como descobrir o pool de endereços para os endereços IP do DDOS Attack

Sugiro que você defina iptables para limitar o número de conexões por host. Ddos pode usar um número ilimitado de endereços IP

sudo iptables -A INPUT -p tcp --dport 25 -m state --state NEW -m limit --limit 50/minute --limit-burst 200 -j ACCEPT
sudo iptables -A INPUT -m state --state RELATED,ESTABLISHED -m limit --limit 50/second --limit-burst 50 -j ACCEPT
sudo iptables -A INPUT -j REJECT

-p tcp --dport 25 = > Especifica o tráfego na porta 25 (smtp).

-m state NEW = > Esta regra se aplica a novas conexões.

-m limit --limit 50/minute --limit-burst 200 -j ACCEPT = > Essa é a essência da prevenção do DOS.

--limit-burst é um pouco confuso, mas em poucas palavras 200 novas conexões (pacotes realmente) são permitidas antes que o limite de 50 NOVAS conexões (pacotes) por minuto seja aplicado.

Segunda regra - Limite o tráfego estabelecido Esta regra se aplica a RELATED e ESTABLISHED todo o tráfego em todas as portas Em resumo, 50 ESTABLISHED (e / ou RELATED ) conexões (pacotes realmente) são permitidas antes que o limite de 50 ESTABLISHED (e / ou RELATED ) conexões (pacotes) por segundo seja aplicado.

ou use um conjunto de regras para todas as entradas

sudo iptables -A INPUT -m limit --limit 50/minute --limit-burst 200 -j ACCEPT
sudo iptables -A INPUT -j REJECT

Além disso, você tem resposta de Oli e uso de whois

Para um bloco de alocação de IPs, você pode apenas whois do IP que você tem. Isso só vai te levar até o nível do ISP normalmente, a menos que você esteja falando de uma empresa grande o suficiente para ter suas próprias alocações. Por exemplo, aqui está o que vejo se eu inserir o endereço IP de um dos meus servidores:

$ whois 109.74.xxx.yyy
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: this output has been filtered.
%       To receive output for a database update, use the "-B" flag.

% Information related to '109.74.192.0 - 109.74.199.255'

...

O bloco lá é 109.74.192.0 - 109.74.199.255 . Você pode usar uma calculadora de sub-redes (ou grandes cérebros) para descobrir que é 109.74.192.0/21 e bloquear isso.

... Mas isso é um lote de servidores, e não apenas o meu.

Parece improvável que um DDoS venha de apenas uma rede. O restante desta resposta assume que estamos realmente falando sobre algo vindo de muitas redes, embora partes dela ainda possam se aplicar à entrada de rede única.

A menos que você possa entrar em uma situação de comando e controle sobre esse botnet - o que é extremamente improvável - você nunca saberá o escopo completo dele, você nunca saberá quais IPs ele contém outros que não aqueles que se conectam a você.

Isso pode não ser um ataque de negação de serviço, pode ser:

• Pessoas tentando hackear o MTA. Como qualquer serviço, eles ocasionalmente contêm falhas que podem ser testadas. Mailservers são particularmente faladores e mal configurados, o que os torna um bom alvo. Não há nada que você possa fazer sobre isso.

• É um revezamento aberto? Os spammers estão retransmitindo seus e-mails através de sua máquina? Se estiver, pare de executar um retransmissor aberto.

Eu geralmente recomendo não executar servidores de e-mail. As pessoas que fazem isso profissionalmente, como seu único trabalho, tendem a fazê-lo melhor: segurança focada, redes maiores e mais robustas e muito melhor detecção de spam que vem da varredura de centenas de bilhões de e-mails recebidos por dia. O custo é geralmente muito justificável.