Вещи для защиты игрового сервера

[WINS]

конечно винда непричем, только вот обычно вендоводы страдают параноей, а обычным смертным хватает лимита пакетов в ип таблес.
собственно про ресурсоемкость такой фильтрации я и говорил. это в штатных режимах все норм будит, а если флуд? ладно если с 1-2 ип, прибанить недолго, а если спуф ип (вот тогда серв и нагнется)

 

[MutaGen]

И так, дальнейший текст для не виндузятников.
Лимиты это хорошо.
Но на мой взгляд этого маловато =) Все же надо бы...
Запретить опасные ICMP

iptables -A INPUT -p icmp -icmp-type 3,8,12 -j ACCEPT
iptables -A OUTPUT -p icmp -icmp-type 0,3,4,11,12 -j ACCEPT

Простая защита от DoS-атаки

iptables  -A  INPUT  -p  tcp  -m tcp  --tcp-flags  SYN,ACK,FIN,RST RST  -m limit  --limit  1/s  -j ACCEPT

Защита от спуфинга

iptables -I INPUT -m conntrack --ctstate NEW,INVALID -p tcp --tcp-flags SYN,ACK SYN,ACK -j REJECT --reject-with tcp-reset

Защита от попытки открыть входящее соединение TCP не через SYN

iptables -I INPUT -m conntrack --ctstate NEW -p tcp ! --syn -j DROP

Так же не забываем о крорявых пакетах, как то так..

iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP

Ну встречаются и пустые пакеты оно тоже нах...

iptables -A INPIT -p tcp --tcp-flags ALL NONE -j DROP

!Внимание! Это не инструкция, это направление в котором копать =))
Наброски правил для UDP(тут вспоминаем о игровых серварах), будет домашнем заданием для наших читателей. Тырк по теме Для начала :-D

 

[Евлампий Отжигалов]

Добрый день, у меня такая беда, коннектится упырь и что-то пишет в консоле, в этот момент у него играет музыка в микрофоне, вдруг бац и всех игроков кикает с сервера.Я его баню по стим иду, но через 30 секунд он снова заходит, но с другим стим ид!Очень нужна помощь, сервер пишет

Спойлер

Netchannel: failed reading message clc_VoiceData from 77.79.139.227:27005.
Netchannel: failed reading message clc_Move from 109.171.19.24:27005.
Netchannel: failed reading message clc_VoiceData from 77.79.139.227:27005.
Netchannel: failed reading message clc_VoiceData from 109.171.19.24:27005.
Netchannel: failed reading message net_Tick from 109.171.19.24:27005.
Netchannel: failed reading message net_Tick from 109.171.19.24:27005.
Netchannel: failed reading message clc_Move from 77.79.139.227:27005.

 

[MutaGen]

Евлампий Отжигалов,
Есть мнение, что это человек с спидхаком и "большим" звуковым файлом...
В общем генерируется большой трафик, ваш сервер рассылает всем игрокам его =) Отсюда и проблемы...
Первое что приходит в голову, забанте его по ip или вАпще всю его подсеть.
Где то мне попадалось решение этой печальки =) сейчас не вспомнить .
Зы Точнее забанить два айпи или две подсети

 

[Евлампий Отжигалов]

MutaGen, а неподскажите как подсеть его забанить, а то несилен в программировании, в консоле sm_banip 111.222.333.444 0, так?
на сервере стоит дблокер, настройка Оффтоп

db_active 1
db_anti_purebypass 0
db_anti_speedhack 1
db_check_viewangles 1
db_anti_noflash 0
db_show_steamid_on_connect 0
db_anti_wallhack 0
db_check_cvars 0

 

[MutaGen]

MutaGen, а неподскажите как подсеть его забанить, а то несилен в программировании, в консоле sm_banip 111.222.333.444 0, так?
на сервере стоит дблокер, настройка Оффтоп

db_active 1
db_anti_purebypass 0
db_anti_speedhack 1
db_check_viewangles 1
db_anti_noflash 0
db_show_steamid_on_connect 0
db_anti_wallhack 0
db_check_cvars 0

Там у тебя два айпи приведены.
Если посмотреть, что же это за адреса такие, то видим следующие:
77.79.139.227

Спойлер

% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http: //www.ripe.net/db/support/db-terms-conditions.pdf

% Note: this output has been filtered.
% To receive output for a database update, use the "-B" flag.

