DDoS-защита Linux'овского сервера через правила iptables

[kleuser]

@2 joints, я не думаю, что это лоиком так ддосят. Я раньше держал сервер WOW, и меня ддосили лоиком, но там я мог определить ip атакующего, и забанить его, а сейчас идет именно SYN,и никак не определить кто посылает это дерьмо, даже роутер в логах пишит что SYN атака.

Ладно че поделать, пока потерплю, ведь онлайн ему сбить не выходит, народ всеравно играет :D. Потом придется искать хост недорогой.

 

[Monomizer]

@kleuser, Дай в лс адрес сервера, гляну, чем "школьники" развлекаются + игру укажи
Вообще я давным давно для таких целей использовал kerio winroute firewall
Правда вот не знаю, в связке с роутером поможет или нет, но для домохоста для меня это был единственный вариант
(Сегодня попробую собрать стенд и протестировать, как спалится атака)
Сервера работаю в vbox или win?

 

[kleuser]

@Monomizer, Да уже вроде угомонился школьник.

Сервера работаю в vbox или win?

отдельный комп с linux'ом, я же писал что домохост временный )
--- Добавлено позже ---
Вообще я так подумал, что это роутер не выдерживает и отрубается :ab:
--- Добавлено позже ---
Опять начал ддосит мелкий упырь)
--- Добавлено позже ---
А есть какие ни будь правила iptables для фильтрации udp порта ? в инете везде в правилах написано tcp
--- Добавлено позже ---
Нашел вот такую фигню. С ней дропает инет, и зайти нельзя вообще на серв :lol:

sudo iptables -N udp-flood
sudo iptables -A OUTPUT -p udp -j udp-flood
sudo iptables -A udp-flood -p udp -m limit --limit 50/s -j RETURN
sudo iptables -A udp-flood -j LOG --log-level 4 --log-prefix 'UDP-flood attempt: '
sudo iptables -A udp-flood -j DROP

 

[WINS]

Вообще я так подумал, что это роутер не выдерживает и отрубается

мыльницороутеры ложатся быстрее чем сам интернет :) 100к ппс и он спит не пробуждаясь, трафик при этом не превышает 70-80мб

...используются прокси и атака перенаправляются на случайные ip 255.255.255.255...

тсп протокол, широковещательные адреса и проскы?) очень интересная теория))
любой нормальный пров дропает все эти касты, чтоб школотень в локалках не баловалась

 

[MaEStro71]

Как правильно забанить подсеть, чтоб нельзя было зайти на сервер?

 

[bigbrain911]

Кто может подсказать по правилу:
-A INPUT -p udp -m udp --dport 27000:28000 -m hashlimit --hashlimit-upto 150/sec --hashlimit-burst 100--hashlimit-mode srcip --hashlimit-name CSS -j ACCEPT
-A INPUT -p udp -m udp --dport 27000:28000 -j DROP

Интересуют 2 параметра:
hashlimit-upto 150/sec - как я понял это количество пакетов в сек с одного клиента
hashlimit-burst 100 - не ясен механизм работы, в мануалах пишут разное, где то пишут что это счетчик срабатываний, где то что это резерв для переполнения hashlimit-upto, может кто то более доступно объяснит что и на что влияет.

 

[w0key]

hashlimit-burst
При привышение значения задержка на установку соединения будет возрастать
Ну типа чем больше пакетов пропустил, тем дольше будет устанавливаться соединение

 

[xek]

Вся эта защита для cs go работает?)

 

[CAH4E3]

Вся эта защита для cs go работает?)

Хоть для мафии, если ты там сервак сможешь запустить.

 

[xek]

Хоть для мафии, если ты там сервак сможешь запустить.

Ну просто вдруг досы другие для cs go, которые обходят эти пути

 

[BaFeR]

Подскажите способ справиться со спамом Socket ProcessAccept Error: Too many open files
Ну какие правила точно сработают?

 

[Fire]

>> Too many open files -- ulimit ?

 

[Иннова]

Ребята может у кого есть правила iptables от TSource Engine Query флуда ? для csgo то что в теме не помогает

 

[WINS]

iptables -A INPUT -m string --string 'TSource' --algo bm -m limit --limit 15/s --limit-burst 1 -j ACCEPT,
iptables -A INPUT -m string --string 'TSource' --algo bm -j DROP"

п.с. рандомно напихать правил в иптаблес мало, ничего не заработает...

 

[valerastar]

Простите что буду "на своей волне", но если мой хостинг гарантирует защиту от ддос даже L7, есть еще толк от этик кронтабов, или полагаться на добрые слова хостера?
(Да, тема с 2010, спустя 10 лет проснулся и я :D)

 

[will_rock]

Простите что буду "на своей волне", но если мой хостинг гарантирует защиту от ддос даже L7, есть еще толк от этик кронтабов, или полагаться на добрые слова хостера?
(Да, тема с 2010, спустя 10 лет проснулся и я :D)

каких кронтабов) это правила iptables и тебе они ни к чему если ты игровой хостинг используешь

 

[valerastar]

каких кронтабов) это правила iptables и тебе они ни к чему если ты игровой хостинг используешь

ой, читал еще 2 темы попутно и опечатался) iptables, да) Ну и спасибо за совет)

 

[Lappland_Saluzzo]

Вы забыли про TCP подключения. Создайте правила ограничивающие подключения к игровому TCP порту. Примерно 3 раза в секунду.

Вы защищаете UDP сокеты, и совсем забываете про TCP, а ведь на TCP держится RCON подключение.

 

[Vyacheslav]

Всем привет!
Дома стоит отдельное железо с установленной CentOS 7
Установил CSS v91 server
Заходит какой-то типок и юзает программу Methamphetamine.Solutions (Это он мне потом сказал название)
И меня выкидывает с сервера
Disconnect: Buffer overflow in net message
Что посоветуете?)
Какие правила
И на данный момент стоит firewalld по стандарту я там только один порт открыл и всё
Ещё имеется роутр Keenetic Giga KN-1010 можт в нём что то настроить?

 

[NaN]

Ещё имеется роутр Keenetic Giga KN-1010 можт в нём что то настроить?

на роутерах для домохозяек вы ничего толком не настроите.