urgent help needed: need to find out the throtle during a ddos attack.

Now I'm struggling to find out what the bottleneck is

Most likely hardware that the UTM is running on or line saturation.  When dealing with a DDoS attack, the UTM (or any perimeter security device) can use up all available CPU and MEM blocking a huge volume of attack packets, leaving little left over to process valid packets.  Are you seeing high resource utilization when the attacks occur?  Blocking upstream is the best mitigation technique.

With no real information on the attack and your network:
Work with your ISP and Sophos/reseller support if you have it.

Making some assumptions about your network:
If the DDoS is overwhelming the link between your ISP and your router then there isn't much you can do from your end.

Hi, you may need to limit logging and alerting.

Barry

thanks for the replies..

some info:

as CPU and MEM are not overused during the attacks.

Live Log: Intrusion Prevention System
Filter:
Autoscroll
2014:05:21-20:28:26 huanis ulogd[5625]: id="2105" severity="info" sys="SecureNet" sub="ips" name="UDP flood detected" action="UDP flood" fwrule="60013" initf="eth1" srcmac="c4:71:fe:32:cd:40" dstmac="0:21:9b:fc:13:89" srcip="202.162.210.2" dstip="179.X.X.X" proto="17" length="468" tos="0x00" prec="0x00" ttl="52" srcport="123" dstport="53"
2014:05:21-20:28:26 huanis ulogd[5625]: id="2104" severity="info" sys="SecureNet" sub="ips" name="ICMP flood detected" action="ICMP flood" fwrule="60014" initf="eth1" srcmac="c4:71:fe:32:cd:40" dstmac="0:21:9b:fc:13:89" srcip="203.113.25.29" dstip="179.X.X.X" proto="1" length="64" tos="0x00" prec="0x00" ttl="53" type="3" code="3"
2014:05:21-20:28:26 huanis ulogd[5625]: id="2105" severity="info" sys="SecureNet" sub="ips" name="UDP flood detected" action="UDP flood" fwrule="60013" initf="eth1" srcmac="c4:71:fe:32:cd:40" dstmac="0:21:9b:fc:13:89" srcip="202.162.210.14" dstip="179.X.X.X" proto="17" length="468" tos="0x00" prec="0x00" ttl="51" srcport="123" dstport="53"
2014:05:21-20:28:27 huanis ulogd[5625]: id="2105" severity="info" sys="SecureNet" sub="ips" name="UDP flood detected" action="UDP flood" fwrule="60013" initf="eth1" srcmac="c4:71:fe:32:cd:40" dstmac="0:21:9b:fc:13:89" srcip="222.207.246.37" dstip="179.X.X.X" proto="17" length="468" tos="0x00" prec="0x00" ttl="44" srcport="123" dstport="53"
2014:05:21-20:28:27 huanis ulogd[5625]: id="2105" severity="info" sys="SecureNet" sub="ips" name="UDP flood detected" action="UDP flood" fwrule="60013" initf="eth1" srcmac="c4:71:fe:32:cd:40" dstmac="0:21:9b:fc:13:89" srcip="222.207.246.37" dstip="179.X.X.X" proto="17" length="468" tos="0x00" prec="0x00" ttl="44" srcport="123" dstport="53"
2014:05:21-20:28:27 huanis ulogd[5625]: id="2105" severity="info" sys="SecureNet" sub="ips" name="UDP flood detected" action="UDP flood" fwrule="60013" initf="eth1" srcmac="c4:71:fe:32:cd:40" dstmac="0:21:9b:fc:13:89" srcip="222.207.246.37" dstip="179.X.X.X" proto="17" length="468" tos="0x00" prec="0x00" ttl="44" srcport="123" dstport="53"
2014:05:21-20:28:27 huanis ulogd[5625]: id="2105" severity="info" sys="SecureNet" sub="ips" name="UDP flood detected" action="UDP flood" fwrule="60013" initf="eth1" srcmac="c4:71:fe:32:cd:40" dstmac="0:21:9b:fc:13:89" srcip="222.207.246.37" dstip="179.X.X.X" proto="17" length="468" tos="0x00" prec="0x00" ttl="44" srcport="123" dstport="53"
2014:05:21-20:28:27 huanis ulogd[5625]: id="2105" severity="info" sys="SecureNet" sub="ips" name="UDP flood detected" action="UDP flood" fwrule="60013" initf="eth1" srcmac="c4:71:fe:32:cd:40" dstmac="0:21:9b:fc:13:89" srcip="222.207.246.37" dstip="179.X.X.X" proto="17" length="468" tos="0x00" prec="0x00" ttl="44" srcport="123" dstport="53"
2014:05:21-20:28:28 huanis ulogd[5625]: id="2105" severity="info" sys="SecureNet" sub="ips" name="UDP flood detected" action="UDP flood" fwrule="60013" initf="eth1" srcmac="c4:71:fe:32:cd:40" dstmac="0:21:9b:fc:13:89" srcip="222.207.246.37" dstip="179.X.X.X" proto="17" length="468" tos="0x00" prec="0x00" ttl="44" srcport="123" dstport="53"
2014:05:21-20:28:28 huanis ulogd[5625]: id="2105" severity="info" sys="SecureNet" sub="ips" name="UDP flood detected" action="UDP flood" fwrule="60013" initf="eth1" srcmac="c4:71:fe:32:cd:40" dstmac="0:21:9b:fc:13:89" srcip="222.207.246.37" dstip="179.X.X.X" proto="17" length="468" tos="0x00" prec="0x00" ttl="44" srcport="123" dstport="53"