% Information related to '77.79.128.0 - 77.79.159.255'

inetnum: 77.79.128.0 - 77.79.159.255
netname: UBN
descr: JSC "Ufanet"
descr: Ufa, Russia
country: RU
admin-c: VG565-RIPE
tech-c: NT206-RIPE
status: ASSIGNED PA
mnt-by: UBN-MNT
source: RIPE # Filtered

% Information related to '77.79.128.0/18AS24955'
route: 77.79.128.0/18
descr: JSC "Ufanet", Ufa, Russia
origin: AS24955
mnt-by: UBN-MNT
source: RIPE # Filtered

В теории у этого игрока может быть любой айпи из 77.79.128.0/18
Поэтому баним 77.79.128.0
Тут надо понимать, что не один человек из Ufanet не сможет поиграть.

Второй айпи 109.171.19.24

Спойлер

% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http: //www.ripe.net/db/support/db-terms-conditions.pdf

% Note: this output has been filtered.
% To receive output for a database update, use the "-B" flag.

% Information related to '109.171.0.0 - 109.171.63.255'

inetnum: 109.171.0.0 - 109.171.63.255
netname: ZSTTK-RTL-NET
descr: JSC "Zap-Sib TransTeleCom"
descr: Komsomolqskijj Avenue, 1/4
descr: 630004, Novosibirsk
country: RU
admin-c: DVV20-RIPE
tech-c: ZTTK-RIPE
status: ASSIGNED PA
mnt-by: ZSTTK-MNT
source: RIPE # Filtered

% Information related to '109.171.0.0/17AS21127'
route: 109.171.0.0/17
descr: RU-ZSTTK-20091126
origin: AS21127
mnt-by: ZSTTK-MNT
source: RIPE # Filtered

Тут придется банить 109.171.0.0
Zap-Sib TransTeleCom весь в бане окажется и даже немножко больше )))

Что такое "дблокер" я незнаю =/
Нужно что бы в списке забаненых оказалось два таких адреса:
109.171.0.0 и 77.79.128.0
По идее должно работать.

 

[Myxa59rus]

Всем привет!
Вот проблема у меня сервер на 32 слота все норм, но иногда, а даже частенько кикает с сервера по 10-12 человек с сервера и пишет им проблема с буфером. Подскажите вчем причина?
Плагины:
sm plugins list

Спойлер

[SM] Listing 46 plugins:
01 "Admin File Reader" (1.4.1) by AlliedModders LLC
02 "Admin Help" (1.4.1) by AlliedModders LLC
03 "Admin Menu" (1.4.1) by AlliedModders LLC
04 "Advertisements" (0.6.2) by Tsunami, Otstrel.ru Team
05 "AFK Manager" (3.4.3) by Rothgar
06 "Anticamp Source" (1.0.9.1a) by Blade
07 "Anti-Flood" (1.4.1) by AlliedModders LLC
08 "Anti-Ping Mask" (1.6.0) by atom0s
09 "Anti-Reconnect" (1.1.5) by exvel
10 "Anti-TK" (1.1.3) by Rothgar
11 "Basic Chat" (1.4.1) by AlliedModders LLC
12 "Basic Comm Control" (1.4.1) by AlliedModders LLC
13 "Basic Commands" (1.4.1) by AlliedModders LLC
14 "Basic Info Triggers" (1.4.1) by AlliedModders LLC
15 "Basic Votes" (1.4.1) by AlliedModders LLC
16 "Client Preferences" (1.4.1) by AlliedModders LLC
17 "CSS Bank" (1.4.4) by Miraculix
18 "Fun Commands" (1.4.1) by AlliedModders LLC
19 "Fun Votes" (1.4.1) by AlliedModders LLC
20 "Halftime teamswitch" (1.0.11) by [30+]Gemeni
21 "High Ping Kicker" (2.9) by Liam
22 "HANSE Reserved Slots" (1.5) by red!
23 "IRC Relay - Modules" (2.5.0) by InterWave Studios
24 "IRC Relay" (2.5.0) by InterWave Studios
25 "KillStats" (1.1) by Deception5
26 "Knife Fight" (1.3.8) by XARiUS, Otstrel.Ru Team
27 "mapchooser_snd.smx"
28 "Nextmap" (1.4.1) by AlliedModders LLC
29 "NoBlock" (1.4.2) by Otstrel.ru Team
30 "Map Nominations" (1.4.1) by AlliedModders LLC
31 "Player Commands" (1.3.7) by AlliedModders LLC
32 "Players Votes" (1.5.0) by The Resident, pZv!
33 "PsychoStats Interface Plugin Rearmed" (0.95) by Axon
34 "Quake Sounds" (1.8) by dalto
35 "QuickDefuse" (0.3) by Translate oT Frol
36 "Rock The Vote" (1.4.1) by AlliedModders LLC
37 "RoundSndWin" (2.0) by InCognIto
38 "Save Scores" (1.3.4) by exvel
39 "SourceMod Anti-Cheat" (0.7.5.8) by GoD-Tony, psychonic
40 "SMAC Aimbot Detector" (0.7.5.8) by GoD-Tony
41 "SMAC ConVar Checker" (0.7.5.8) by GoD-Tony, psychonic, Kigen
42 "SMAC Eye Angle Test" (0.7.5.8) by GoD-Tony, psychonic
43 "Sound Commands" (1.4.1) by AlliedModders LLC
44 "SourceBans" (1.4.9) by SourceBans Development Team
45 "SuperLogs: CSS" (1.2.4) by psychonic
46 "Weapon Restrict" (2.3.5) by Dr!fter

