Часть 1, виды атак и используемые данные.
Мини-FAQ по распространенным на сегодняшний день DDOS атакам.
Сейчас самыми популярными атаками являются амплификации, принцип "усиления". Простыми словами, злоумышленник подделывает IP который необходимо атаковать и посылает запросы на DNS, NTP и т.д сервера от этого IP, сервер соответственно отвечает на нужный IP, пакетами гораздо большего размера. Грубо говоря, при оправленном 1 байте, в ответ получаете 30-60 байт. Соответственно, чем больше обращений к разным сервисам и чем выше кол. этих обращений, тем мощнее получается атака. На сегодняшний день мощность амплификаций колеблется от 1 до 30гбит. Это самый дешевый метод атак, поэтому и такой массовый.
Но что хорошо, такие атаки "тупые" и легко поддаются блокировке, имея необходимые для этого мощности.
Основные виды амплификаций:
1) DNS - Пакеты прилетают с source port 53 (UDP)
Для блокировки атак обрезаются все UDP пакеты с sport 53, кроме IP DNS серверов используемых сервером. Например 8.8.8.8
2) NTP - Пакеты прилетают с source port 123 (UDP)
Блокировка аналогична DNS, возможно без разрешенных IP, если вы не используете синхронизацию времени по интернету.
3) SSDP - Пакеты прилетают с source port 1900 (UDP)
Блокировка UDP Source Port 1900
4) CHARGEN - Пакеты прилетают с source port 19 (UDP)
Блокировка UDP Source Port 19
5) SNMP - Пакеты прилетают с source port 161 (UDP)
Блокировка UDP Source Port 161
6) QOTD - Пакеты прилетают с source port 17 (UDP)
Блокировка UDP Source Port 17
7) TeamSpeak - Пакеты прилетают с source port 9987 (UDP)
Блокировка UDP Source Port 9987
8) NetBios - Пакеты прилетают с source port 137 (UDP)
Блокировка UDP Source Port 137
9) Quake 3 - Пакеты прилетают с source port 27690 (UDP)
Блокировка UDP Source Port 27690
10) Steam - Основная масса пакетов прилетает с source port 27015 (UDP)
Блокировка UDP Source Port 27015
11) Вид атаки которую нельзя отнести к амплификациям, в основном используется рядом ботнетов, но она все-же популярна для атак на hlds сервера, source port 0 (UDP)
Блокировка UDP Source Port 0
Есть еще различные виды P2P амплификации но они не пользуются особой популярностью. Хотя в них могут использоваться любые порты.
Атаки описанные выше блокируются исключительно на уровне ISP и ДЦ, блокировка их на самом сервере бессмысленна, если у вас нет канала в пару гбит минимум.