DNS DDOS, the aftermath

Pertengahan Januari 2014, pas disaat libur satu VPS terkena serangan DNS DDOS. Serangan ini cukup masif, sehingga cukup melumpuhkan jaringan di data center.

Ethernet
Ethernet traffic

VPS ini normalnya hanya menggunakan bandwidth output maksimum sekitar < 1 Mbps. Pada saat serangan ini terjadi bandwidth output dapat mencapai 267.24 Mbps.

Setelah di hari kedua mencoba kontak sang Admin, ternyata, walau bukan satu-satunya, VPS ini diserang DNS DDOS. Dengan tahu begitu, langsung service BIND dimatikan dan dampak serangan langsung berakhir. Dengan melihat sumber sumber serangan, ada dugaan serangan dilakukan oleh malware yang terinstall pada komputer-komputer, karena distribusi ‘penyerang’ cukup aneh dan random. Bisa jadi yang punya komputer enggak merasa berdosa sama sekali terhadap serangan ini.

The aftermath

Setelah serangan ini, sang ‘Mimin’ menyarankan memasang htop & iftop untuk mengecek kesehatan server. Server tidak apa-apa, tidak sempat down, hanya sempat saja dan tentunya mengganggu server-server tetangga, karena bandwidthnya dihabisin.

Dampak pemasangan htop, ternyata baru nyadar bahwa memori VPS sempat leaked (bukan karena serangan), tapi ternyata penggunaan yang kurang bijak pada web server. Karena menggunakan NGINX + PHP-FPM, langsung dilakukan beberapa hal:

  • tidak menggunakan socket PHP-FPM. Socket, walaupun sedikit lebih cepat, namun ternyata unreliable. (dapat dari thread … somewhere)
  • mengatur ulang dynamic atau on-demand request ke PHP-FPM. Tidak semua situs perlu setting dynamic.
  • Mencompile ulang fcgiwrap (https://github.com/gnosek/fcgiwrap), berharap wrapper yang satu ini ‘betul’ dalam melepas memory dari php-fpm setelah expired.
  • update beberapa komponen didalam.

Setelah selesai semua, tinggal menunggu dan memonitor kondisi server saat ini. Berharap semuanya gak ada masalah baru di server. 🙂

One thought on “DNS DDOS, the aftermath

Leave a Reply