Про защиту через Hetzner и использование UDP протокола приложениями.

0

2

Здравствуйте, есть у меня сервер на Hetznere, на который часто идут DDOS атаки по UDP. Iptables не справляется с ними от слова совсем, так как гигабитный канал просто забивается мусором и соответственно пропадает возможность как-либо подключиться. Сделал в файрволле хетзнера чтобы открыты были только пара нужных TCP портов, остальное всё по дефолту отклоняется. Но дилема в том, что с закрытым UDP не работает большая часть программ: Docker, curl, тот же apt. Проблема решается если открыть в файрволле 32000-65536 порты UDP, но тогда всё теряет смысл, так как на них начинается атака и всё падает.

У меня есть 2 варианта развития событий: Сделать как-то (как-то это главное) чтобы все ответные соединения шли на один порт и постоянно менять его. Сделать перенаправление через какой-то VDS, чтобы в крайнем случае ложился он, а не основной сервер.

Хочу спросить совета, в ту ли сторону я думаю, или можно как-то более просто решить эту проблему? P.S. в поддержку хетзнера писал, ответили шаблоном что никого не видели, ничего не знают.

Ссылка

←	LUKS on LVM or LVM on LUKS

Обход защиты DRM, хочу скачать купленное видео с площадки Udemy

→

что с закрытым UDP не работает большая часть программ: Docker, curl, тот же apt.

Каким боком curl`у нужен UDP? Разве что для DNS, но если udp нужен только для DNS, то это отдельная тема. А запустить все udp соединения с одного порта это фигня какая-то. Тот же DNS может отправлять к одному серверу несколько запросов одновременно. И как будут различать ответы, если они идут с одного порта?

mky ★★★★★
(07.10.21 02:39:34 MSK)

Ссылка

Я не шарю.

Ну фаеволами ведь можно запрешать трафик в желаемом направлении. Открыть на выход себе, закрыть на вход забиякам. Хетцнеровский не позволяет что ли? Именно так все всегда и живут, за натами и внешними фаеволами. Или я чего-то не понимаю?

Если зачем-то нужен udp на вход, то я видел какие-то сторонние компании-фаеволы для этой цели, они обычно игровые сервера защищают (там как раз udp). Типа клаудфлэра или куратора, только для udp. Но их мало почему-то было (или я плохо искал).

the1 ★★
(07.10.21 14:45:33 MSK)

Ссылка

Вы кстати показали бы конфиг iptables для udp. Тот с которым iptables «не справляется с ними от слова совсем».

PS. случайно увидел: у ТСа сейчас 5 тем и 2 коммента :)

the1 ★★
(08.10.21 15:29:39 MSK)

Ссылка

Проблема решается если открыть в файрволле 32000-65536 порты UDP, но тогда всё теряет смысл, так как на них начинается атака и всё падает.

stateful firewall тебе поможет

Kolins ★★★★★
(08.10.21 15:55:06 MSK)

Ссылка

Но дилема в том, что с закрытым UDP не работает большая часть программ: Docker, curl, тот же apt. Проблема решается если открыть в файрволле 32000-65536 порты UDP, но тогда всё теряет смысл, так как на них начинается атака и всё падает.

У тебя, скорее всего, в качестве DNS сервера в resolv.conf указан 8.8.8.8 или 1.1.1.1. У Hetzner есть свои DNS серверы. Если указать их в resolv.conf, то, вероятно, они будут внутри файрвола Hetzner (а если не будут, можно разрешить трафик к ним), после этого можно на стороне Hetzner закрыть весь UDP.

ivlad ★★★★★
(15.10.21 17:04:17 MSK)