one thing i noticed.... i have an external gateway, during the attacks, i can ping the gateway normally, but everything inside astaro loses packets, including the wan ip...


from the graphics it seems astaro is not letting the packet go through to the internal net.


any other info i can provide to help you guys help me ?

Hello everybody,

I've been under DDOS attack the past few days... i've done lots of things, and the IDC is helping us by disabling the IP on the border when the bandwith reachs the threshold... and to turn the downtime around i assigned several different public ips and rotate them... it's working fine...

the problem i'm having now is: when i receive an attack, astaro detects the attacks, and all my network loses packets until the border disables the IP.


Now I'm struggling to find out what the bottleneck is..

any clue?

Also im trying to figure out a way to disable the IP in case of attack, it would cease the attack imediately without compromising the whole structure..


thanks

if you are truly being ddosed there's nothing you can do..the ddos will overwhelm your pipe..that's a problem to be dealt with upstream of you.  What is your connection speed?

From those 10 lines: 1 ping, 9 UDP 123->53, looks like NTP origin either aimed at a DNS server or hoping 53 gets the furthest through firewalls.  "Normal" DNS and NTP traffic shouldn't look like that.

Upstream (ISP?) ACL to deny such traffic?  (UDP 123 -> UDP 53)

I don't have my head wrapped around how packets flow through the UTM but make sure such packets get dumped ASAP with as little overhead as possible.

Even if that mitigates the current pain it possibly won't be the end of it - if the attacker is dedicated then the traffic will likely change until they run out of interest/alternatives/resources.  Got a network diagram?

as CPU and MEM are not overused during the attacks.

How fast are the logs filling up? If too high, the disk could be overloaded.

Otherwise, as mentioned, your internet connection is overloaded.

Barry

Looks like an NTP reflection attack btw, but the target port is DNS.

Make sure you don't have DNS open on your WAN port.

Barry

1gbps bandwidth,

usually they use more ips to the attack, i got a bad part of the log. 

My dns server is in another site, and these ports are not even open... 

as far as I research NTP + DNS is the new bomb about ddoses...



I thought the problem might be the network card that couldnt handle so many things, so i temporarily set a second astaro gateway and put just the attacked server alone in there... haven't got any new attack yet.

the logs fill up quite fast, but not as fast to overflow the disk speed, which is very fast (ssd)