Essencialmente, você não terá sorte se o ataque DDoS conseguir preencher qualquer canal que você tenha na Internet (que é o propósito de qualquer ataque de reflexão UDP - para preencher o canal). Se o seu link upstream pode levar 1Gbps de tráfego, e há (digamos) 2Gbps de tráfego total para descer o link, então metade dele será descartada pelo roteador ou switch que está colocando os pacotes no link. O invasor não se importa com a metade do tráfego de ataque, mas seus clientes o fazem: 50% de perda de pacotes em uma conexão TCP vai fazer coisas horríveis, terríveis com o desempenho e a confiabilidade daqueles conexões.
Existem apenas duas três formas de impedir um ataque DDoS volumétrico:
- Tenha um canal grande o suficiente para que o tráfego de ataque não o preencha.
- Pare os pacotes de ataque antes que eles abram o tubo.
- Mude para um endereço IP diferente que não esteja sob ataque de reflexão NTP.
Bloqueá-los no iptables não fará o agachamento, porque até lá o tráfego de ataque já sufocou o tráfego legítimo e fez com que ele caísse no chão, então o atacante venceu. Como você (presumivelmente) não controla o roteador ou switch upstream que está encaminhando o tráfego de ataque, sim, você terá que entrar em contato com seu provedor de rede upstream e fazer com que ele algo pare o tráfego de ataque alcance seu link de rede, seja ele
-
bloqueia todo o tráfego na porta de ataque (não é algo que a maioria dos provedores de serviços de Internet está disposto a fazer nos seus roteadores de acesso ao cliente, por
$REASONS
) -
filtra os endereços IP de origem do ataque (mais plausível, com S / RTBH, mas não algo que todo provedor já tem disponível)
-
no pior dos casos, blackhole o endereço IP de destino
Observe que o blackholing do IP só funciona se você tiver outros endereços IP que podem continuar operando - se o seu provedor infectar seu único endereço IP, o invasor terá sucesso porque você está fora da Internet, que é o que eles tentando alcançar em primeiro lugar.