SAZONISCHE
Участник
- Сообщения
- 405
- Реакции
- 232
Без разницы, хоть пару хоть сто, все видно в tcpdump. Прежде чем пустоловить стоит знать что говоришь, у автора канеш детский сад а не правила, со временем все придет.
Защита игрового сервера от очень многих программ (IPTables)
- Автор темы WeSTMan
- Дата начала
lkb
Участник
- Сообщения
- 32
- Реакции
- 17
С каких пор iptables видит игровые пакеты ?) Как ты собираешься через Iptables отлавливать битые для движка пакеты, которые при дропе начинают вызывать коллизии и баги в игре, более того, на v34 до сих пор есть актуальный пакет аля clc_voice, через которые при желании можно кикать игроков, ибо они необходимы в игре, а дальше лучше, войсы проходят не так легко как кажется, они могут посылаться, а могут не посылаться, могут быть разного размера в нескольких пакетах, а могут быть одни и большим, где зачастую не хватает через накрутку нетченала пару волшебных байтов которые заставят весь сервер вылететь)
WeSTMan
А вот тут текст!
- Сообщения
- 833
- Реакции
- 516
IPTables видит все пакеты. 176.214.77.138:27015 - вперед
Сообщения автоматически склеены:
Правила можно еще усложнить и сделать дополнительные проверки. Но это уже не целесообразно и приведет к нагрузке на CPU.
SAZONISCHE
Участник
- Сообщения
- 405
- Реакции
- 232
как я понимаю ты даже не знаешь что такое пакет, просто льешь дичь, есть разные пакеты tcp udp и при каждом нажатии на клавишу или отправке сообщения серверу все можно увидеть в tcpump при желании и так же ето обрезать разными способами, есть еше куча сторонних тем типа арбор паралель и тд)
Сообщения автоматически склеены:
В данном случае 13 SDK использует TCP для частичной авторизации и постоянный обмен UDP (WIKI)
Kruzya
Участник
- Сообщения
- 12,970
- Реакции
- 10,914
- Команда форума
- #25
Долго наблюдал за этой темой, и, мне кажется, Вы сами не совсем понимаете принцип работы файрвола Linux.
Вопрос заключается лишь в том, сколько времени понадобится потратить, чтобы составить правило для ловли пакета конкретного сплоита.
Как правильно подметил ТС:
Флуд подразумевает спам пакетами независимо от того, сколько реально сервер может принять. Потому флуд отбить iptables вполне реально. Часть из пакетов всё равно дойдёт до SRCDS, но другая будет не допущена к обработке сервером.
Намного проще в данном случае реализовывать расширение к серверу, чем к системному файрволу. Ну и с серверной стороны можно обращаться к движку за той или иной информацией при принятии решения касательно обработки пакета.
Если сплоит шлёт пакет определенной структуры - его можно отловить.
Вопрос заключается лишь в том, сколько времени понадобится потратить, чтобы составить правило для ловли пакета конкретного сплоита.
Может.
Флуд - это когда ты срёшь пакетами на IP-адрес. Срёшь при этом бесконечно.
Как правильно подметил ТС:
Тик - это кол-во пакетов, которые игрок гарантированно пропихнёт в сетевое соединение с сервером. Он может пропихнуть меньше, но не особо больше (исключения так же описаны ТСом).
Флуд подразумевает спам пакетами независимо от того, сколько реально сервер может принять. Потому флуд отбить iptables вполне реально. Часть из пакетов всё равно дойдёт до SRCDS, но другая будет не допущена к обработке сервером.
Чтобы отсеивать специфический трафик, который не поддаётся нормальной фильтрации на уровне iptables без реализации сторонних модулей к файрволу. Логично же.
Намного проще в данном случае реализовывать расширение к серверу, чем к системному файрволу. Ну и с серверной стороны можно обращаться к движку за той или иной информацией при принятии решения касательно обработки пакета.
Дистрибутив не влияет. Влияют установленные модули ядра и файрвола. Может чего-то не хватало?
