[2017]记一次处理干扰型DDOS攻击 huoji DDOS防火墙,DDOS 2021-02-28 943 次浏览 0 次点赞 以前的老文章,结果找了一圈发现渗透吧和阿里云的也没有了,于是在这里做个存档. 记一次处理干扰型DDOS攻击。今天自己维护管理的游戏服务器遭遇到了DDOS攻击. 攻击类型是UDP机房防御很强大。这点攻击不足为奇 但是游戏端是UDP的 很不稳定 有攻击玩家就会掉线于是抓包: ![](https://key08.com/usr/uploads/2021/02/960074769.png) 发现是DNS反射类ddos攻击此类攻击穿透性很好 因为防火墙一般不拦截DNS的流量的(否则就没办法上网)于是我设置了规则:禁止访问端口为53的流量进入 114DNS为白名单 ![](https://key08.com/usr/uploads/2021/02/2677692270.png) 玩家就不会掉线了过了一会:他发现没作用,就"换模式"(别问为什么我知道,因为玩家又开始掉线了)继续抓包 ![](https://key08.com/usr/uploads/2021/02/3108578758.png) 发现很奇怪 UDP包为何有 HTTP/1.1 这些东西但我发现了"UPNP"的字样百度之 ![](https://key08.com/usr/uploads/2021/02/388845780.png) 据我的推测,这个是叫做“SSDP”反射 把智能设备当做攻击源攻击。。这就麻烦了 端口不一,数据包内容不一 很难搞然而游戏玩家依然在掉线。。。。我决定 设置拦截 HTTP/1.1 内容的数据包峰值流量到了168M左右 ![](https://key08.com/usr/uploads/2021/02/1073040004.png) 全部被pass. 过了几分钟 IP都被机房的防火墙拉黑了 就没流量了然而就这样结束了?不,接下来他发现没软用就又“换模式”游戏内自己检测DDOS攻击的程序不断报警 防火墙没软用. ![](https://key08.com/usr/uploads/2021/02/798185008.png) 于是Wireshark搜索其中一个IP发现包很乱 包大小不规则,端口也是随机的,而且数据也不规则 不可能和前面一样添加XX特征。 继续寻找攻击IP ![](https://key08.com/usr/uploads/2021/02/1307628480.png) 发现 第一个包的大小都是440B的于是加规则 只要第一个包都是440B的 IP拉黑。![](https://key08.com/usr/uploads/2021/02/980626199.png) 然后这货发现不行就玩起了大包(当初阿里云被打400G+左右流量的时候 攻击者就是通过发大包 制造这么多流量) 包大小大于1000B 我这游戏不会有这么大的包的于是屏蔽大于1000B的数据包攻击与防御进入白热化阶段峰值流量最高240M/S之后就很平稳了一直在84M/S左右徘徊17点左右 攻击停止 设置防御规则后 攻击无感知 ![](https://key08.com/usr/uploads/2021/02/692997443.png) ![](https://key08.com/usr/uploads/2021/02/4279778686.png) 总结: 一个好的防火墙很重要 但一个真高防服务器最重要! 本文由 huoji 创作,采用 知识共享署名 3.0,可自由转载、引用,但需署名作者且注明文章出处。 点赞 0
还不快抢沙发