Hallo zusammen,
seit ein paar Wochen wird mein Server alle paar Tage von DDoS Attacken heimgesucht. Vom Volumen her waren diese bisher zwischen 30MBit/s bis 80MBit/s. Die Folge dieser Angriffe war jedes Mal die Gleiche: Der Server ist unerreichbar, bis der Angriff stoppt.
Selbstverständlich habe ich versucht Gegenmaßnahmen einzuleiten, jedoch ohne Erfolg. Daher wollte ich mich mal an euch wenden, was ich hier vielleicht übersehen habe. Bisher hat jeder Angriff ausnahmslos Port 21 attackiert:
Src IP Addr:Port Dst IP Addr:Port Proto Packets Bytes
<DEST_IP>:8284 -> <MEINE_IP>:21 UDP 1000 29000
Da ich meinen Server so konfiguriert habe, dass generell kein FTP möglich ist, habe ich den Port 21 in meinen iptables blockiert:
root:~# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP udp -- anywhere anywhere udp dpt:fsp
DROP tcp -- anywhere anywhere tcp dpt:ftp
[...]Referenzen zu fail2ban Chains hier[...]
Diese Regeln habe ich wie Folgt erstellt:
root:~# iptables -I INPUT 1 -p tcp --destination-port 21 -j DROP
root:~# iptables -I INPUT 1 -p udp --destination-port 21 -j DROP
Auf meinem Server nutze ich lediglich SFTP/SSH, kein FTP. Passwortauthentifizierung ist generell deaktiviert und nur Public-key-authentication ist erlaubt. Wie kann es sein, dass mein Server dennoch in die Knie geht, obwohl eigentlich der gesamte Angriff in der Firewall absterben sollte?
Während des letzten Angriffs habe ich über die VNC Konsole per "htop" die Ressourcennutzung ausgeben lassen, siehe Anhang #1.
Während eines anderen Angriffs habe ich per MTR (my traceroute) 500 Pings durchgeführt, siehe Anhang #2.
Über jegliches Feedback freue ich mich sehr!
Viele Grüße
Matthias "Mad"