С того, что через него проходит весь трафик? На уровне IPTables можно запросто декодировать пакет, написав модуль для файрвола. Готовый, кстати, уже есть. Кто захочет - найдёт сам.
lkb
Участник
- Сообщения
- 32
- Реакции
- 17
А теперь смотрим, заходим на сервер эталонно чистым, и смотрим на сколько эти правила "не влияют" на игроков которые просто зашли поиграть, дык это я один сидел, а если их будет 16 ?) Я то думал что всё таки какой то смысл есть, но теперь судя по логам, этот сервер - не играбелен ВОООООВСЕ, эти правила просто разрушают геймплей)
176.214.77.138:27015:Dropped 98 packets at 381
176.214.77.138:27015:Dropped 143 packets at 527
176.214.77.138:27015:Dropped 142 packets at 696
А теперь изучаем, на сервере 40 тик, я на сервере отвисел в АФК - 696/40 = ~17 секунд, из которых у меня дропнуло 98+143+142=383 тиков из 696 тиков, теперь считаем, считать то вы умеете))0 Из 696 тиков, у меня дропнулось более половины, то бишь более ~50% ВАЛИДНОГО ЧИСТОГО ТРАФИКА - в дропе, благодаря IPTABLES.
Так же видим, из за того что почти половина валидного трафика - в дропе, пакеты уходят в сплит, а сплит это у нас что ?) Правильно, очень хорошо))0
p.s Ну так то ты прав, если отсеить ВЕСЬ трафик, то эксплоит-трафик - не дойдёт))0
176.214.77.138:27015:Dropped 98 packets at 381
176.214.77.138:27015:Dropped 143 packets at 527
176.214.77.138:27015:Dropped 142 packets at 696
А теперь изучаем, на сервере 40 тик, я на сервере отвисел в АФК - 696/40 = ~17 секунд, из которых у меня дропнуло 98+143+142=383 тиков из 696 тиков, теперь считаем, считать то вы умеете))0 Из 696 тиков, у меня дропнулось более половины, то бишь более ~50% ВАЛИДНОГО ЧИСТОГО ТРАФИКА - в дропе, благодаря IPTABLES.
Так же видим, из за того что почти половина валидного трафика - в дропе, пакеты уходят в сплит, а сплит это у нас что ?) Правильно, очень хорошо))0
p.s Ну так то ты прав, если отсеить ВЕСЬ трафик, то эксплоит-трафик - не дойдёт))0
C-подобный:
] connect 176.214.77.138:27015
0:Stopped sound *#ui\gamestartup1.mp3
Network: IP 25.108.250.130, mode MP, dedicated No, ports 27015 SV / 666 CL
Connecting to 176.214.77.138:27015...
Connected to 176.214.77.138:27015
--=| GM-World |=--
Map: ba_jail_electric_razor_v6
Players: 2 / 21
Build 4100
Server Number 13
No pure server whitelist. sv_pure = 0
CAsyncWavDataCache: 2 .wavs total 0 bytes, 0.00 % of capacity
Begin loading faces (loads materials)
End loading faces (loads materials)
Initializing renderer...
Level unlit, setting 'mat_fullbright 1'
Client Command "setinfo cl_autobuy "m4a1 ak47 famas galil p90 mp5 primammo secammo defuser vesthelm vest"" Executed
Client Command "setinfo cl_rebuy "PrimaryWeapon PrimaryAmmo Defuser Armor HEGrenade Flashbang SmokeGrenade SecondaryWeapon SecondaryAmmo NightVision"" Executed
Server Command "VModEnable 1" Executed
[FSA] Этот сервер использует [FSA] супер админка
Message Of The Day Type "1"
Message Of The Day Type "GM-World| Побег из ❃Черных Холмов❃ 14+"
Message Of The Day Message "motd"
Message Of The Day Command "joingame"
Message Of The Day Type "1"
Message Of The Day Type "GM-World| Побег из ❃Черных Холмов❃ 14+"
Message Of The Day Message "motd"
Message Of The Day Command "joingame"
Hl2.exe подключился
Failed to load sound "joingm\gmwelcomemsg.mp3", file probably missing from disk/repository
Message Of The Day Type "2"
Message Of The Day Type ""
Message Of The Day Message ""
Message Of The Day Command "xbox_throttlebias 0cff8cf7869146f67fba68e3c5026bd6; chooseteam"
Client Command "spec_mode" Executed
Server Command "spec_mode" Executed
<-- Split packet 3 of 3 from 176.214.77.138:27015
<-- Split packet 3 of 3 from 176.214.77.138:27015
<-- Split packet 3 of 3 from 176.214.77.138:27015
