Ddos в 3 гб

TWRP · 22 Мар 2015

Ку всем.
На машине стоит CentOS
Уже вторую неделю идет Ddos в 3 гига, не возможно подкл даже через PuTTY
приходится через ip-kvm.

Вопрос: можно ли какими-то скриптами отбиться или утилитами, правилами и т.д...

??? :(

Саша Шеин · 22 Мар 2015

TWRP, бан ип адресов не помогает?

TWRP · 22 Мар 2015

Саша Шеин написал(а):
TWRP, бан ип адресов не помогает?

Интересно... это же сколько надо банить ip ?
когда в 3 гига Ддос ?

NiGaByte · 22 Мар 2015

TWRP написал(а):
можно ли какими-то скриптами отбиться или утилитами, правилами и т.д...

Наврятли, нужно фильтравать трафик, это к провайдеру вопросы...
P.S Сам такой же 10 гб атака...

Саша Шеин · 22 Мар 2015

TWRP, хм.. А что ТП говорит?

TWRP · 22 Мар 2015

NiGaByte написал(а):
Наврятли, нужно фильтравать трафик, это к провайдеру вопросы...
P.S Сам такой же 10 гб атака...

и... отбился ?

Добавлено через 40 минут

Саша Шеин написал(а):
TWRP, хм.. А что ТП говорит?

ТП ничего, сказали сами что-то делайте...

Саша Шеин · 22 Мар 2015

TWRP, дауж.... Даже не пригрозили отключением?

ФИЛЬТРЫ ОТ DDOS ИЛИ
ЗАКРЫВАЕМ ЧЕРНЫЕ ДЫРЫ
ISP провайдеры могут использовать
другие способы защиты, которые зависят от
изменения маршрутизации, типа фильтрации
«черных дыр». «Black hole» фильтрация
отправляет злонамеренный трафик к
воображаемому интерфейсу, известному как
Null0 - подобный /dev/null на Unix машинах.
Так как Null0 - не существующий интерфейс,
трафик, направленный к Null0, по существу
удаляется. Кроме того, эта методика
минимизирует воздействие
производительности, так как остальная
часть сети остается устойчивой при тяжелых
загрузках.
Важно отметить, что адресная
фильтрация - не лучший способ защиты
против DDoS нападений. Даже если вы
заблокировали нападение на своем
маршрутизаторе или межсетевой защите -
все еще большие порции входящего трафика
могут затруднить прохождение законного
трафика. Чтобы действительно облегчить
эффект от DDoS нападения, трафик должен
быть блокирован в вышестоящей цепочке -
вероятно на устройстве, управляемом
большим провайдером. Это означает, что
многие из программ, которые утверждают,
что предотвращают DDoS нападения, в
конечном счете, бесполезны для маленьких
сетей и их конечных пользователей. Кроме
того, это означает, что предотвращение DDoS
нападения, в некоторый момент, не зависит
от нас. Это печальная правда, понятная
любому, кто когда-либо имел дело с
проблемой.

http://sd-company.su/article/help_computers/ddos_defence

Хитрый_Ёжик · 22 Мар 2015

TWRP, Если "Ddos в 3 гб" означает, что на тебя осуществляется DDoS атака в 3Гб/с, то любая фильтрация на уровне сервера поможет тебе только в том случае, если твой канал больше этих 3Гб/с.

TWRP · 22 Мар 2015

Ну а хотяб какие-то скрипты подскажите, чтобы хотяб школоло ничего не могли сделать.
P.S. Хотя щас и школоло такие вещи творит

Хитрый_Ёжик · 22 Мар 2015

TWRP, есть два варианта.

Лёгкий: http://deflate.medialayer.com/
Нормальный: iptables

TWRP · 22 Мар 2015

Хитрый_Ёжик написал(а):
TWRP, есть два варианта.

Лёгкий: http://deflate.medialayer.com/

Нормальный: iptables

1 стоит

ykpon · 23 Мар 2015

Канал тебе забивают, не отобьешься.
ddos-guard.net попробуй

Хитрый_Ёжик · 23 Мар 2015

TWRP, тут где-то была темка про iptables. Можешь поискать.
Свои настройки я давать не горю желанием, однако с удовольствием поделюсь базовыми:
!!!!!!НЕ КОПИРУЙ В ТУПУЮ!!!!!!

