Здравствуйте господа, небольшая предпосылка имеется игровой сервер на Windows Server 2016, имеются открытые UDP порты. В связи с особенностями сетевого стек windows, было решено использовать linux(debian-87-jessie) в качестве шлюза, посредством pptpd был организован тунель.
Атаки разумеется на udp и причем намеренные когда онлайн на серверах набирается бьют на пару секунд, все сервера падают дело сделано атака прекращается. Сила ddos атаки 144.406 packets/s (36 MBit/s), генерируются пакеты с подменой ip и портов, все пакеты с одинаковым содержимым(это выяснено позже логированием tcpdump). Было принято решение блокировать по содержимому пакета(с помошью iptables), в итоге после начала атаки сервер живет пару секунд ,затем связь SSH обрывается. В течении минуты связь появляется т.к ddos прекращается в статистике 24 милиона пакетов в DROP это если первым правилом стоит блок по длине пакета, при блоке 1 правилом по содержимому доходит до 53М DROPA. Неужели такой ddos никак не отбить посредствами linux?
Правила iptables
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -A FORWARD -i eth0 -p udp -m multiport --dports 1111,2222,3333 -m string --string «Intel» --algo bm -j DROP
iptables -A FORWARD -i eth0 -p udp -m multiport --dports 1111,2222,3333 -m string --string «Amd» --algo bm -j DROP
iptables -t nat -A POSTROUTING -s 10.1.0.0/24 -o eth0 -j MASQUERADE
iptables -t nat -A PREROUTING -d 180.65.122.12 -p tcp --dport 3389 -j DNAT --to-destination 10.1.0.2
iptables -t nat -A POSTROUTING -d 10.1.0.2 -p tcp --dport 3389 -j SNAT --to-source 10.1.0.1
iptables -t nat -A PREROUTING -d 180.65.122.12 -p udp -m multiport --dports 1111,2222,3333 -j DNAT --to-destination 10.1.0.2
iptables -t nat -A POSTROUTING -d 10.1.0.2 -p udp -m multiport --dports 1111,2222,3333 -j SNAT --to-source 10.1.0.1
P.S: Дедик i7 3770, 1GB канал