<-- Split packet 3 of 3 from 176.214.77.138:27015
<-- Split packet 3 of 3 from 176.214.77.138:27015
<-- Split packet 3 of 3 from 176.214.77.138:27015
<-- Split packet 3 of 3 from 176.214.77.138:27015
<-- Split packet 3 of 3 from 176.214.77.138:27015
<-- Split packet 3 of 3 from 176.214.77.138:27015
<-- Split packet 3 of 3 from 176.214.77.138:27015
<-- Split packet 3 of 3 from 176.214.77.138:27015
<-- Split packet 3 of 3 from 176.214.77.138:27015
<-- Split packet 3 of 3 from 176.214.77.138:27015
<-- Split packet 3 of 3 from 176.214.77.138:27015
<-- Split packet 3 of 3 from 176.214.77.138:27015
<-- Split packet 3 of 3 from 176.214.77.138:27015
<-- Split packet 3 of 3 from 176.214.77.138:27015
<-- Split packet 3 of 3 from 176.214.77.138:27015
<-- Split packet 3 of 3 from 176.214.77.138:27015
<-- Split packet 3 of 3 from 176.214.77.138:27015
<-- Split packet 3 of 3 from 176.214.77.138:27015
<-- Split packet 3 of 3 from 176.214.77.138:27015
<-- Split packet 3 of 3 from 176.214.77.138:27015
<-- Split packet 3 of 3 from 176.214.77.138:27015
<-- Split packet 3 of 3 from 176.214.77.138:27015
<-- Split packet 3 of 3 from 176.214.77.138:27015
<-- Split packet 3 of 3 from 176.214.77.138:27015
<-- Split packet 3 of 3 from 176.214.77.138:27015
176.214.77.138:27015:Dropped 98 packets at 381
<-- Split packet 3 of 3 from 176.214.77.138:27015
<-- Split packet 3 of 3 from 176.214.77.138:27015
<-- Split packet 3 of 3 from 176.214.77.138:27015
<-- Split packet 3 of 3 from 176.214.77.138:27015
<-- Split packet 3 of 3 from 176.214.77.138:27015
<-- Split packet 3 of 3 from 176.214.77.138:27015
<-- Split packet 3 of 3 from 176.214.77.138:27015
<-- Split packet 3 of 3 from 176.214.77.138:27015
<-- Split packet 3 of 3 from 176.214.77.138:27015
<-- Split packet 3 of 3 from 176.214.77.138:27015
<-- Split packet 3 of 3 from 176.214.77.138:27015
<-- Split packet 3 of 3 from 176.214.77.138:27015
<-- Split packet 3 of 3 from 176.214.77.138:27015
<-- Split packet 3 of 3 from 176.214.77.138:27015
<-- Split packet 3 of 3 from 176.214.77.138:27015
<-- Split packet 3 of 3 from 176.214.77.138:27015
<-- Split packet 3 of 3 from 176.214.77.138:27015
<-- Split packet 3 of 3 from 176.214.77.138:27015
<-- Split packet 3 of 3 from 176.214.77.138:27015
<-- Split packet 3 of 3 from 176.214.77.138:27015
<-- Split packet 3 of 3 from 176.214.77.138:27015
<-- Split packet 3 of 3 from 176.214.77.138:27015
<-- Split packet 3 of 3 from 176.214.77.138:27015
<-- Split packet 2 of 2 from 176.214.77.138:27015
<-- Split packet 2 of 2 from 176.214.77.138:27015
<-- Split packet 2 of 2 from 176.214.77.138:27015
<-- Split packet 2 of 2 from 176.214.77.138:27015
<-- Split packet 2 of 2 from 176.214.77.138:27015
<-- Split packet 2 of 2 from 176.214.77.138:27015
176.214.77.138:27015:Dropped 143 packets at 527
<-- Split packet 2 of 2 from 176.214.77.138:27015
<-- Split packet 2 of 2 from 176.214.77.138:27015
<-- Split packet 2 of 2 from 176.214.77.138:27015
<-- Split packet 2 of 2 from 176.214.77.138:27015
<-- Split packet 2 of 2 from 176.214.77.138:27015
<-- Split packet 2 of 2 from 176.214.77.138:27015
<-- Split packet 2 of 2 from 176.214.77.138:27015
<-- Split packet 2 of 2 from 176.214.77.138:27015
<-- Split packet 2 of 2 from 176.214.77.138:27015
<-- Split packet 2 of 2 from 176.214.77.138:27015
<-- Split packet 2 of 2 from 176.214.77.138:27015
<-- Split packet 2 of 2 from 176.214.77.138:27015
<-- Split packet 2 of 2 from 176.214.77.138:27015
<-- Split packet 2 of 2 from 176.214.77.138:27015
<-- Split packet 2 of 2 from 176.214.77.138:27015
<-- Split packet 2 of 2 from 176.214.77.138:27015
<-- Split packet 2 of 2 from 176.214.77.138:27015
<-- Split packet 2 of 2 from 176.214.77.138:27015
