Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 20 replies
  • Subscribers 2 subscribers
  • Views 19793 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

urgent help needed: need to find out the throtle during a ddos attack.

howit
Hello everybody,

I've been under DDOS attack the past few days... i've done lots of things, and the IDC is helping us by disabling the IP on the border when the bandwith reachs the threshold... and to turn the downtime around i assigned several different public ips and rotate them... it's working fine...

the problem i'm having now is: when i receive an attack, astaro detects the attacks, and all my network loses packets until the border disables the IP.


Now I'm struggling to find out what the bottleneck is..

any clue?

Also im trying to figure out a way to disable the IP in case of attack, it would cease the attack imediately without compromising the whole structure..


thanks


This thread was automatically locked due to age.
  • 0
    The bottleneck will most likely be your internet connection on a DDoS attack. Mostly, as in your case, attackers use UDP packages, because they don't need any acknowledgement and the source hosts can fire them out to you as fast as they can. That easily can be multiple GB/s, even if your connection is 1GB/s only, It's UDP, UDP doesn't care if it reaches its destination or not.

    There's nothing you can do on your side. Even if the UTM detects the attack/flooding and blocks everything, your connection is filled up with all the UDP packages.

    Your provider has to block it. We started to use a specialized DDoS protection from our Provider. Can be expensive, but much better than being offline for multiple hours.
  • 0 in reply to UrsWeiss
    The bottleneck will most likely be your internet connection on a DDoS attack. Mostly, as in your case, attackers use UDP packages, because they don't need any acknowledgement and the source hosts can fire them out to you as fast as they can. That easily can be multiple GB/s, even if your connection is 1GB/s only, It's UDP, UDP doesn't care if it reaches its destination or not.

    There's nothing you can do on your side. Even if the UTM detects the attack/flooding and blocks everything, your connection is filled up with all the UDP packages.

    Your provider has to block it. We started to use a specialized DDoS protection from our Provider. Can be expensive, but much better than being offline for multiple hours.


    I have to agree with whity here.  Most likely your bandwidth will be your bottleneck during a ddos attack, not your hardware.  The one that I have always seen bitcoin mining services and others use to block ddos attacks is cloudflare.

    All that these services basically do is have ridiculous amounts of bandwidth coming in and filter out the repeated requests before passing them along to your servers.  Their are several other services out their other than cloudflare that handle ddos, they are just the one I have seen the most often on the web, thus I am mentioning them.
  • 0
    Another is ProLexic.

    But I would ask the ISP for new IPs first, unless you believe you're being specifically targeted.

    Barry
  • 0 in reply to BarryG
    i am being specifically targeted...i arranged the ISP to get me more bandwith to handle attacks... I´ve set up a second astaro with 2gb NIC. lets see what happens.

    ps: I already use cloudflare for the website, the service under attack is an online game that listens to a tcp port to connect to the clients.
  • 0
    Ask the ISP to filter any traffic with sourceport 123 and dstport 53; or all traffic with dst 53 if your DNS server doesn't run with source 53.

    Barry
  • 0 in reply to howit
    i am being specifically targeted...i arranged the ISP to get me more bandwith to handle attacks... I´ve set up a second astaro with 2gb NIC. lets see what happens.

    ps: I already use cloudflare for the website, the service under attack is an online game that listens to a tcp port to connect to the clients.


    I honestly have no idea if this will help but I thought I would pass it along.  I saw about a week ago, that the ipredator vpn service was down.  I checked their twitter and this was posted: "Looks like our friends are back and still hold a grudge against http://rutor.org . We RTBH the affected IPs as fast as we can."

    I just used urlquery to check the ip address and according to whatismyipaddress they are now using ddos-guard.net to protect their services.  Apparently ddos-guard has a network protection feature also.  It seems that ddos-guard must really be helping them, as the ddos attack took down rutor.org and as a result the ipredator vpn service was under, knocked out ipredator completely.  It knocked out their VPN, their website, their blog.... everything.

    Like I said, I am sort of stretching to help find you any solutions. [:(]
  • 0 in reply to ftballpack
    Forgot to mention that "proxy-like" anti ddos solutions is out of the table, since we're working with online games, and hosting on another country, ping would be a serious issue.
  • 0
    you need to get with your host the mitigate this...there is nothing you are realistically going to be able to do..once it reaches your network it's too late.
  • 0
    First, talk to your provider. Most bigger provider can offer you a DDoS protection.

    From my experience, a lot of them use PeakFlow from Arbor Networks. It collects data using NetFlow (or SNMP) and monitors the normal behavior. If something changes drastically, you will get a message and can decide what to do.

    This should not have much impact to your latency. But a DDoS attack will definitely have a big impact...
  • 0
    ProLexic isn't a proxy, but any DDOS protection that is run outside your ISP will add some latency.

    Barry