C-подобный:

# Remove old rules
iptables -F
iptables -X

# Policies
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# Allow loopback
iptables -A INPUT -i lo -j ACCEPT

# Allow all established connections
iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT

# Allow SSH
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT

# Allow Gameservers traffic
iptables -A INPUT -m state --state NEW -m udp -p udp --dport 27015 -j ACCEPT

# Allow RCON from everybody
iptables -A INPUT -m state --state NEW -m tcp -p tcp--dport 27015 -j ACCEPT

# Allow RCON only from given IPs
#iptables -A INPUT -m state --state NEW -m tcp -p tcp -s 8.8.8.8 --dport 27015 -j ACCEPT

# No packages should reach this line...
iptables -A INPUT -j LOG --log-prefix "LEFTOVER: "
iptables -A OUTPUT -j ACCEPT

По дефолту любые входящие соединения запрещены, ~~по хорошему бы ещё и исходящие запретить, но так легче~~. Loopback, установленные соединения, SSH и последние 2 строчки не трогай.

По сути, тебе нужно будет только настроить правила для портов игровых серверов (port, clientport, sourcetv).
--dport 27015 - для одного порта
--dport 27015:2017 - диапазон портов

Касаемо доступа к RCON: я там написал два возможных варианта настройки - доступ возможен с любых или с определённых (закомментировано) IP адресов. Используй только одно. В принципе, можешь задать подсеть, но если не знаешь что это и как это делается, то лучше даже не лезь.

iptables -A INPUT -j LOG --log-prefix "LEFTOVER: " - по сути, до этой строки трафик доходить вообще не должен. Написано на случай если что-то упустил.

Если на машине есть что-то ещё (сайт, бд, ftp и т.д. и т.п.), то доступ к ним нужно будет открывать отдельно.

Если имеешь дазовые знания об "администрировании сервера" с linux на борту, то покорпев денёк другой ты без проблем сможешь составить свою отличную таблицу правил. Однако учти, на виртуалках с общим ядром обычно много чего не хватает (в частности rate limit) и добавить нет возможности.

P.S. Хочу спать, мог что-то забыть. Извиняюсь....

TWRP · 23 Мар 2015

Хитрый_Ёжик написал(а):
TWRP, тут где-то была темка про iptables. Можешь поискать.
Свои настройки я давать не горю желанием, однако с удовольствием поделюсь базовыми:
!!!!!!НЕ КОПИРУЙ В ТУПУЮ!!!!!!

C-подобный:

# Remove old rules iptables -F iptables -X # Policies iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT # Allow loopback iptables -A INPUT -i lo -j ACCEPT # Allow all established connections iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT # Allow SSH iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT # Allow Gameservers traffic iptables -A INPUT -m state --state NEW -m udp -p udp --dport 27015 -j ACCEPT # Allow RCON from everybody iptables -A INPUT -m state --state NEW -m tcp -p tcp--dport 27015 -j ACCEPT # Allow RCON only from given IPs #iptables -A INPUT -m state --state NEW -m tcp -p tcp -s 8.8.8.8 --dport 27015 -j ACCEPT # No packages should reach this line... iptables -A INPUT -j LOG --log-prefix "LEFTOVER: " iptables -A OUTPUT -j ACCEPT

По дефолту любые входящие соединения запрещены, ~~по хорошему бы ещё и исходящие запретить, но так легче~~. Loopback, установленные соединения, SSH и последние 2 строчки не трогай.

По сути, тебе нужно будет только настроить правила для портов игровых серверов (port, clientport, sourcetv).
--dport 27015 - для одного порта
--dport 27015:2017 - диапазон портов

Касаемо доступа к RCON: я там написал два возможных варианта настройки - доступ возможен с любых или с определённых (закомментировано) IP адресов. Используй только одно. В принципе, можешь задать подсеть, но если не знаешь что это и как это делается, то лучше даже не лезь.

iptables -A INPUT -j LOG --log-prefix "LEFTOVER: " - по сути, до этой строки трафик доходить вообще не должен. Написано на случай если что-то упустил.

Если на машине есть что-то ещё (сайт, бд, ftp и т.д. и т.п.), то доступ к ним нужно будет открывать отдельно.

Если имеешь дазовые знания об "администрировании сервера" с linux на борту, то покорпев денёк другой ты без проблем сможешь составить свою отличную таблицу правил. Однако учти, на виртуалках с общим ядром обычно много чего не хватает (в частности rate limit) и добавить нет возможности.

P.S. Хочу спать, мог что-то забыть. Извиняюсь....

Ты за эту тему говорил?
http://hlmod.ru/forum/zashita-igrov...xovskogo-servera-cherez-pravila-iptables.html

То это уже стоит, все равно ддос идёт.
На счёт знания в линухе, то знаю достаточно нормально )))

Много на форумах задавал такие вопросы и говорят что скрипты и iptables не спасёт.
Нужно фильтровать, но при этом естественно иметь канал больше ддоса.

