Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 20 replies
  • Subscribers 2 subscribers
  • Views 19783 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

urgent help needed: need to find out the throtle during a ddos attack.

howit
Hello everybody,

I've been under DDOS attack the past few days... i've done lots of things, and the IDC is helping us by disabling the IP on the border when the bandwith reachs the threshold... and to turn the downtime around i assigned several different public ips and rotate them... it's working fine...

the problem i'm having now is: when i receive an attack, astaro detects the attacks, and all my network loses packets until the border disables the IP.


Now I'm struggling to find out what the bottleneck is..

any clue?

Also im trying to figure out a way to disable the IP in case of attack, it would cease the attack imediately without compromising the whole structure..


thanks


This thread was automatically locked due to age.
Parents
  • 0
    From those 10 lines: 1 ping, 9 UDP 123->53, looks like NTP origin either aimed at a DNS server or hoping 53 gets the furthest through firewalls.  "Normal" DNS and NTP traffic shouldn't look like that.

    Upstream (ISP?) ACL to deny such traffic?  (UDP 123 -> UDP 53)

    I don't have my head wrapped around how packets flow through the UTM but make sure such packets get dumped ASAP with as little overhead as possible.

    Even if that mitigates the current pain it possibly won't be the end of it - if the attacker is dedicated then the traffic will likely change until they run out of interest/alternatives/resources.  Got a network diagram?
Reply
  • 0
    From those 10 lines: 1 ping, 9 UDP 123->53, looks like NTP origin either aimed at a DNS server or hoping 53 gets the furthest through firewalls.  "Normal" DNS and NTP traffic shouldn't look like that.

    Upstream (ISP?) ACL to deny such traffic?  (UDP 123 -> UDP 53)

    I don't have my head wrapped around how packets flow through the UTM but make sure such packets get dumped ASAP with as little overhead as possible.

    Even if that mitigates the current pain it possibly won't be the end of it - if the attacker is dedicated then the traffic will likely change until they run out of interest/alternatives/resources.  Got a network diagram?
Children
No Data