Как защитить сервер CS:GO от лагов (фильтрация пакетов на любом порту)

[Alley]

Защита от атак на сервер CS:GO с помощью iptables


Данное правило iptables предназначено для фильтрации специфических TCP-пакетов, которые часто используются лаггерами на сервера CS:GO:

iptables -t raw -A PREROUTING -p tcp --dport 27015 -m length --length 1400:1500 -m string --hex-string "|0000000000000000|" --algo bm --from 40 --to 48 -j DROP

Разбор параметров:

• -t raw: используется таблица raw, которая обрабатывает пакеты до всех остальных (высокий приоритет).
• -A PREROUTING: правило применяется к входящим пакетам до маршрутизации.
• -p tcp --dport 27015: фильтруются TCP-пакеты, направленные на стандартный порт игрового сервера.
• -m length --length 1400:1500: ограничение по длине пакета. Выбирается диапазон, характерный для краш-атак.
• -m string --hex-string "|0000000000000000|": ищется конкретная сигнатура в шестнадцатеричном виде.
• --algo bm: используется алгоритм поиска Boyer-Moore, оптимальный для коротких сигнатур.
• --from 40 --to 48: область поиска по смещению в пакете, чтобы ускорить проверку.
• -j DROP: пакеты, соответствующие условиям, безвозвратно отбрасываются.

Самый простой метод фикса если tcp соединения вам не нужны

sudo iptables -A INPUT -p tcp --dport 27015 -j DROP

Protection Against Attacks on a CS:GO Server Using iptables


This iptables rule is intended to filter specific TCP packets that are often used in crash attacks targeting CS:GO game servers:

iptables -t raw -A PREROUTING -p tcp --dport 27015 -m length --length 1400:1500 -m string --hex-string "|0000000000000000|" --algo bm --from 40 --to 48 -j DROP

Explanation of parameters:

• -t raw: Uses the raw table, which processes packets before all other tables (high priority).
• -A PREROUTING: Applies the rule to incoming packets before routing.
• -p tcp --dport 27015: Filters TCP packets directed to the standard game server port.
• -m length --length 1400:1500: Limits packet size. This range is typical for crash attacks.
• -m string --hex-string "|0000000000000000|": Searches for a specific signature in hexadecimal format.
• --algo bm: Uses the Boyer-Moore string matching algorithm, optimal for short signatures.
• --from 40 --to 48: Sets the offset range for where to search in the packet to speed up inspection.
• -j DROP: Silently drops packets that match the rule criteria.

The simplest fix method if you don't need TCP connections:

sudo iptables -A INPUT -p tcp --dport 27015 -j DROP

 

[drunkandhotgirls]

Возникает только один вопрос, почему TCP порт у гейм сервера открыт? Игра принимает UDP.
На GAME хостингах по умолчанию TCP порт закрыт и такая атака не пройдет.

Ну ладно, для RCON TCP может пригодится, но можно же грамотно отфильтровать

Какой же с тебя тех админ если ты таким костылем фиксишь? Вместо того чтобы закрыть TCP порт игрового сервера...

Ладно, это даже не твой фикс, но как ты такую хуйню мог запостить с таким "опытом"?
Половина тобой "разработанного" (плагины) это с помощью нейросети ты даже не смог комментарии в коде убрать. LLM работаем, щитпостим по полной.
И кредиты укажи)

shoutout to artem