<-- Split packet 2 of 2 from 176.214.77.138:27015
<-- Split packet 2 of 2 from 176.214.77.138:27015
<-- Split packet 2 of 2 from 176.214.77.138:27015
<-- Split packet 2 of 2 from 176.214.77.138:27015
<-- Split packet 2 of 2 from 176.214.77.138:27015
<-- Split packet 2 of 2 from 176.214.77.138:27015
<-- Split packet 2 of 2 from 176.214.77.138:27015
<-- Split packet 2 of 2 from 176.214.77.138:27015
<-- Split packet 2 of 2 from 176.214.77.138:27015
<-- Split packet 2 of 2 from 176.214.77.138:27015
<-- Split packet 2 of 2 from 176.214.77.138:27015
<-- Split packet 2 of 2 from 176.214.77.138:27015
<-- Split packet 2 of 2 from 176.214.77.138:27015
<-- Split packet 3 of 3 from 176.214.77.138:27015
<-- Split packet 3 of 3 from 176.214.77.138:27015
<-- Split packet 3 of 3 from 176.214.77.138:27015
<-- Split packet 3 of 3 from 176.214.77.138:27015
<-- Split packet 3 of 3 from 176.214.77.138:27015
<-- Split packet 3 of 3 from 176.214.77.138:27015
<-- Split packet 3 of 3 from 176.214.77.138:27015
<-- Split packet 3 of 3 from 176.214.77.138:27015
<-- Split packet 3 of 3 from 176.214.77.138:27015
<-- Split packet 3 of 3 from 176.214.77.138:27015
<-- Split packet 3 of 3 from 176.214.77.138:27015
<-- Split packet 3 of 3 from 176.214.77.138:27015
<-- Split packet 3 of 3 from 176.214.77.138:27015
<-- Split packet 3 of 3 from 176.214.77.138:27015
<-- Split packet 3 of 3 from 176.214.77.138:27015
<-- Split packet 3 of 3 from 176.214.77.138:27015
<-- Split packet 3 of 3 from 176.214.77.138:27015
<-- Split packet 3 of 3 from 176.214.77.138:27015
<-- Split packet 3 of 3 from 176.214.77.138:27015
<-- Split packet 3 of 3 from 176.214.77.138:27015
<-- Split packet 3 of 3 from 176.214.77.138:27015
<-- Split packet 3 of 3 from 176.214.77.138:27015
<-- Split packet 3 of 3 from 176.214.77.138:27015
<-- Split packet 3 of 3 from 176.214.77.138:27015
<-- Split packet 2 of 2 from 176.214.77.138:27015
<-- Split packet 2 of 2 from 176.214.77.138:27015
<-- Split packet 2 of 2 from 176.214.77.138:27015
<-- Split packet 2 of 2 from 176.214.77.138:27015
<-- Split packet 2 of 2 from 176.214.77.138:27015
<-- Split packet 3 of 3 from 176.214.77.138:27015
<-- Split packet 2 of 2 from 176.214.77.138:27015
176.214.77.138:27015:Dropped 142 packets at 696
Последнее редактирование модератором:
SAZONISCHE
Участник
- Сообщения
- 405
- Реакции
- 232
Можно еше поглубже уйти и работать с U32 чтоб блочить все на уровне подсистемы
Сообщения автоматически склеены:
Не стоит судить по одному человеку который решил поделиться чем либо
Последнее редактирование:
JDW
Мы открываем бизнес
- Сообщения
- 376
- Реакции
- 325
Оставлю свой комментарий после всего прочитанного. Я понимаю, что автору нужна критика, но так засаживать не надо человека, тем более без практики, основываясь только на теории. Если вы отвергаете, то предлагайте свой вариант. На 34 версии до сих пор актуален баг при использование голосового чата, который фиксится тем же pcmds или фаерволом. Я выкладывал свой способ по защите от данного бага с помощью фаервола(обрезание пакетов по длине только было) и что же я могу сказать... 10 серверов проработали пол года и никаких фризов и прочего не наблюдалось(сервера размещались на вдс). Тогда вопрос следующий: чем же способ автора данной темы плох? Не думаю, если бы у автора ничего не работало, то он бы стал бы создавать тему... Логично же? Еще если со стороны смотреть, то тупо пиарятся инструменты null, особенно "понравился" способ бана по харду, не смешно ли?
Последнее редактирование модератором:
JDW
Мы открываем бизнес
- Сообщения
- 376
- Реакции
- 325
Скорее всего так и есть... Недавно заходил в группу, где нашли способ обхода бана по "харду": просто изменения сенсы...
WeSTMan
А вот тут текст!
