DDoS-stats van 27 december

Door ACM op dinsdag 28 december 2010 12:17 - Reacties (15)
Categorie: Tweakers.net, Views: 5.228

Gisterochtend werden we aangevallen met een DDoS-aanval. Het was zo te zien een vrij standaard aanval, waarbij men probeerde continu nieuwe verbindingen naar onze webservers te openen.
Dat is niettemin een behoorlijk lastige aanvalsvorm om goed af te slaan en zorgde er dan ook voor dat de site in het begin van de aanval toch wat minder goed bereikbaar was.
Gelukkig wist onze, begin dit jaar aangeschafte, ddos-appliance de boel behoorlijk goed tegen te houden, waardoor de overlast toch redelijk beperkt bleef. En die appliance houdt uiteraard ook allerlei statistieken bij, dus bij deze een kort overzichtje :)

Tijdens de piek van de aanval, even voor 12:00 uur, kregen we zo'n 80Mbit aan inkomend verkeer, waar we normaal tussen de 5 en 10Mbit zitten. De piek was overigens wel vrij kort, waarna de aanval gestaag afnam. Onderstaand grafiekje laat dat mooi zien. De pieken rond 11:45u, 14:45u en later zijn onderhoudstaken, die horen niet bij de DDoS.

Riorey Link utilization 2010-12-27

Overigens is de aanval nu nog steeds niet helemaal weg. Aan het begin deden we (naar schatting) richting de 120.000 aanvallende packets per seconde, na een uur zat dat op zo'n 90.000 en nu is dat nog slechts zo'n 1200. Ons normale verkeer bestaat op dit moment uit ongeveer 7000 packets/seconde.

Het aandeel "vervuiling" is daardoor nog steeds wel vrij hoog. Gistermiddag was het ongeveer 90%, nu nog steeds 5% van het totale verkeer en 50% van de "tcp syn's". Het verloop van het totaal kan je vrij goed zien in dit plaatje.

Riorey Packet pollution 2010-12-27

In totaal leverde dat sinds 11:52u gisterochtend 1.442.375.536 tcp/ip-packets onze kant op. Daarvan waren 1.432.525.268 gemarkeerd als onderdeel van de aanval, ruim 99,30% dus. Die packets waren goed voor 96.590.347.964 bytes (net geen 90GB) en ook daarvan was een groot deel aanvallend; 95.909.389.716 bytes oftewel 99,29%.