Пакетный Dos

[GeParD]

День добрый.



Сразу объясню суть:
1. На сервер коннектится игрок с ip: x.x.x.x ( причем полноценно заходит и играет на нем).
Через N время заходят еще пару игроков с никами 1,2,3,4 под тем же самым IP адрессом.
Сервер пишет что заходит игрок с таким то ником, адрессом - но в игру он не заходит полностью - тобеж своего рода подвисает где то на уровне коннекта и притом данный коннект сохраняется и остается рабочим. (открываем ТАБ, данных игроков нету, пишем статус и в статусе видно игроков 1,2,3).
После чего сервер начинает жестко лагать и в результате падает.

(тобеж чувствуется что заходили с эмулятора клиента т.к зайти на сервер несколько раз с одного клиента не возможно)

2. Видимо он обновил свою программу.

05:06:36: "<5><STEAM_ID_PENDING><>" connected, address "*:2494"
05:06:37: "<5><STEAM_0:0:*><>" STEAM USERID validated
05:07:00: "<5><STEAM_0:0:*><>" disconnected (reason "Connection closing")
05:07:00: "<6><STEAM_ID_PENDING><>" connected, address "*:2494"
05:07:00: "<6><STEAM_0:0:*><>" STEAM USERID validated
05:07:16: "<6><STEAM_0:0:*><>" disconnected (reason "Connection closing")
05:07:16: "<7><STEAM_ID_PENDING><>" connected, address "*:2494"
05:07:16: "<7><STEAM_0:0:*><>" STEAM USERID validated
05:07:31: "<7><STEAM_0:0:*><>" disconnected (reason "Connection closing")

На сервер удаленно заходит игрок, авторизуется и сервер подвисает на это моменте:

05:07:00: "<6><STEAM_0:0:*><>" STEAM USERID validated
05:07:16: "<6><STEAM_0:0:*><>" disconnected (reason "Connection closing")

1. на сервере стоит Анти-дос.
2. на сервере стоит КАС.
3. Не важно стоит на сервере Мани админ или нет, никакой разницы от результата нету)
4. Все коннекты, флуд, дисконнекты происходят до обработки SourceMod'a
(Минимум на уровне Сервера, максимум на уровне обработки эмулятора стима.
5. Ос: Win64 Server с Firewall.
Все адресса взлома являются проксями. я долго пытался блочить диапазоны этих адрессов, в результате он каждый раз находил все новые и новые.

Вот дополнительные логи:

Client "☺" connected (*:2494).
Netchannel: unknown net message (22) from *:2494.
*:2494:reconnect
Dropped ☺ from server (Connection closing)
Client "☺" connected (*:2494).
Netchannel: unknown net message (22) from *:2494.
*:2494:reconnect
Dropped ☺ from server (Connection closing)
Client "☺" connected (*:2494).
Netchannel: unknown net message (22) from *:2494.

 

[Andrey]

http://hlmod.ru/forum/obshie-voprosy/2823-pravila-sozdaniya-tem-obyazatelno-k-prochteniu.html

1. Какая версия сервера?
2. Сервер лицензионный или с эмулятором?

 

[oblomkrs]

3. Не важно стоит на сервере Мани админ или нет, никакой разницы от результата нету)

да нет это важно потому как есть скрипт антибана на дырявую маньку вот похоже они таким способом и заходят(то есть их нету в списке банов а при нажатие на таб они под другими никами)И вообще для чего заходить на серв чтоб досить

 

[GeParD]

http://hlmod.ru/forum/obshie-voprosy/2823-pravila-sozdaniya-tem-obyazatelno-k-prochteniu.html

1. Какая версия сервера?
2. Сервер лицензионный или с эмулятором?

Извините забыл.

4044 v34 Эмулятор Estimation 1.8 вроде или 1.9.
патченый.

да нет это важно потому как есть скрипт антибана на дырявую маньку вот похоже они таким способом и заходят(то есть их нету в списке банов а при нажатие на таб они под другими никами)И вообще для чего заходить на серв чтоб досить

Нет.
Взлом происходит 100% удаленно и Мало вероятно что с клиента (скорее с эмулятора).

Поясню еще 1 момент который был замечен.
На сервере 0 активных игроков. (тобеж зайдя на сервере вы будите 1)
в статусе их 7 включая вас !!!

повторюсь клиент коннектится на сервер и дальше нигде его нету кроме как в статусе.
(примето и IP и стимак и ID все как у нормального игрока но физически его нету !)

Правила создания тем. Обязательно к прочтению.
[/QUOTE]

Простите за неуважение, но ни гугль, ни яндекс недал результата.

Client "☺" connected (*:2494).
Netchannel: unknown net message (22) from *:2494.
*:2494:reconnect
Dropped ☺ from server (Connection closing)

Если подобное уже обсуждалось где либо на этом форуме - Извиняюсь сразу.


P.s
Примерно месяц назад подобные адреса так же досили мой сервер и очень любопытным способом.
Удаленый взлом Rcon пароля с нескольких адресов.
Суть данных действий скорее всего было не получить Rcon пароль, а задосить сервер (в полне удачно получилось).

Сколько я не пытался воспроизвести данный дос, я получал бан сразу (лимит)
Но данный человек мало того, что смог произвести удачный дос, но так же обойти систему лимита Rcon проверки.
Тобеж за каждую 2 попытку сервер банил IP адресс взломщика и не удачно. IP Просто не добавлялся в список. (как будто просто не работает).
Дырку эту я залатал.
И если есть люди которые хорошо умеют писать на уровне сокетов, я подскажу как закрыть этот дос.

 

[_Lexa_]

та же история была месяц назад забанил весь диапазон через iptables в linux
в моем случае вообще серв положили, пришлось ехать к серверу.
какой ип у нарушителя-злодея?

 

[GeParD]

Диапазонов большая туча, но в обоих случиях (что месяц назад что сейчас) они почти одинаковы

173.0.*.*
88.191.59.*
194.255.48.*
213.184.241.*
188.138.30.*
92.54.86.*
46.72.37.*
94.23.215.*
81.169.173.*
90.5.133.*
109.169.23.*
и. т. д.

Это малая часть диапазонов который были заблокированы.

У кого есть какие либо идеи, предложения, возможные решение ?

Как предположение:
Бот коннектится, посылает большое количество запросов или пакетов, после чего выходит.

Фаервол штука конечно хорошая... но и она далеко не все может выручить..
буду надеятся на предложения по решению данной проблемы со стороны сервера.

а решений я вижу пока 2..
Либо блокировать и контролировать данный процесс со стороны метамода (писать)
либо.. я думаю есть все же возможность взаимодействовать как то со стороны SourceMod и модуля Sockets.