Обыкновенный DNS флуд на 53 порт, должен караться на уровне провайдера, но как правило всем насрать.
На MikroTik RouterBoard то есть на RouterOS, справился несложным правилом:
add action=drop chain=input dst-port=53 in-interface=ether1 protocol=udp
То есть, нам надо дропнуть входящие в роутер соединения, приходящие на 53 порт нашего WAN.
Во время флуда, процессор роутера вешался в 100%, после применения правила 4-7%
З.Ы. Но если крутите проект, надо уже задумываться о более серьезной защите.
З.З.Ы. И было бы не лишним статистику загрузки сети показать во время атаки.
Видимо только вам кажется странным как работает UDP траффик.
На MikroTik RouterBoard то есть на RouterOS, справился несложным правилом:
add action=drop chain=input dst-port=53 in-interface=ether1 protocol=udp
То есть, нам надо дропнуть входящие в роутер соединения, приходящие на 53 порт нашего WAN.
Во время флуда, процессор роутера вешался в 100%, после применения правила 4-7%
З.Ы. Но если крутите проект, надо уже задумываться о более серьезной защите.
З.З.Ы. И было бы не лишним статистику загрузки сети показать во время атаки.
moveton Написал:Мне одному кажется это странным?
Я не помню, когда последний раз релизил фришку, но отчетливо припоминаю, что у меня было закрыто абсолютно все, кроме 2016 TCP. Ну и 3306 открывал чисто для веб-сайта.
Видимо только вам кажется странным как работает UDP траффик.
Решил положить кабель по потолку, так как очень большой пинг меня не устраивает.
