Pir@tehnic
Участник
- Сообщения
- 44
- Реакции
- 103
DDoS-защита Linux'овского сервера Source через правила iptables
Не знал куда писать, в Статьи или сюда! Но решил сюда, так как статейка все-таки относится именно к защите Сервера!
Скажу сразу, если у Вас работает плагин DoS-Protect и работает успешно и нормально отбивает DoS-атаки, то читать статью и заморачивать себе голову вовсе не надо... Ежели плагин не работает или не спасает, тогда приятного чтения! =)
Предыстория :D
В общем я как-то выложил плагин Dos-Protect, отписавшись "У меня отказался работать на Зомби-Моде"...
И вот по "счастливой" случайности этот самый мой Зомби-Мод сервер работал на Линуксе, и при установке этого плагина Зомбез крашился при запуске и к сожалению, в течении некоторого времени многой всякой школоты при каждом удобном случае сразу же врубали своими погаными ручонками свои ДДОСилки и успешно сваливали Зомбез за минуту, стоило хоть в чем-то неугодить :D. Нет, админы невиноваты и сервак вполне нормальный, что их не устраивало, так и осталось для меня секретом).
При этом, я делал копию этого же Зомбеза на компе с Виндой, и вот почему-то на Винде этот плагин вполне успешно работал, а вот на Линухе, зараза, не хотел!
Теперь к делу:
Хочу с вами поделиться тем, как мне удалось решить эту проблему!
Я просто задал пару правил для линуховского iptables.. Точнее просто вбил пару строк в терминал!
iptables -A INPUT -p udp --dport 27016 -m hashlimit --hashlimit 50/s --hashlimit-burst 50 --hashlimit-mode srcip --hashlimit-name CSS -j ACCEPT
iptables -A INPUT -p udp --dport 27016 -j DROP
Где: 27016 - это порт Сервака, еще можно попробовать побаловаться с числом 50/s, но я себе поставил именно 50! Вбивайте и вы =)
После этого я тестил Зомбез несколькими програмками для ДОС-атак, среди которых был DDoS-ер с иконкой в виде лимона и CSS Server Lagger и Зомбез короче от них даже не пошевелился (хотя до этого любая из них сваливала Сервак за минуту).
Только одна програмка смогла поднять пинг до 200, но к счастью ее автор (програмки) эту прогу не распространяет и никому не дает =) !!!
Можно прописать и другие правила, для более точной фильтрации!
iptables -A INPUT -p udp -m udp --dport 27016 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p udp --dport 27016 -m state --state NEW -m hashlimit --hashlimit 100/s --hashlimit-burst 100 --hashlimit-mode srcip --hashlimit-name TF -j ACCEPT
iptables -A INPUT -p udp --dport 27016 -j DROP
Здесь также можно попробовать изменить число 100, но мне кажется 50 или 100 - нормально!
Еще команды для iptables:
iptables -L -n - показывает уже существующие правила!
iptables -F - сбрасывает все правила!
>>>Не помогли мне эти правила для моего Линуховского серва, все равно ДДОСят, можно ли еще что-то придумать?<<<
Можно попробовать осилить эту статью -> <ССЫЛКА>
Или можно сделать так!
Ставите плагин DoS Attack Fixer (DAF) и в настройках включаете логирование! Далее, если произошла DDoS-атака, смотрите в логе с какого IP-адреса была атака, и баните IP-адрес через iptables! Бан по iptables - вещь очень надежная, на себе проверял =) !
Оффтоп: хотя и написано что этот плагин DAF защищает сервер от ДДОСа, но по моему мнению и опыту, ни фига он не защищает (Во всяком случае от лимона не спасал)
Банить через iptables надо так:
iptables -A INPUT -s xxx.xxx.xxx.xxx -j DROP
Где xxx.xxx.xxx.xxx - это IP-адрес нарушителя!
Если нарушитель имеет динамический IP, сменил IP и ДДОСит дальше, то баним подсеть или несколько подсетей!
iptables -A INPUT -s xxx.xxx.xxx.0/24 -j DROP
Пример:
iptables -A INPUT -s 187.34.232.0/24 -j DROP -> Так мы забаним по iptables диапазон IP-адресов от 187.34.232.0 до 187.34.232.255
Разбан так:
iptables -D INPUT -s xxx.xxx.xxx.xxx -j DROP
Примечание 1:
Кстати, Бан по iptables вроде как не Банит на сервере CS:S, то есть Юзер, забаненный по iptables, сможет играть на вашем Серваке, но не сможет ДДОСить!
Примечание 2:
И еще, эти все правила и Баны предотвращают только от внешних DDOS-атак, т.е. когда можно ДДОСить через всякого рода програмы-флудилки, не заходя на Сервер! Для скриптов, которые флудят командами в консоль на самом серваке можно попробовать использовать Античит KAC!
