Прилетел "сильный" трафик"

Забивают интернет канал 100мбит несколько дней подряд с 21.00 до 01.00 ночи. ( на компьютере используется внешний ip адрес).
Загрузка сети в диспетчере задач подскакивает в этот момент до 40-50%. В этот момент интернет соответственно начинает немного тормозить входящая скорость падает до 15 мбит.
К данной теме прикрепил логи с ip адресами, которые были связаны с моим пк. Сразу напишу, установлен Windows 7, никаких файрволов не было запущено. В данном списке очень много айпи адресов, вообще кто разбирается и понимает, расскажите, объясните что к чему всё тут.
 93.157.46.204.txt ( 8,46 мегабайт ) Кол-во скачиваний: 33

93.157.46.204 (первая строчка) больше всех пакетов - вроде как с него и идет. Вообще что за отчет не знаю, первый раз такой вижу, нужно смотреть в реальном времени откуда летит больше всего пакетов и какой там протокол, содержимое, и банить либо по IP весь траф, или блокировать этот порт

первая строка это мой айпи адрес (того самого компьютера). Ну понятно, договорился с провайдером как только атака начнется сразу в этот момент попробуем отследить что это за трафик такой...

Роутер стоит или прямое подключение? Что вообще запущено на компе?

google.bsk, всё это относится к "spofing" server-am. Eсли вашe жeлeзо нe упало, то стоит прeдположить что мeтод атаки был довольно таки извeстным. Забив CPU - это одна из причин по которой я сдeлал данный вывод. Начнитe с малого и установитe GEO.

Компьютер подключён через коммутатор, запущены игровые сервера cs


Ну я установил файрволл, теперь буду проверять ждать. Но надо его настроить потому что теперь вообще никакое подключение к данному компьютеру не идёт. Если это не поможет что скорее всего, то дальше уже буду решать проблему через провайдера. Как мне сказали если это с нескольких айпи адресов идет то можем их заблокировать. Ну короче смотреть надо, главное отследить в момент атаки

Народ, подскажите что делать? Провайдер отследил атаку, заблокировал порты 27010 и все те, на которых были запущены игровые сервера cs. Сказали что трафик идёт по udp протоколу примерно на 60мбит с разных ip адресов (достаточно много). Так понимаю если мы заблокировали порт 27015 то сервер кс на нем будет не доступен. Что делать? Как бороться?

google.bsk, как вариант хостится на ИгроХост. За 3 года нашего с ними сотрудничества я ни разу не пожалел. Качественный хост, стабильность, разумная тп. Фильтрация от ddos атак, коляски с 1gb каналом. Как по мне - это топовый хостинг по железу, неплохая защита от ддоса, конечно же есть проблемы, но нет идеальных фильтров, а защита нынче от 5ка стоит и та не тянит. Я бы присмотрелся жмяк(ref)

Energy, не не..только не эти "хостинги"

google.bsk, самостоятельно бери у штормвела услуги и фильтруй пк, можешь взять вдс. Верстальщики/настройщики которые сейчас активны - Фаер.

Energy,

Kesha, ударил бы тебя сейчас в плечо. Если не понимаешь глубокого смысла о чем я бубню, то че ваще викепедию подтянул? Не по попонятиям это(

Я думаю тут это не поможет. Насколько я знаю, шторм вел проксирование использует, а с учетом локации google.bsk, пинги будут космос.
Вот это слабое место хостинга дома и винды в частности. На линуксе много больше возможностей по фильтрации таких атак, 60 мбит - это слезы.

fan1337, хочешь сказать если бы у меня стоял линукс то все было бы поправимо?

я установил файрволл вот смотрю он блочит какую-то нездоровую сетевую активность

fan1337, на сколько я читал там eсть сeрвeра в мск, а то что вы знаeтe это что то new инфа для мeня.ТС - можeшь наглядно посмотрeть на мой сeрвeр и хостинг о котором я трактую, eго сутками шлёпают надeясь на мои расстройства или что там, можно залить тот жe трафик на любую каляску у любого хоста, выгонят спустя сутки, имхо.

На линуксе iptables-ом можно заблочить соответствующими правилами такой мелкий флуд без проблем. Какой то школьник панельку с ботом поставил и теперь флудит тебя, на винде насколько я знаю файрволы весьма ограниченные.

У ТСа сервер в Сибири, тут все равно где у шторм вела сервера находятся, в мск или в Европе. К пингу у местных игроков +100 мс минимум будет. И игрохост ему в этом свете тоже до лампочки. Который кстати тоже нифига не панацея. Если что то куда то переносить, то проще найти домашнего провайдера, который ограничивает кол-во одновременных tcp и udp сессий, такие есть, и работает такая примитивная защита на отлично с мелкими и средними атаками. Либо искать дц в Новосибирске или Красноярске с достаточно толстыми каналами.

fan1337, а если бы гигабит был?

Гигабит - вещь хорошая, другое дело, как ваш провайдер относится к загрузке этого гигабита. Фильтровать все равно придётся, и даже если блочить айпи на вашем оборудовании, то трафик будет дропаться на вашем оборудовании, т.е канал все равно у вас будет забит этим трафиком, просто уменьшиться нагрузка на проц. Тут нужно входить в контакт с провайдером, чтобы они по вашим заявкам у себя на магистралях блокировали трафик. В другом случае либо дудосеры додумаются увеличить силу и все равно забьют ваш гигабит, либо провайдер вас просто либо отключит, либо канал порежет за расход трафика огромный, поскольку каналы шаред. Все дело в лояльности провайдера к таким вещам, кто то с этим работает, а кто то тупо блочит атакуемые сервисы, и ничего с этим не сделать.