server.cfg:
// server cvars

Спойлер

mp_friendlyfire 1
mp_footsteps 1
mp_autoteambalance 1
mp_flashlight 1
mp_tkpunish 0
mp_forcecamera 1
sv_alltalk 0
sv_pausable 0
sv_cheats 0
sv_pure 0
sv_consistency 1
sv_allowupload 1
sv_tags "no-steam"
sv_allowdownload 1
net_maxfilesize 128
sv_airaccelerate 10
sv_maxspeed 320
mp_limitteams 1
mp_hostagepenalty 4
mp_allowspectators 1
mp_chattime 10
sv_timeout 100

//mp_dynamicpricing 0
mp_autokick 1
mp_spawnprotectiontime 5
mp_autocrosshair 0
mp_fadetoblack 0
sv_friction 4
sv_gravity 800
sv_stepsize 18
sv_stopspeed 75
mp_decals 200
fps_max 0

sv_voiceenable 1
sv_minrate 10000
sv_maxrate 30000
sv_minupdaterate 33
sv_maxupdaterate 66
sv_mincmdrate 33
sv_maxcmdrate 66
sv_client_cmdrate_difference 1
sv_client_interpolate 1
sv_client_predict 1
sv_client_min_interp_ratio 2
sv_client_max_interp_ratio 3
sv_use_steam_voice 0
sv_interp 0.04

// round specific cvars
mp_freezetime 3
mp_buytime .30
mp_roundtime 2.30
mp_startmoney 800
mp_c4timer 30
mp_fraglimit 0
mp_maxrounds 0
mp_winlimit 0
mp_playerid 0
mp_timelimit 30



// operation
sv_lan 0
sv_region 3

exec banned_user.cfg
exec banned_ip.cfg
writeid
writeip

sm_perplayer_restrict 1
sv_turbophysics 1


log on
sv_logbans 1
sv_logecho 1
sv_logfile 1
sv_log_onefile 0
mp_logdetail 3
mp_logmessages 1

mp_holiday_nogifts 1

 

[KorDen]

ВОпросик небольшой: может мне кто подсказать названия популярных прог для атаки серверов, или содержимое пакетов? Потому как вроде как DoS Protect что-то отбивает, но если я cам начинаю проверять устойчивость с каким нибудь бредовым TCP/UDP сообщением вроде qwertyuiopasdfghjklzxcvbnm то сервер начинает лагать. (а я проверяю, не мелочась, LOIC'ом - потому как прог что-то толком не могу найти,то что нахожу - вирусы обычно (не надо говорить что антивирусы будут любой ддос определять как вирус, это уже видно по поведению программы при пробном запуске на виртуалке), а я сомневаюсь что кто-нибудь из атакующих настолько серьезен, что будет использовать LOIC...)

 

[MutaGen]

Это-же мой IP :)

Методика заключается в том чтобы "загонять" всем музыку в разы быстрее, тем самым создавая большой трафик

Об этом я и писал...
А чей там айпи мне неважно=) Пусть хоть 0.0.0.0 банят :-D

 

[Денис Раев]

Rcon locker / exploit fix не нужен если стоит SMAC Rcon Locker или все таки нужен?

