Защита игрового сервера от очень многих программ (IPTables)

[MagoG]

@Dancebunny98, я может тему не до конца понимаю.Автор на 2019 год назвал это "защитой", что и правдивдо.Оно не защитит от 100% всего говна, что и чем можно убить пакеты сервера, но даст бесплатное и практичное решение для новичков.Это используют огромные компании, это используют игровые сервера.Это используют все.

Или же уже объясните мне, почему спустя 3 года, снова "критик" пришёл и называет это не защитой, хотя не почитал тему.Если называете это не защитой, предложите точное более детальное и хорошее решение, с инструкциями, как сделал автор.

 

[Dancebunny98]

А вообще для таких как вы уже давно придуманы простые решения с готовыми правилами под

@Dancebunny98, я может тему не до конца понимаю.Автор на 2019 год назвал это "защитой", что и правдивдо.Оно не защитит от 100% всего говна, что и чем можно убить пакеты сервера, но даст бесплатное и практичное решение для новичков.Это используют огромные компании, это используют игровые сервера.Это используют все.

Или же уже объясните мне, почему спустя 3 года, снова "критик" пришёл и называет это не защитой, хотя не почитал тему.Если называете это не защитой, предложите точное более детальное и хорошее решение, с инструкциями, как сделал автор.

Если использовать только один IPtables (NetFilter) то это пустая трата времени и сил друг мой. Любая DDos-атака сможет банально вырубить ваш интернет.
Как я боролся с атаками и фильтровал интернет от ""о мой бог, нечистой силы"". Ну начнем с того, что все это: 1. не бесплатно. 2. не имеет смысла на делать если у вас один физический сервер и он слабый 3. вы ничего не понимаете в linux и пользуетесь только панельками.

 

[MagoG]

@Dancebunny98, читай тему.И когда увидишь слово: "DDos" от автора, я пожму тебе руку, а пока лови плевок в душу.От DDOS уже защищает сам хостинг, а если ты дома арендуешь, покупай у провайдера AntiDDos защиту.А пока не друг мой.

И скажу даже получив предупреждение, в жопу себе засунь свою фразу: "Для таких как ты", сначала читай тему, потом выписывай *****.Я многое терплю на хостинге, но настолько убогое выражение я встречаю впервые.

И ГОСПОДИ, ПРИДУМАНЫ ДАВНО, НО ТЫ ЗАШЁЛ В ЭТУ ТЕМУ!!!1

И да, я пользуюсь панельками, я человек, который обучается на профессионала компьютерных сетей и настраивает VDS/DS сервера.Спасибо, многое не знаешь, но выписываешь, господи дай мне сил не с материться на тебя в тебе.Ты у нас всезнайка, но, ни одной адекватной темы, как защитить машину, НИЧЕГО, 137 сообщений и всего 8 реакций, всезнайка но видимо не везде да?! НЕ ВЫПИСЫВАЙ БОЛЬШЕ ЭТУ ЧУШЬ!!!!!!!!!!!!!!!!!!1

И где ты боролся, в какой караганде?! Установив готовое решение, а человек сидел и может хотя бы 15 минут потратил на изучение, как идёт тариф на сервера, написал свои правила, но ты у нас корявые пункты написал, "не бесплатно", "не имеет смысла", господи ****

 

[Kruzya]

От DDOS уже защищает сам хостинг

Не всегда. Есть хостинг-провайдеры, которые дают какой-то самый минимум от условных L3-атак, а что-то сложнее - начинают блэкхолить трафик (привет OVH).

 

[MagoG]

@Kruzya, ну, я вообще вёл к тому, что тема далеко не про антиддос который нужен.А он написал, что он слишком умный для нас, и мы используем панель и вообще мы ничего не можем, перефразирую.

 

[BlackPro]

Правильно пацаны, сначала один припёрся сам себя продвигал, теперь второй прилетел говорит что аппаратные средства лучше софтверных, что и так дураку понятно, а речь ведь о частичной фильтрации.

И да кто-то писал что по сигнатурам не отсеевает, но ведь ТС делал проверку на первые 8 бит пакета.
Так вот у меня вопрос это что не сигнатура?

И вообще что за бред, уронить можно всё что угодно, обойти любой фильтр тоже, даже самый продвинутый, это всего лишь вопрос ресурсов, разве нет?

 

[Accelerator]

Задам пожалуй свой интересный вопрос в этой теме. Столкнулся с крупной атакой на свой сервер. Вроде бы все в целом в порядке, но есть один нюанс. Атакующий использует IP-spoofing атаку. Забанить эти IP адреса даже не пытаюсь, просто фильтрую. И вроде в целом все не так плохо, сервер справляется. Но уже несколько раз от хостинга прилетала жалоба, якобы мой VDS занимается сканом портов другого хостинга, который собственно эту жалобу и прислал. Я предполагаю, что игровой сервер просто отвечает на поддельные IP адреса, а другой хостинг распознает это как порт-скан атаку, т.к. порты источника всегда рандомные и получается так, что и IP-адреса иногда оказываются существующими.

На данный момент попытался решить данную проблему отбросом всех INVALID пакетов (iptables -A INPUT -m conntrack --ctstate INVALID -j DROP). Судя по статистике iptables, количество пакетов было дропнуто много. Собственно интересует вопрос. Достаточно ли будет этого правила или есть еще что-то дополнительно, что можно было бы сделать?

