W sumie zacytuję większość informacji, która znajduje się tutaj. Sprawa tyczy się ataku DDoS na nieoficjalny serwer gry Warcraft 3 prowadzony przez naszego rodaka. Dwie sprawy pragnę tylko poruszyć. Po pierwsze skalę problemu – prawie 1 Gb/s ruchu – co jest wynikiem na tyle interesującym, że normalny człowiek nie bardzo ma się jak przed takim atakiem obronić. Przenoszenie od jednego dostawcy usług do drugiego na nie wiele się zdaje bo finalnie żaden dostawca takiego klienta mieć nie chce. I po drugie właśnie opisaną zdanie wcześniej bezsilność w przypadku konkretnego ataku DDoS. Można patrzeć i się modlić ;] Zapytałem autora jak się sprawy mają ale podejrzewam, że w gąszczu maili gdzieś moja skromna wiadomość umkła ;]
Jak zniszczyć najwiekszy nieoficjalny serwer Warcraft 3?
Chciałbym podziękować wszystkim za pomoc :) Nie spodziewałem się aż tak dużego odzewu!
Jestem administratorem i twórcą najwiekszego nieoficjalnego serwera gry Warcraft 3: eurobattle.net . Średnia liczba graczy na serwerze to ok 5000 osób online. Serwer jest międzynarodowy gra na nim dużo ludzi z zagranicy – a właściwie głównie z zagranicy.
Wszystko zaczeło się jakieś 2 miesiące temu. Ktoś przeprowadził atak DoS na server na którym hostowałem serwer gry. Po konsultacji z pozostałymi administratorami okazało się, że to jakiś dzieciak z brazyli który obrażony, że nie dostał operatora na kanale brazylijskim (dokładnie nie wgłębiałem się w te historię) postanowił się odegrać.
Serwer był wtedy w hetzner.de więc całkiem łatwo udawało mu się go zapchać bo co to jest 100mbps? Wystarczą pakiety udp z kilku serverów z podobnym łączem i już…
Napisałem więc do supportu hetznera czy coś by nie zrobili – nie mogli zaproponowali co najwyżej zmianę ip. Przy okazji zablokowali atakowane ip i kazali sobie pismo wysyłać faksem, dlaczego było atakowane + zapewnienie, że się to nie powtórzy.
Napisałem też e-maile do ip które mnie atakowały wraz z logami tcpdumpa jednak to nie miało aż tak dużego efektu, w wielu przypadkach brak reakcji.
Przeniosłem więc serwer gry do ovh tak się składa, że mam tam jeden serwer (nie jest on tylko mój) na lepszym łączu – 1G. Przez pewien czas wszystko było ok ataki były ale nie udane dochodzyły do 300-400mbps. Przeważnie po każdym ataku zbierałem listę adresów i do abuse mail.
Aż do wczoraj… wczoraj ponownie zaatakowali jednak dużo mocniej i server nie wytrzymał:
Jak widać, server nie odpowiada na atak.. więc to tylko połączenia przychodzące zapychają serwer.
Stoje teraz przed trudną decyzja ale prawdopodobnie będę zmuszony zamknąć serwer przez jakiegoś dzieciaka z brazylii.
Już po prostu nie mam pomysłu gdzie przenieść serwer – gdzie ktoś by wycioł atakujących.
Jeżeli ktoś ma jakieś sugestie to chętnie ich wysłucham.
Dodam jeszcze że:
– wyciecie na firewallu nic nie da bo jak widać serwer nie odpowiada na atak
– sprzetowy firewall w ovh nie dość, że strasznie drogi to obsługuje tylko 100mbps poza tym
na forum.ovh.pl nie ma zbyt dobrych opini (przy 200 połączeniach 100% cpu).
– żaden provider nie chciał mi wyciąć goscia – ovh raczej tez tego nie robi po prostu jak dalej mnie beda atakować to pewnie zablokują mi server :)Kontakt: info Małpkadousunięcia xan.pl
Pozdrawiam!
6 komentarzy do
13 listopada, 2009 o godzinie 08:48
Wniosek: żyć ze wszystkimi w zgodzie, a bo nóż załatwi Ci serwis/serwer ;)
13 listopada, 2009 o godzinie 09:55
Witam
przykro się robi kolesia, który robi coś dobrego a jest blokowany i niszczony przez „przez jakiegoś dzieciaka z brazyli”.
Nie wiem jak działa serwer WoW’a ( bo osobiście nie gram ), ale mi przychodzi jedynie pomysł przekierowania połączeń całych klas providerów z brazylii ( i innych źródeł ataków ) na inny adres IP, na nim dopiero firewall i ew. jak wszystko jest ok, to dopiero wtedy podłączenie do serwera. A dla użytkowników z klas blokowanych miły komunikat jakich to oni mają rodaków.
Przypuszczam, iż osobiście nie wymyślę dobrego sposobu, aby uniemożliwić ataków, ale może ktoś mógł by zaproponować inne lepsze rozwiązanie.
13 listopada, 2009 o godzinie 16:24
Pozostaje podpiąć się pod jakiś projekt BGP blackholing i to powinno dać odpowiednio szybką reakcję.
13 listopada, 2009 o godzinie 16:59
http://blog.bitbucket.org/2009/10/04/on-our-extended-downtime-amazon-and-whats-coming/
A tak sobie radzi AWS Amazon. Jednym słowem wszystko zależy providera czy chce pomoc czy nie.
14 listopada, 2009 o godzinie 03:48
mozna tez zrobic wjazd po ip :D
11 czerwca, 2013 o godzinie 02:10
widziałem działa polska grupa blackholing http://null0.pl/
proszę zobaczyć