P.S. Удачи вам и никаких DDoS-атак! Если что еще надыбаю, обязательно отпишусь!
Не знал куда писать, в Статьи или сюда! Но решил сюда, так как статейка все-таки относится именно к защите Сервера!
Скажу сразу, если у Вас работает плагин DoS-Protect и работает успешно и нормально отбивает DoS-атаки, то читать статью и заморачивать себе голову вовсе не надо... Ежели плагин не работает или не спасает, тогда приятного чтения! =)
Предыстория :D
В общем я как-то выложил плагин Dos-Protect, отписавшись "У меня отказался работать на Зомби-Моде"...
И вот по "счастливой" случайности этот самый мой Зомби-Мод сервер работал на Линуксе, и при установке этого плагина Зомбез крашился при запуске и к сожалению, в течении некоторого времени многой всякой школоты при каждом удобном случае сразу же врубали своими погаными ручонками свои ДДОСилки и успешно сваливали Зомбез за минуту, стоило хоть в чем-то неугодить :D. Нет, админы невиноваты и сервак вполне нормальный, что их не устраивало, так и осталось для меня секретом).
При этом, я делал копию этого же Зомбеза на компе с Виндой, и вот почему-то на Винде этот плагин вполне успешно работал, а вот на Линухе, зараза, не хотел!
Теперь к делу:
Хочу с вами поделиться тем, как мне удалось решить эту проблему!
Я просто задал пару правил для линуховского iptables.. Точнее просто вбил пару строк в терминал!
iptables -A INPUT -p udp --dport 27016 -m hashlimit --hashlimit 50/s --hashlimit-burst 50 --hashlimit-mode srcip --hashlimit-name CSS -j ACCEPT
iptables -A INPUT -p udp --dport 27016 -j DROP
Где: 27016 - это порт Сервака, еще можно попробовать побаловаться с числом 50/s, но я себе поставил именно 50! Вбивайте и вы =)
После этого я тестил Зомбез несколькими програмками для ДОС-атак, среди которых был DDoS-ер с иконкой в виде лимона и CSS Server Lagger и Зомбез короче от них даже не пошевелился (хотя до этого любая из них сваливала Сервак за минуту).
Только одна програмка смогла поднять пинг до 200, но к счастью ее автор (програмки) эту прогу не распространяет и никому не дает =) !!!
Можно прописать и другие правила, для более точной фильтрации!
iptables -A INPUT -p udp -m udp --dport 27016 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p udp --dport 27016 -m state --state NEW -m hashlimit --hashlimit 100/s --hashlimit-burst 100 --hashlimit-mode srcip --hashlimit-name TF -j ACCEPT
iptables -A INPUT -p udp --dport 27016 -j DROP
Здесь также можно попробовать изменить число 100, но мне кажется 50 или 100 - нормально!
Еще команды для iptables:
iptables -L -n - показывает уже существующие правила!
iptables -F - сбрасывает все правила!
>>>Не помогли мне эти правила для моего Линуховского серва, все равно ДДОСят, можно ли еще что-то придумать?<<<
Можно попробовать осилить эту статью -> <ССЫЛКА>
Или можно сделать так!
Ставите плагин DoS Attack Fixer (DAF) и в настройках включаете логирование! Далее, если произошла DDoS-атака, смотрите в логе с какого IP-адреса была атака, и баните IP-адрес через iptables! Бан по iptables - вещь очень надежная, на себе проверял =) !
Оффтоп: хотя и написано что этот плагин DAF защищает сервер от ДДОСа, но по моему мнению и опыту, ни фига он не защищает (Во всяком случае от лимона не спасал)
Банить через iptables надо так:
iptables -A INPUT -s xxx.xxx.xxx.xxx -j DROP
Где xxx.xxx.xxx.xxx - это IP-адрес нарушителя!
Если нарушитель имеет динамический IP, сменил IP и ДДОСит дальше, то баним подсеть или несколько подсетей!
iptables -A INPUT -s xxx.xxx.xxx.0/24 -j DROP
Пример:
iptables -A INPUT -s 187.34.232.0/24 -j DROP -> Так мы забаним по iptables диапазон IP-адресов от 187.34.232.0 до 187.34.232.255
Разбан так:
iptables -D INPUT -s xxx.xxx.xxx.xxx -j DROP
Примечание 1:
Кстати, Бан по iptables вроде как не Банит на сервере CS:S, то есть Юзер, забаненный по iptables, сможет играть на вашем Серваке, но не сможет ДДОСить!
Примечание 2:
И еще, эти все правила и Баны предотвращают только от внешних DDOS-атак, т.е. когда можно ДДОСить через всякого рода програмы-флудилки, не заходя на Сервер! Для скриптов, которые флудят командами в консоль на самом серваке можно попробовать использовать Античит KAC!
P.S. Удачи вам и никаких DDoS-атак! Если что еще надыбаю, обязательно отпишусь!
Последнее редактирование:
