DDoS Атака

Хронология событий:

04.06.13, в районе обеда начинается ддос атака силой 40-55гбит/с на логон2 и логон3, в дата центре блокируют всю подсеть, из-за чего в блоке оказывается и логон.

Где-то через час ддос атаке подвергается и веб сайт, который также блокируется на уровне дц где-то на 2-3 часа.

Вечером этого же дня, ддос прекращается где-то на час, игровые миры вновь запускаются, но при возобновлении атаки в ДЦ опять блокают всю подсеть.

Ищем возможные варианты фильтров защиты, способные выдержать данную силу атаки.

05.06.13, с самого утра начали подключение фильтров защиты до всех серверов логон и веба, в районе 14 00 все успешно настроили и вход на логон стал возможен, но т.к менялись ип адреса в зоне wowcircle, многие какое-то время все еще не смогут зайти т.к процесс обновления DNS не у всех достаточно быстрый.

В районе 18 00 по мск, атаку вновь возобновили, "прилетело" более 60гбит, но уже на защищенные адреса логон, в итоге за 15-20 минут атака была локализована и миры продолжили свою работу.

Чуть позже к защите были также подключены логон2 и логон3.

06.06.13, проблем в работе миров не обнаружено, все они работают в штатном режиме уже около 12 часов, единственное, что не удалось еще настроить, это личный кабинет logon2, в ДЦ до сих пор не разблокировали оборудование, надеемся, что сегодня он тоже заработает.

Тем у кого не заходит в игру, паниковать не нужно, а просто ждать, были случаи, когда у некоторых днс записи обновлялись в течении 48 часов, т.е в теории, сегодня к ночью-завтра утром у всех днс должно обновится.

И если вы вручную сбросили днс кеш у себя, но все равно не заходит, то это значит, что у вашего провайдера еще не обновились актуальные данные.

Если кому-то не дошли бонусы через смс, то не переживайте, они также будут продублированы автоматически.

Хотел еще вчера рассказать о минувших ддос атаках которые были 12-13 октября, но подумал, что они прекратились и опустил этот момент занявшись другими делами, но не тут то было, по этому поведую историю о них.

Но для начала хочется сказать и призвать воздержаться некоторых личностей от высказываний: "Купите норм защиту" "Давно бы поставили защиту" "Вас ддосят какие-то школьники с 1го компа, а вы защититься не можете" "Купите норм железо", объясню почему:

- Оборудование расположено в собственных стойках дата центров eserver и dataline, с общей пропускной способностью 10гбит, можно больше, вопрос необходимости, лучше условий в РФ не найти, а в европе вы будете жаловаться на пинг х5 от текущего.
- На каждом сервере стоят топовые процессоры Intel Xeon от E5620 до топового X5690, мы не экономим на железках и всегда делаем апгрейд если это потребуется.
- Логин сервера и веб защищены постоянной защитой, которая способна справляться с атаками до 100 гбит, не мгновенно конечно, но минут за 30 отфильтровывают.

Я не думаю, что кто-то из наших конкуретнов может предоставить подобные условия, теперь перейдем непосредственно к ситуации с ддосом.

12-13 числа он застал меня в расплох, т.к я был на природе и пришлось в прямом смысле бегать по лесу и искать зону приема 3G, чтобы посмотреть в чем проблема, когда удалось зайти в инет, оказалось, что наши IP адреса просто блокировали в ДЦ т.к били прямо по гейм серверам.
На разблокировку каждый раз уходило примерно по часу и еще минут 30 занимал ребут серверов, т.к сами после блокировки они почему-то не реконнектились, данную операцию приходилось проделывать в эти дни раз 5, т.к атаковали волнами и порой многие миры были недоступны по 3-4 часа.

В понедельник по возвращению на рабочее место, ддос прекратился и более не наблюдался, по этому ситуацию немного опустил и начал заниматься другими задачами по проекту.

Но сегодня поздно вечером, ддос снова напомнил о себе, не успел наш человек уехать из ДЦ после установки дополнительных SSD дисков для х300 и х100, как буквально через час, в районе 22:20 по МСК, вновь началась ддос атака на гейм сервера, по традиции ИП адреса вновь были заблокированы в ДЦ, пришлось человеку возвращаться и решать вопрос на месте.

На разблокировку ушло минут 30 и уже в 23:00 IP адреса были доступны, но т.к наш канал в 10гбит был забит, потери достигали 80%, сервера даже не могли запуститься.

Рассматривали вариант привезти еще одну железку и подключить дополнительный канал, но инженеры в ДЦ предложили помощь в анализе атаки и был выяснен ее тип и метод, и уже в 23:30 она была локализована, а в 23:40 были перезапущены все игровые миры и они стали вновь доступны.

Сейчас можно с уверенностью сказать, что данный тип атаки, который тревожил нас последние дни - больше нам не страшен, на сей ноте пойду спать.

* Данный текст актуален для миров logon.

В ДЦ по ошибке убрали вчерашние настройки защиты и ддос вновь дошел до серверов, в ближайший час необходимые настройки и ограничения вновь будут применены, уже устал ругаться с ними...

Добавлено в 15:43:

Нужные настройки вновь применены, сейчас все должно быть нормально.