我最近创办了一家游戏托管公司,我的一个盒子受到了我认为是僵尸网络的严重攻击(数千个 IP 地址向游戏服务器所在的端口发送流量。)
我设法登录服务器并开始使用 wireshark 捕获数据包。
总共有 2,613,561 个数据包从 40,000 多个不同的 IP 地址发送(根据 wireshark)。我从 OVH 租用了机器,他们的 ddos 缓解措施似乎对这次攻击没有任何影响,因为攻击持续了两个多小时。
使用 wireshark 检查数据包后发现,大多数数据包都指向端口 27115(游戏服务器所在的位置),并且数据中包含“TSource Engine Query”。
图像:https://gyazo.com/954be1929a5035469453b1a557e8281e
如果需要,我可以提供 wireshark 捕获文件,我设法在攻击的大部分时间内捕获数据包。
谢谢。
答案1
您能将游戏服务器移到另一个 IP 吗?如果可以,攻击会随之而来吗?
攻击是否来自某个特定地理区域?假设您的客户都不来自该地区,您也许能够阻止这种攻击。
这些 IP 中任何一个的每秒数据包数是多少?与普通客户端相比如何?
您可以配置 IPTables 以丢弃包含该子字符串的数据包(https://stackoverflow.com/questions/825481/iptable-rule-to-drop-packet-with-a-specific-substring-in-payload),如果没有合法的数据包包含该数据包。
您需要编译字符串匹配内核模块,然后:
iptables -A INPUT -m string --algo bm --string "test" -j DROP
我猜你的收入还不够高,不足以保证你购买 DDoS 清洗服务,例如https://www.neustar.biz/security/ddos-protection,否则可能值得调查。