Защита игрового сервера от очень многих программ (IPTables)

MagoG

Если не Quasar, тогда что?
Сообщения
786
Реакции
517
@Dancebunny98, я может тему не до конца понимаю.Автор на 2019 год назвал это "защитой", что и правдивдо.Оно не защитит от 100% всего говна, что и чем можно убить пакеты сервера, но даст бесплатное и практичное решение для новичков.Это используют огромные компании, это используют игровые сервера.Это используют все.

Или же уже объясните мне, почему спустя 3 года, снова "критик" пришёл и называет это не защитой, хотя не почитал тему.Если называете это не защитой, предложите точное более детальное и хорошее решение, с инструкциями, как сделал автор.
 

Dancebunny98

Участник
Сообщения
154
Реакции
29
А вообще для таких как вы уже давно придуманы простые решения с готовыми правилами под
@Dancebunny98, я может тему не до конца понимаю.Автор на 2019 год назвал это "защитой", что и правдивдо.Оно не защитит от 100% всего говна, что и чем можно убить пакеты сервера, но даст бесплатное и практичное решение для новичков.Это используют огромные компании, это используют игровые сервера.Это используют все.

Или же уже объясните мне, почему спустя 3 года, снова "критик" пришёл и называет это не защитой, хотя не почитал тему.Если называете это не защитой, предложите точное более детальное и хорошее решение, с инструкциями, как сделал автор.
Если использовать только один IPtables (NetFilter) то это пустая трата времени и сил друг мой. Любая DDos-атака сможет банально вырубить ваш интернет.
Как я боролся с атаками и фильтровал интернет от ""о мой бог, нечистой силы"". Ну начнем с того, что все это: 1. не бесплатно. 2. не имеет смысла на делать если у вас один физический сервер и он слабый 3. вы ничего не понимаете в linux и пользуетесь только панельками.
 

MagoG

Если не Quasar, тогда что?
Сообщения
786
Реакции
517
@Dancebunny98, читай тему.И когда увидишь слово: "DDos" от автора, я пожму тебе руку, а пока лови плевок в душу.От DDOS уже защищает сам хостинг, а если ты дома арендуешь, покупай у провайдера AntiDDos защиту.А пока не друг мой.

И скажу даже получив предупреждение, в жопу себе засунь свою фразу: "Для таких как ты", сначала читай тему, потом выписывай *****.Я многое терплю на хостинге, но настолько убогое выражение я встречаю впервые.

И ГОСПОДИ, ПРИДУМАНЫ ДАВНО, НО ТЫ ЗАШЁЛ В ЭТУ ТЕМУ!!!1

И да, я пользуюсь панельками, я человек, который обучается на профессионала компьютерных сетей и настраивает VDS/DS сервера.Спасибо, многое не знаешь, но выписываешь, господи дай мне сил не с материться на тебя в тебе.Ты у нас всезнайка, но, ни одной адекватной темы, как защитить машину, НИЧЕГО, 137 сообщений и всего 8 реакций, всезнайка но видимо не везде да?! НЕ ВЫПИСЫВАЙ БОЛЬШЕ ЭТУ ЧУШЬ!!!!!!!!!!!!!!!!!!1

И где ты боролся, в какой караганде?! Установив готовое решение, а человек сидел и может хотя бы 15 минут потратил на изучение, как идёт тариф на сервера, написал свои правила, но ты у нас корявые пункты написал, "не бесплатно", "не имеет смысла", господи ****
 
Последнее редактирование:

Kruzya

No fun allowed
Сообщения
12,991
Реакции
10,906
  • Команда форума
  • #64
От DDOS уже защищает сам хостинг
Не всегда. Есть хостинг-провайдеры, которые дают какой-то самый минимум от условных L3-атак, а что-то сложнее - начинают блэкхолить трафик (привет OVH).
 

