Tráfego backlogged após (D) ataque DoS? [fechadas]

3

Cerca de 25 horas atrás, recebi um e-mail do UptimeRobot (uptimerobot.com) informando que meus websites haviam caído.

Corri para a minha sala de servidores, onde o roteador TP-Link não respondia (mesmo do lado da LAN), os semáforos do roteador piscavam a uma velocidade íngreme, etc. Recebi uma mensagem de um "amigo "dizendo que alguém que ele conhecia era um idiota e tinha ido a algum canal de bate-papo e disse a todos para me atacarem.

Após 17 horas de tráfego pesado (cerca de 15.000 pacotes por segundo), mudei a minha rede para um novo IP da WAN, o que obviamente impediu o ataque. Pelo que sei, essas pessoas desagradáveis ainda estão atacando o antigo IP. Eu me sinto mal por quem quer que esse endereço seja alocado.

De qualquer forma, depois que eu troquei os IPs, os semáforos ainda estavam piscando no meu roteador, e ele ainda não estava respondendo. Dei a ele e ao modem uma reinicialização brusca; e depois que eles voltaram, os semáforos diminuíram para uma velocidade normal e o roteador agora está respondendo.

O problema é que a rede ainda sente como se estivesse sob ataque - sempre que eu pingue google.com, (o que é obviamente para cima), recebo cerca de 50% de pacotes perda e a ida e volta leva cerca de 100ms - em comparação com os 30ms normais ou mais.

Eu reiniciei o roteador e o modem várias vezes, pensando que talvez eles ainda estivessem "entupidos" com o tráfego do ataque; mas isso não deu certo. A LAN em si é boa - eu recebo 0% de perda de pacotes entre diferentes nós com latências tão baixas quanto 0,051ms, então deduzi que nada dentro da rede interna está causando o problema.

Alguém tem alguma idéia do que está acontecendo aqui? É possível que o pipe para o nosso ISP esteja completamente atrasado com o tráfego enviado durante o ataque? Nada disso faz sentido para mim, apenas me perguntando se alguém já experimentou algo assim antes. Agradecemos antecipadamente.

EDITAR:

Aqui está alguma saída depois de fazer o ping da rede a partir do exterior, caso alguém esteja interessado:

(IP omitido porque estou paranóico agora após esse ataque)

PING x.x.x.x (x.x.x.x): 56 data bytes
64 bytes from x.x.x.x: icmp_seq=0 ttl=59 time=47.797 ms
64 bytes from x.x.x.x: icmp_seq=1 ttl=59 time=47.103 ms
64 bytes from x.x.x.x: icmp_seq=2 ttl=59 time=41.792 ms
64 bytes from x.x.x.x: icmp_seq=3 ttl=59 time=51.739 ms
Request timeout for icmp_seq 4
Request timeout for icmp_seq 5
Request timeout for icmp_seq 6
Request timeout for icmp_seq 7
64 bytes from x.x.x.x: icmp_seq=8 ttl=59 time=43.218 ms
Request timeout for icmp_seq 9
64 bytes from x.x.x.x: icmp_seq=10 ttl=59 time=45.034 ms
64 bytes from x.x.x.x: icmp_seq=11 ttl=59 time=42.263 ms
Request timeout for icmp_seq 12
64 bytes from x.x.x.x: icmp_seq=13 ttl=59 time=46.498 ms
Request timeout for icmp_seq 14
Request timeout for icmp_seq 15
Request timeout for icmp_seq 16
64 bytes from x.x.x.x: icmp_seq=17 ttl=59 time=43.183 ms
^C
--- x.x.x.x ping statistics ---
18 packets transmitted, 9 packets received, 50.0% packet loss
round-trip min/avg/max/stddev = 41.792/45.403/51.739/3.031 ms

Trata-se de um local geograficamente próximo da rede e normalmente tem 0% de perda de pacotes com latências em torno de 25ms. Agradecemos novamente por sua ajuda.

Aqui está um traceroute, provavelmente é mais informativo do que o resultado do ping acima:

traceroute to x.x.x.x (x.x.x.x), 64 hops max, 52 byte packets
 1  10.0.0.1 (10.0.0.1)  4.767 ms  4.178 ms  4.195 ms
 2  7.38.4.1 (7.38.4.1)  11.357 ms  18.649 ms  14.658 ms
 3  69.63.243.209 (69.63.243.209)  15.616 ms  32.639 ms  16.381 ms
 4  69.63.249.85 (69.63.249.85)  26.902 ms  13.912 ms  15.729 ms
 5  67.231.220.182 (67.231.220.182)  26.328 ms  27.733 ms  15.328 ms
 6  * * *
 7  * * *
 8  * * *
 9  * * *
10  * * *
11  * * *
12  * * *
13  * * *
14  * * *
^C

Parece que os pacotes estão sendo descartados após 67.231.220.182 , que, de acordo com o WHOIS do ARIN, é uma estação de comutação Rogers no Monte. Agradável - que deve ser o último salto entre onde estou e a rede que estou tentando alcançar. Isso me leva a acreditar que não é problema do meu ISP, então eu não acho que o meu cachimbo é o problema.

    
por Libbux 16.05.2013 / 02:06

1 resposta

4

Não, roteadores e modems não são "enfileirados", eles só passam tráfego. Se eles foram reinicializados, eles começam de novo e escutam o tráfego de entrada. Se eles pegam um pacote, eles o encaminham, e se não há nada do outro lado, ele simplesmente flui para nada e o roteador ou modem não armazena em cache uma cópia do pacote para tentar novamente ou qualquer coisa assim. Qualquer nova tentativa de rede, cache, rastreamento de pacotes perdidos, etc, é de responsabilidade dos terminais, não do equipamento intermediário.

Como para resolver seu problema de perda de pacotes, isso é realmente algo que você deve estar ligando para o seu ISP. É o trabalho deles garantir que você tenha uma conexão confiável e estável. E, para os clientes de classe executiva, eles geralmente são muito prestativos e, provavelmente, até envolvem limitação de taxa, bloqueio de IP ou alguma outra medida para evitar o ataque. Familiarize-se com o helpdesk do seu ISP. Lembre-se, você está pagando para gerenciar sua conectividade de rede, colocá-los para trabalhar! :)

    
por 16.05.2013 / 06:14