- Сообщения
- 833
- Реакции
- 516
Если ты передавал данные на UDP порт 27015. То ты отлетел по правилу превышения кол-во пакетов в секунду. Помимо того, что ты играешь, ты еще и посылаешь какие-то пакеты и потом пишешь, что мои правила их не приняли. Еще раз доказывает то, что мои правила работают и нормальный игрок не будет превышать 50 пакетов в секунду. Правила сразу отсеяли твою фигню.
lkb
Участник
- Сообщения
- 32
- Реакции
- 17
Я тоже про это читал, только ты ошибся, это не про бан лкб было, а про бан от мошшеника - Jokera
Он говорит - я пишу)
Ещё раз повторяю, я написал, что зашёл ЭТАЛОННО чистый, без всего, и меня блокировало как ты выражаешься за "превышения кол-во пакетов в секунду" ))
WeSTMan
А вот тут текст!
- Сообщения
- 833
- Реакции
- 516
Если ты зашел без проблем, то и пакеты твои не будут отброшены.
lkb
Участник
- Сообщения
- 32
- Реакции
- 17
Пожалуйста, прочитай лог что я тебе скинул для улучшения твоего детища, и проанализируй ещё раз, твоя защита на данном этапе, помимо того что не защищает, даже наоборот - дропает валидный трафик)
Защита игрового сервера от очень многих программ (IPTables)
Я использую Ubuntu. На счет других, конечно, не знаю. Но думаю, что они и подойдут на Debian спокойно. Можешь в ЛС написать, можем специально правила написать для твоего сервера. 1568276846 Друг, отдохни и почитай про iptables. Ты ничего не понимаешь в этом вопросе и пытаешься как-то выехать...
hlmod.ru
WeSTMan
А вот тут текст!
- Сообщения
- 833
- Реакции
- 516
Для особо одаренных. Я тестировал защиту несколько месяцев и она показала себя очень отлично. Ни у одного игрока не возникло проблем с игровым процессом. Я специально сидел и наблюдал на отсеянный трафик. У НОРМАЛЬНЫХ игроков все нормально и ни один пакет не был дропнут. Я готов с тобой провести тестирование. Я включу логгирование, а ты зайдешь ЭТАЛОННЫМ. По окончанию проанализируем твой ЭТАЛОННЫЙ трафик, например, с помощью wireshark.
Последнее редактирование:
скорее всего процсмд состряпали (в рамках отлова кривых пакетов) для экономии ресурсов, движки разные и у каждого свои "тараканы" и пихать всех этих "тараканов" в одно фаервольное полотенце не айс с точки зрения производительности, ибо шмонать весь трафик в поисках "той самой сигнатуры", который сыпится на игровые порты не очень благодарное занятие. а расширением можно получить определенную инфу от сервера (как и было сказано), например, "авторизованный" клиент или нет и потом уже лезть в его пакеты.
Последнее редактирование:
Пакетик чая
Участник
- Сообщения
- 65
- Реакции
- 45
Тема стара конечно, но ради прикола прописал данные правила, а именно цепочку UDP.
Зашел с обычного клиента ксс без всякого говна, подгружал всякое говно. Стою около 1 минуты на сервере, проверяю iptables -L -v и о чудо ни одного дропа.
Так-что не понимаю что там у лкб могло дропать. Проверил сплоиты которые в общем доступе нашел, mass disconect ( не Ultra ) не работает, salamon не работает. Все что есть в UH не детектит и сервер зависает/кикает игроков. (SourceTv не проверял). Имеет место доработать.
Зашел с обычного клиента ксс без всякого говна, подгружал всякое говно. Стою около 1 минуты на сервере, проверяю iptables -L -v и о чудо ни одного дропа.
Так-что не понимаю что там у лкб могло дропать. Проверил сплоиты которые в общем доступе нашел, mass disconect ( не Ultra ) не работает, salamon не работает. Все что есть в UH не детектит и сервер зависает/кикает игроков. (SourceTv не проверял). Имеет место доработать.
WeSTMan
А вот тут текст!
- Сообщения
- 833
- Реакции
- 516
Мои правила блокируют UH частично.
Для защиты от UH в основном помогает processcmds, так как в Чите используются кривые игровые пакеты, а не полностью кривые. Если хочешь защититься на отлично, жду в ЛС
Пакетик чая
Участник
- Сообщения
- 65
- Реакции
- 45
Да не, мне не надо, у меня фильтры прописаны. Фишка в том, что если в этом цыкле блокировать тот же флуд от UH ( не войс експлоит ), то сервер все равно лагает, а если без цыкла то все ок)
В целом у меня зафикшено, это я так к слову)
Похожие темы
- AMS: Статья
