Тьфу! Померещилось «Вопрос по сетям и DOS»

вот думаю может есть возможность узнать с какой AS хотябы идёт трафик

по цепочке

а можно детальнее как это сделать?

проще всего это сделать через https://www.ripe.net/ AS-ки собираешь и блочишь. Ну, если я правильно понял вопрос.

А нельзя ли проще? Для начала...

Если к Вам на сервер валится udp-спуф, то почему бы не запретить траффик udp вообще, если на сервере нет ничего из того, что требует udp?

Если на сервере есть что-то, что требует udp, например, какой-нибудь игровой сервер, с которым клиенты именно по udp общаются, то тогда возможно было бы неплохо убить весь траффик udp с ttl == 43? Правда, в этом случае могут пострадать те клиенты, у которых ttl совпадёт с 43, но это уже неизбежные потери.

Пусть в ДЦ в направлении Вашего сервера выставят эти политики и проверьте – поможет или нет. А уже потом по whois искать что за AS Вам траф нагоняет. Правда, не всегда там может быть номер AS, в ответе whois, но это уже немного другой вопрос. По крайней мере, на сервер траф левый литься не будет.

та правило фильтрации написать не проблема, все упирается в обьёмы трафика, их же принимает дц. я имею дампы этих атак, но как мне выяснить с какой аs они генерируются если там все айпи подделка

Да. Вы правы.

Атака именно на том и построена – выжрать по максимуму полосу пропускания атакуемого хоста пакетами. В крайнем случае вообще проводят dns amplification. И найти при грамотном спуфе источник проблем маловероятно. Но на месте админов Вашего ДЦ я бы просто малость разгрузил своё оборудование, просто дропая (например весь udp или udp с ttl == 43), который от уже них идёт на Ваш хост. Так этот паразитный траффик не надо обрабатывать. Дропнул и забыл. Ну и Вашему серваку чуть полегче.

Больше альтернатив не вижу, т.к. скорее всего работают не с одной AS, а нескольких и центр управления атакой может вообще быть ни как не связан с этими подсетями.

Ну, как вариант ещё – залезать под какое-нибудь специализированное решение типа cloudflare.

не, тут игровой сервер, udp трафик, отрезать такой обьём дата центру не выгодно, трафик мешает в сети даже если его дроп он же приходит, они просто блекхол делают. Вот я и расчитывал найти источник трафика чтобы его при корню зарезать. Ладно, буду думать

Говори с провайдером. Пусть посмотрят как распределяется трафик на тебя по разным аплинкам. Возможно есть вариант отправить в блекхол удп на тебя только на определенных аплинках. Потерять доступность частично - это хорошая альтернатива полной недоступности. Это может дать снижение мощности атаки. Сделает ли это хорошо и сразу? Вряд ли. Но если окажется не 40 Гбит, а 4, то у тебя будет больше шансов прожевать этот траф.