MagoG

Если не Quasar, тогда что?
Сообщения
786
Реакции
517
@Kruzya, ну, я вообще вёл к тому, что тема далеко не про антиддос который нужен.А он написал, что он слишком умный для нас, и мы используем панель и вообще мы ничего не можем, перефразирую.
 

BlackPro

Участник
Сообщения
75
Реакции
11
Правильно пацаны, сначала один припёрся сам себя продвигал, теперь второй прилетел говорит что аппаратные средства лучше софтверных, что и так дураку понятно, а речь ведь о частичной фильтрации.

И да кто-то писал что по сигнатурам не отсеевает, но ведь ТС делал проверку на первые 8 бит пакета.
Так вот у меня вопрос это что не сигнатура?

И вообще что за бред, уронить можно всё что угодно, обойти любой фильтр тоже, даже самый продвинутый, это всего лишь вопрос ресурсов, разве нет?
 

Accelerator

Участник
Сообщения
71
Реакции
29
Задам пожалуй свой интересный вопрос в этой теме. Столкнулся с крупной атакой на свой сервер. Вроде бы все в целом в порядке, но есть один нюанс. Атакующий использует IP-spoofing атаку. Забанить эти IP адреса даже не пытаюсь, просто фильтрую. И вроде в целом все не так плохо, сервер справляется. Но уже несколько раз от хостинга прилетала жалоба, якобы мой VDS занимается сканом портов другого хостинга, который собственно эту жалобу и прислал. Я предполагаю, что игровой сервер просто отвечает на поддельные IP адреса, а другой хостинг распознает это как порт-скан атаку, т.к. порты источника всегда рандомные и получается так, что и IP-адреса иногда оказываются существующими.

На данный момент попытался решить данную проблему отбросом всех INVALID пакетов (iptables -A INPUT -m conntrack --ctstate INVALID -j DROP). Судя по статистике iptables, количество пакетов было дропнуто много. Собственно интересует вопрос. Достаточно ли будет этого правила или есть еще что-то дополнительно, что можно было бы сделать?
 

WeSTMan

А вот тут текст!
Сообщения
733
Реакции
411
Задам пожалуй свой интересный вопрос в этой теме. Столкнулся с крупной атакой на свой сервер. Вроде бы все в целом в порядке, но есть один нюанс. Атакующий использует IP-spoofing атаку. Забанить эти IP адреса даже не пытаюсь, просто фильтрую. И вроде в целом все не так плохо, сервер справляется. Но уже несколько раз от хостинга прилетала жалоба, якобы мой VDS занимается сканом портов другого хостинга, который собственно эту жалобу и прислал. Я предполагаю, что игровой сервер просто отвечает на поддельные IP адреса, а другой хостинг распознает это как порт-скан атаку, т.к. порты источника всегда рандомные и получается так, что и IP-адреса иногда оказываются существующими.

На данный момент попытался решить данную проблему отбросом всех INVALID пакетов (iptables -A INPUT -m conntrack --ctstate INVALID -j DROP). Судя по статистике iptables, количество пакетов было дропнуто много. Собственно интересует вопрос. Достаточно ли будет этого правила или есть еще что-то дополнительно, что можно было бы сделать?
Добрый день, навряд ли, ведь могут спокойной проходить UDP пакеты, а так же необходимо делать проверку на корректные TCP пакеты. Если используют UDP IP Spoof, то не все люди умные и используют одну недоработку, которую можно использовать для отсеивания трафика, так же есть еще пару косвенных моментов по которому можно определить, что это спуф, но такие знания держу в секрете, поэтому можем пообщаться в ЛС для более детально анализа. Если забивают канал, то ничего не поможет, кроме провайдера, в других слачаях - отсеить специфический трафик можно
 

Accelerator

Участник
Сообщения
71
Реакции
29
В целом, представленные в первом посте правила достаточно хорошо помогли справляться с некоторыми видами атак. По крайне мере, это лучшее, что я смог найти для защиты Source сервера на просторах интернета 👍
Также благодарность @WeSTMan за некоторые подсказки ☺️
 
Сверху Снизу