DDoS-защита Linux'овского сервера через правила iptables

[forever]

При удачной настройке iptables nginx попросту блокирует атакующие адреса и они не нагружают системные ресурсы сервера, ну а для решения серьезных проблем нужная хорошая аппаратная защита. Могу порекомендовать ребят из Simplyway.net, отлично справляются как с ддос атаками так и толково шарят в администрировании.

 

[jonasltu]

ребята может у кого есть правила iptables от TSource Engine Query флуда ?

 

[Monomizer]

ребята может у кого есть правила iptables от TSource Engine Query флуда ?

iptables -t nat -A PREROUTING -p udp -d 195.62.52.177 --dport 27016 -m string --algo kmp --string 'TSource Engine Query' -j REDIRECT --to-port 21111
Попробуй

 

[WINS]

ребята может у кого есть правила iptables от TSource Engine Query флуда ?

iptables -A INPUT -m string --string 'TSource' --algo bm -m limit --limit 15/s --limit-burst 1 -j ACCEPT,
iptables -A INPUT -m string --string 'TSource' --algo bm -j DROP

 

[666FoX666]

iptables -A INPUT -p tcp --syn --dport 27015:27050 -j DROP -m connlimit --connlimit-above 1

Не подскажете как отменить это правило?

 

[ykpon]

Не подскажете как отменить это правило?

Удалить правило из цепочки. Прям так загугли.

 

[666FoX666]

@ykpon, спасибо!

Вот мало ли кому поможет:

iptables -L INPUT --line-numbers

Ищем строку, которую надо удалить, а после вот:

iptables -D INPUT *номер*

 

[bigbrain911]

Несколько вопросов:
1. Как правильно указать вместо --dport 27000:28000 весь возможный диапазон портов на машине и как это скажется на производительности?

Спойлер

-A INPUT -p udp -m udp --dport 27000:28000 -m hashlimit --hashlimit-upto 100/sec --hashlimit-burst 50 --hashlimit-mode srcip --hashlimit-name CSS -j ACCEPT
-A INPUT -p udp -m udp --dport 27000:28000 -j DROP
-A INPUT -p udp -m udp --dport 27000:28000 -m length --length 0:28 -j DROP
-A INPUT -p tcp -m tcp --dport 27000:28000 --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 1 --connlimit-mask 32 -j DROP

2. Как правильнее совместить верхнее правило с этим:

Спойлер

iptables -N syn_flood
iptables -A INPUT -p tcp --syn -j syn_flood
iptables -A syn_flood -m limit --limit 500/s --limit-burst 1500-j RETURN
iptables -A syn_flood -j DROP

 

[kleuser]

Блин ребят, подскажите как заблочить SYN атаки, уже все испробовал чет не помогает ничего. Или как узнать от кого идут атаки. Соединений много прилетает и все ip разные

 

[Tallanvor]

@kleuser, по минимуму: Защита от SYN flood атак | Блокнот обычного админа =)

Но не панацея...

 

[kleuser]

@Tallanvor, я натыкался уже на эту статью, всё сделал, но не помогло.
Вся проблема в том, что в данным момент у меня "домохост" временно. (только давайте без истерик, я знаю что это дело гиблое, но все же)
Надо хоть как-то отбить эту каку.

 

[2 joints]

Блин ребят, подскажите как заблочить SYN атаки, уже все испробовал чет не помогает ничего. Или как узнать от кого идут атаки. Соединений много прилетает и все ip разные

Ты никак не узнаешь источник, используются прокси и атака перенаправляются на случайные ip 255.255.255.255. Syn - спуфинг атака с усилением, от неё просто так не избавиться. А за что тебя так?

 

[kleuser]

@2 joints, да школьники балуются, как обычно забанишь дебила, и понеслась.

 

[2 joints]

@2 joints, да школьники балуются, как обычно забанишь дебила, и понеслась.

Тогда точно никак не избавиться) Пока им самим не надоест, переходи на хостинги с защитой.

 

[kleuser]

Самое интересное, что я примерно догадываюсь кто это делает, даже ip его есть(вроде как у него статичный), я блокнул на всякий этот ip через iptables, но результата нет, либо он попросил кого-то, либо все же динамичный ip у него

переходи на хостинги с защитой

тут проблема в другом, либо дорого, либо москва, а в москве мне не комфортно играть. Да и в мосовских хостах защита так себе.

 

[2 joints]

Самое интересное, что я примерно догадываюсь кто это делает, даже ip его есть(вроде как у него статичный), я блокнул на всякий этот ip через iptables, но результата нет, либо он попросил кого-то, либо все же динамичный ip у него


тут проблема в другом, либо дорого, либо москва, а в москве мне не комфортно играть. Да и в мосовских хостах защита так себе.

Напиши в личку Ip обидчика

 

[Monomizer]

Ip школьников в лс, без интернета оставлю

 

[l.st]

Блин ребят, подскажите как заблочить SYN атаки, уже все испробовал чет не помогает ничего. Или как узнать от кого идут атаки. Соединений много прилетает и все ip разные

Тебя по TCP переполнением дёргают и хостер рубит?

 

[kleuser]

@l.st, Вроде бы. SYN флуд через TCP вроде осуществляется, я если чесно не знаю даже ) прилетает 250-300 подключений с разных ip и обрубает инет

 

[2 joints]

@l.st, Вроде бы. SYN флуд через TCP вроде осуществляется, я если чесно не знаю даже ) прилетает 250-300 подключений с разных ip и обрубает инет

чет мне кажется что это loic\hoic стандартные ддос панели бьют от 5gb минимум, мне удавалось дропать сервер неадеквата с +50gb (300к коннектов), так что 250-300 подключений - не смертельно, перейдешь на хостинг и он ничего не сделает. Если сейчас у тебя домашнее соединение и сервер на домашнем соединении висит, при атаке тебе провайдер просто отключает доступ к интернету - стандартная процедура защиты.