulki blokujace trzy dzialajace mi na nerwach adresy IP i niczym James Bond usmiechnalem sie pod nosem myslac ze to koniec problemow. Bzdura. Maszyna dalej sie dlawila i praktycznie nie odpowiadała. Tutaj pomocny okazal sie abuse ktory o dziwo zareagowal bardzo szybko. Udalo sie zablokowac dwie maszyny (z trzech) w przeciagu godziny. Atak odparty - niedosyt z braku wiedzy pozostal
Doszedlem do konkluzji, ze skoro juz wczesniej serwer floodowany byl przepustowoscia rzedu 900mbit a tym razem zadlawil sie przy 250mbitach (co oznacza ze dalej mialem kilkaset mbitow w zanadrzu) problem nie polega na braku dostepnej przepustowosci tylko na przepelnieniu byc moze jakiegos modulu ktory odpowiada za przyjmowanie pakietow w systemie. Stad moje pytanie dla osob bardziej interesujacych sie tematyka bezpieczenstwa i samymi serwerami linuxowymi.. Jak to wyglada w praktyce? Jakie moduly/czesci jadra wykorzystywane sa w momencie odbierania pakietu przez serwer i ktore sa newralgiczne dla odbioru pakietow? Czy jest mozliwe ze w jakis magiczny sposob przepelnila sie tablica ip_conntrack pomimo tego, iz mam ustawiony limit wpisow na 65k a w momencie ataku tablica dochodzila do maksymalnie 400-500 wpisow (nie otrzymywalem zadnych informacji o dropowaniu pakietów). Oraz pytanie dla osób majacych do czynienia z bardzo wysokimi trafficami. Czy piszac regulki do firewalla staracie sie unikac wlasnie modulow recent/mlimit szczegolnie dopasowujacych spore klasy adresowe za jednym zamachem?
z gory wielkie dzieki za jakiekolwiek informacje - nakierowanie na zrodlo
