Глобальная защита игрового сервера

[xXMaXimXx]

Людям с форума при нужде я помогал, они не дадут соврать. А таким как ты - никогда

Попробуйте установить сторонний файервол, настройте его. В конец уже, погуглите, какие есть, как настраивать и т.д.

 

[Черная вдова]

Людям с форума при нужде я помогал, они не дадут соврать. А таким как ты - никогда

Вот и тебе по той же причине не помогают тебе
Твой ответ такой логичный, что я сразу понял о полной бессмысленности пытаться тебе что то разумное отвечать, держи зеркало

 

[mika]

Не, ну вот если без приколов, то есть одна вещь, что может помочь домашним хостерам:

Спойлер

 

[ourservers]

Есть атака, которую нужно для начала принять, т.е иметь определённые мощности, потом отфильтровать грязный трафик, потом уже направить его вам - обычные домашние провайдеры этого не делают, для них клиент - человек выходящий в интернет, а не раздающий, атак по умолчанию не предусмотрено, так как бессмысленно атаковать того кто просто ходит по сайтам.

Вы же решили устроить дома хостинг, получаете атаку в 1гб\с, как только полоса выходит за пределы вашего тарифного плана, к примеру 100мб\с, у вас интернета уже нет, он засран левыми пакетами, просто нагружая полосу пропускания вы теряете интернет, а не потому что вы не прописали правила iptables, DDOS НЕ фильтруется на сервере, где НЕТ нужной мощности для принятия атаки, это НЕ возможно, вы могли "дофильтровать" более правильно.
iptables мог бы помочь, если бы 90% атаки отфильтровал заранее ваш провайдер, а вы лишь провели более тщательную фильтрацию на самом сервере, но так что бы сервер был доступен в любом из случаев, если он и без iptables лежит - то будет лежать и с ним.

 

[xXMaXimXx]

Есть атака, которую нужно для начала принять, т.е иметь определённые мощности, потом отфильтровать грязный трафик, потом уже направить его вам - обычные домашние провайдеры этого не делают, для них клиент - человек выходящий в интернет, а не раздающий, атак по умолчанию не предусмотрено, так как бессмысленно атаковать того кто просто ходит по сайтам.

Вы же решили устроить дома хостинг, получаете атаку в 1гб\с, как только полоса выходит за пределы вашего тарифного плана, к примеру 100мб\с, у вас интернета уже нет, он засран левыми пакетами, просто нагружая полосу пропускания вы теряете интернет, а не потому что вы не прописали правила iptables, DDOS НЕ фильтруется на сервере, где НЕТ нужной мощности для принятия атаки, это НЕ возможно, вы могли "дофильтровать" более правильно.
iptables мог бы помочь, если бы 90% атаки отфильтровал заранее ваш провайдер, а вы лишь провели более тщательную фильтрацию на самом сервере, но так что бы сервер был доступен в любом из случаев, если он и без iptables лежит - то будет лежать и с ним.

Я Уже выше человеку объяснил. Хотя бы для какой то "защиты", настроить iptables, нежели установить файервол сторонний. В какой-то степени это должно помочь но, в лучшем случае игнорировать атаку. Мой проект долбили почти пол месяца. Я не опустил руки, искал решение очень долго, поставил файервол настроил, и те, кто атаковал мой проект, грубо говоря соснули, и перестали этим заниматься. Что самое главное, те, кто меня атаковал, сами же мне давали подсказки, чтобы как то обезопасить сервер.

Вывод тут понятен. Чтобы лишний раз не напрягать свои булки, и других людей разбирающихся в подобных делах. Просто забить болт и ждать.

 

[kleuser]

Засрали тему своими мего советами, о которых вас даже не просили. Человек просто хотел собрать все методы какие есть в одной теме, а не слушать, что домохост говно - это и так понятно.

 

[Kruzya]

Спойлер: Что-то вроде оффтопа, но не совсем

есть защита от ддоса с одного IP через правила IPtables, на форуме где то валяется.

Вам в трубу заливают говно. Вместо того, чтобы очистить её, Вы затыкаете трубу пальцем. Теперь говна нет, но и вода пробиться не может, ибо труба засрана.
Аналогия ясна?

Если нет - толку от правил файрвола на конечном сервере нет. Нужно фильтровать до поступления на тачку, и желательно, чтобы на фильтрующей железке был шире канал, иначе эффект будет тот же.

приобрести маршрутизатор / роутер с нормальной защитой и который справится с нагрузкой хотя бы 500 мб/c

Толку от ширины канала в 500мб/сек на маршрутизаторе, если провайдер режет Вам канал в 100мбит?
Единственный плюс такого приобретения будет - канал с запасом. И то, чисто локальный. Во внешку, и к Вам, всё равно не смогут выходить на такой скорости.

Нормальный человек если видит проблему у другого, всегда поможет...

Это не всегда так работает, к сожалению.

Тему почистить надо, и закрепить...

Закрываем все лишние порты (да-да, банальность) во внешнюю сеть. Если очень нужно иметь доступ к какому-то порту - настраиваем вайтлист.
В случае с Linux, и, если очень нужен SSH, торчащий в весь мир - failban и настроить немного.

Вообще, в моём понимании, наружу должно торчать только то, что действительно необходимо. В случае игрового сервера - только UDP-порт самого сервера. Если сайт есть, который юзает RCON этого самого сервера - ещё TCP, но только для конкретного IP-адреса сайта.
Можно порезать кол-во трафика в секунду/минуту на порт с одного адреса. Вычислить "нормальное" потребление трафика одним клиентом, и поставить. Клиент TF2, например, сжирает ~35 мегабайт в час (при условии, что сервер полон (24/24)), потому серверу TF2 можно поставить ограничение в 50 мбайт на час для одного клиента. Этого более чем достаточно.

Для SRCDS можно задать лимиты по обработке A2S запросов. Может снизить нагрузку на железо и сеть (но не сильно), если флудят им. Конвары называются sv_max_queries_sec и sv_max_queries_sec_global. Прямо сильно занижать значения - не стоит.
Ещё стоит проверить, выключена ли обработка старого формата запросов: sv_enableoldqueries.

 

[RoadSide Romeo]

@Крузяра блин, надо это куда-нибудь сохранить...

 

[kleuser]

Сегодня Valve добавили некоторые настройки для защиты. Может будет полезно кому нибудь.

– Добавлена настройка игрового сервера "net_chan_limit_msec", которая позволяет операторам сервера ограничить количество времени обработки, которое игровой сервер может потратить на обработку пакетов для каждого клиента за тик. Клиенты, отправляющие пакеты, из-за которых время обработки ЦП сервера превышает заданное количество миллисекунд, будут выгнаны с игрового сервера.
– Добавлена настройка игрового сервера "net_chan_stats_dump", которая при включении будет сбрасывать статистику каждого сетевого канала, когда этот сетевой канал закрыт. Статистика включает сообщения, пропускную способность и разбивку времени обработки ЦП.