Хитрый_Ёжик · 23 Мар 2015

ykpon, эта прелесть не работает с игровыми серверами на движке Source, да и слышал я, что они своих клиентов могут попросить уйти при очень сильной атаке...

ЗАЩИТА ИГРОВЫХ СЕРВЕРОВ, РАБОТАЮЩИХ ПО ПРОТОКОЛУ TCP

Хотя можно было бы взять у них VDS или сервер (хотя я бы за эти деньги собрал бы свой сервер, купил бы Cisco или Juniper и сам поставил в ДЦ).

Добавлено через 59 секунд
TWRP, так я же писал:

Хитрый_Ёжик написал(а):
TWRP, Если "Ddos в 3 гб" означает, что на тебя осуществляется DDoS атака в 3Гб/с, то любая фильтрация на уровне сервера поможет тебе только в том случае, если твой канал больше этих 3Гб/с.

ykpon · 23 Мар 2015

Хитрый_Ёжик написал(а):
ykpon, эта прелесть не работает с игровыми серверами на движке Source, да и слышал я, что они своих клиентов могут попросить уйти при очень сильной атаке...

Хотя можно было бы взять у них VDS или сервер (хотя я бы за эти деньги собрал бы свой сервер, купил бы Cisco или Juniper и сам поставил в ДЦ).

Добавлено через 59 секунд
TWRP, так я же писал:

Они и TCP и UDP фильтруют последнее время, насколько мне известно. Игровые сервера защищает у них какой то проект - вспомню, напишу.
Правила, что ты написал выше в этой теме, не помогут. Либо иптаблес загнется от такой нагрузки и положит сервер либо он адреса заблокирует, но канал все равно забиваться будет.
А deflate тем более здесь бесполезен. Когда он будет по крону получать количество адресов и банить их - будет огромная нагрузка.

Хитрый_Ёжик · 23 Мар 2015

ykpon написал(а):
Они и TCP и UDP фильтруют последнее время, насколько мне известно. Игровые сервера защищает у них какой то проект - вспомню, напишу.
Правила, что ты написал выше в этой теме, не помогут. Либо иптаблес загнется от такой нагрузки и положит сервер либо он адреса заблокирует, но канал все равно забиваться будет.
А deflate тем более здесь бесполезен. Когда он будет по крону получать количество адресов и банить их - будет огромная нагрузка.

В любом случае платить 7к за подобную защиту я бы не стал...

iptables не умрет от такого, если конечно всё правильно настроить...
Про дефлэйт я сказал, т.к. ТС попросил какую-нибудь защиту от агрошкольников.

Саша Шеин · 23 Мар 2015

Как школоло это вообще делает и зачем им это может понадобиться?

NiGaByte · 23 Мар 2015

TWRP написал(а):
и... отбился ?

Конечно нет... Жду пока провайдер купит эти долбаные фильтры, и поставит их в долбаный ДЦ.

Саша Шеин написал(а):
Как школоло это вообще делает и зачем им это может понадобиться?

Ботнет, много ботнета, где берут ботов? да где угодно, зачем? причин множество от развлечения, до устранения конкурента в сфере бизнеса, и не только.

Оффтоп

ykpon · 23 Мар 2015

Хитрый_Ёжик написал(а):
В любом случае платить 7к за подобную защиту я бы не стал...

iptables не умрет от такого, если конечно всё правильно настроить...
Про дефлэйт я сказал, т.к. ТС попросил какую-нибудь защиту от агрошкольников.

Не умрет, но и не поможет. Смысл на тачке адреса блокировать, если после этого они все равно в нее будут долбиться, а файерволл будет дропать соединения?

Саша Шеин написал(а):
Как школоло это вообще делает и зачем им это может понадобиться?

Как? - 50 евро и ботнет в твоем распоряжении.
Зачем? - Зависть, чсв.

Ddos в 3 гб

TWRP

Участник

Саша Шеин

Кому костылей?

TWRP

Участник

NiGaByte

Саша Шеин

Кому костылей?

TWRP

Участник

Саша Шеин

Кому костылей?

Хитрый_Ёжик

Участник

TWRP

Участник

Хитрый_Ёжик

Участник

TWRP

Участник

ykpon

Владыка

Хитрый_Ёжик

Участник

TWRP

Участник

Хитрый_Ёжик

Участник

ykpon

Владыка

Хитрый_Ёжик

Участник

Саша Шеин

Кому костылей?

NiGaByte

ykpon

Владыка

Похожие темы