 

[Phoenixcrazy]

Посоветуйте антечит для сервера CS Source кроме SourceMod Anti-Cheat и который не заблокирует работу этих плагинов Round End Sound, mapchooser + sound, Welcome Sound, Map Decals . А не то хотел поставить zBlock но вычитал что он не позволит загружать с сервака и я так понял эти плагины работать не будут. Хотя он идеально подходит для моих потребностей. Может кто то знает как избавится от этой проблемы с загрузкой у зеблока?

 

[Monomizer]

Phoenixcrazy,
У меня все плагины твои прекрасно работают с smac

 

[September]

Kac не?

 

[SCENARIST]

всем привет! проблема с сервером. Заходит какой то игрок и говорит сейчас твой сервер рассыпится, через несколько секунд сервер мертвый.
Стоит dosprotect,
в IPTABLESE
iptables -A INPUT -p udp -m udp --dport 27015 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p udp --dport 27015 -m state --state NEW -m hashlimit --hashlimit 100/s --hashlimit-burst 100 --hashlimit-mode srcip --hashlimit-name TF -j ACCEPT
iptables -A INPUT -p udp --dport 27015 -j DROP
Что бы ему свалить мой сервер, я так понял нужно войти на сервер и что-то сделать.
как сервер защитить от этой дряни, играть вообще не дают??
Заранее блогодарен

 

[RRR44RUS]

как сервер защитить от этой дряни

Ну... для начала неплохо было бы научиться пользоваться поиском... проблема в свое время коснулась многих, ну да не буду ломаться и открою тебе эту страшную тайну... обнови соурсмод до 1.4.2 и забудешь про таких ронятелей сервов!

 

[SCENARIST]

Ну... для начала неплохо было бы научиться пользоваться поиском... проблема в свое время коснулась многих, ну да не буду ломаться и открою тебе эту страшную тайну... обнови соурсмод до 1.4.2 и забудешь про таких ронятелей сервов!

Друг, если это так. Спасибо тебе что ответил на мой вопрос, сегодня обновлю свои сервера. СПАСИБО!

Добавлено через 16 минут
не помогает, у них какая то программа, коротая ломает сервер, лагов нет, просто вылетает и все.сервер у меня крутится на linux, собирал его сам. Говорят они лиговские сервера не могу свалить. Что еще посоветуете?

 

[RRR44RUS]

не помогает

На этом мои телепатические способности, увы, закончились(( Выкладывай планиг лист и все такое (что именно нужно см. в правилах создания тем!). После того, как выложишь даные о сервере,я уверен, тебе помогут! А я отправляюсь в отпуск на несколько дней!

 

[September]

Друг, если это так. Спасибо тебе что ответил на мой вопрос, сегодня обновлю свои сервера. СПАСИБО!

Добавлено через 16 минут
не помогает, у них какая то программа, коротая ломает сервер, лагов нет, просто вылетает и все.сервер у меня крутится на linux, собирал его сам. Говорят они лиговские сервера не могу свалить. Что еще посоветуете?

Выкладывай Свои Плагины и Настройки:)

Домашний Сервер или Хост? если Хост то какой?

 

[SCENARIST]

У меня дома стоит тачка linux, на нем крутится сервер
eta list
[01] SourceMod (1.4.2) by AlliedModders LLC
[02] DoS Protect (1.0.0.0) by ZombieX2.net
[04] SDK Tools (1.4.2) by AlliedModders LLC
[03] CS:S Tools (1.4.2) by AlliedModders LLC
[05] SDK Hooks (2.1.0) by Tsunami, psychonic
] sm plugins list
"Extra Cash" (0.2) by Peoples Army
"Admin Help" (1.4.2) by AlliedModders LLC
"Spawn with Armor" (0.1.0b) by fezh
"HeadShot Explode" (1.0) by tuty
"sm_deathbeam" (PLUGIN_VERSION) by Meng
"Basic Chat" (1.4.2) by AlliedModders LLC
"Rock The Vote" (1.3.7) by AlliedModders LLC
"Spray Tracer" (5.8a) by Nican132, CptMoore, Lebson506th
"Advanced admin commands" (0.16) by 3sigma
"Round End Sound" (0.0.1) by 456
To see more, type "sm plugins 11"
В

 

[Fab3r]

Андрей Муррррррррр, sm plugins list в консоле сервера а не игры вводится!