 

[WeSTMan]

Задам пожалуй свой интересный вопрос в этой теме. Столкнулся с крупной атакой на свой сервер. Вроде бы все в целом в порядке, но есть один нюанс. Атакующий использует IP-spoofing атаку. Забанить эти IP адреса даже не пытаюсь, просто фильтрую. И вроде в целом все не так плохо, сервер справляется. Но уже несколько раз от хостинга прилетала жалоба, якобы мой VDS занимается сканом портов другого хостинга, который собственно эту жалобу и прислал. Я предполагаю, что игровой сервер просто отвечает на поддельные IP адреса, а другой хостинг распознает это как порт-скан атаку, т.к. порты источника всегда рандомные и получается так, что и IP-адреса иногда оказываются существующими.

На данный момент попытался решить данную проблему отбросом всех INVALID пакетов (iptables -A INPUT -m conntrack --ctstate INVALID -j DROP). Судя по статистике iptables, количество пакетов было дропнуто много. Собственно интересует вопрос. Достаточно ли будет этого правила или есть еще что-то дополнительно, что можно было бы сделать?

Добрый день, навряд ли, ведь могут спокойной проходить UDP пакеты, а так же необходимо делать проверку на корректные TCP пакеты. Если используют UDP IP Spoof, то не все люди умные и используют одну недоработку, которую можно использовать для отсеивания трафика, так же есть еще пару косвенных моментов по которому можно определить, что это спуф, но такие знания держу в секрете, поэтому можем пообщаться в ЛС для более детально анализа. Если забивают канал, то ничего не поможет, кроме провайдера, в других слачаях - отсеить специфический трафик можно

 

[Accelerator]

В целом, представленные в первом посте правила достаточно хорошо помогли справляться с некоторыми видами атак. По крайне мере, это лучшее, что я смог найти для защиты Source сервера на просторах интернета
Также благодарность @WeSTMan за некоторые подсказки

 

[Banana]

iptables -A INPUT -p udp -m multiport --dports 27015,27016 -m hashlimit --hashlimit-upto 120/sec --hashlimit-burst 120 --hashlimit-mode srcip --hashlimit-name CSS -j Check_Packet

Подскажите пожалуйста, если с одного IP пришло например: 65 пакетов на 27015 порт и 65 пакетов на 27016 порт то они попадут в цепочку Check_Packet ? Другими словами каждый отдельный порт защищен лимитом в 120 пакетов?

 

[WeSTMan]

iptables -A INPUT -p udp -m multiport --dports 27015,27016 -m hashlimit --hashlimit-upto 120/sec --hashlimit-burst 120 --hashlimit-mode srcip --hashlimit-name CSS -j Check_Packet

Подскажите пожалуйста, если с одного IP пришло например: 65 пакетов на 27015 порт и 65 пакетов на 27016 порт то они попадут в цепочку Check_Packet ? Другими словами каждый отдельный порт защищен лимитом в 120 пакетов?

Здесь на оба порта максимум 120 пакетов с одного IP адреса

 

[Banana]

Здесь на оба порта максимум 120 пакетов с одного IP адреса

у вас нет случайно правила которое защищает каждый порт по 120 пакетов в секунду?

 

[WeSTMan]

Просто раздели их

Спойлер: Правила

iptables -A INPUT -p udp --dport 27015 -m hashlimit --hashlimit-upto 120/sec --hashlimit-burst 120 --hashlimit-mode srcip --hashlimit-name CSS27015 -j Check_Packet
iptables -A INPUT -p udp --dport 27016 -m hashlimit --hashlimit-upto 120/sec --hashlimit-burst 120 --hashlimit-mode srcip --hashlimit-name CSS27016 -j Check_Packet

 

[Banana]

офигею разделять для 1000 серверов))))))))

 

[WeSTMan]

офигею разделять для 1000 серверов))))))))

На хостинг?

 

[ykpon]

офигею разделять для 1000 серверов))))))))

Добавлять правило при запуске сервера и убирать при остановке/удалении.
Тем же скриптом, который запускает сервер.

 

[Banana]

Добавлять правило при запуске сервера и убирать при остановке/удалении.
Тем же скриптом, который запускает сервер.

так и сделаю, спс. Просто думал что народ изобрел уже как-бы универсальное правило

 

[ykpon]

так и сделаю, спс. Просто думал что народ изобрел уже как-бы универсальное правило

универсальное у арены - добавил под защиту сервер и не надо ничего настраивать на нодах

 

[September]

На хостинг?

для фейков, видимо)

 

[Lappland_Saluzzo]

Использовать PREROUTING имеет смысл, там работают U32/ALGO STRING модули. Если ты конкретно знаешь какие пакеты невалидны, допустим TCP с левыми флагами, или идет атака A2S_MIXED - просто ограничить на уровне PREROUTING конкретно этот трафик, а внутри - все как обычно.
1: Нагрузка на CPU ниже.
2: Зная конкретные сигнатуры левого трафика - можно его заблокировать.
3: Можно напрямую помечать трафик левый в INPUT, а убивать в PREROUTING через кастомные цепочки.
Не использовать PREROUTING в связке с INPUT просто глупо. PREROUTING значительно сохраняет ресурсы CPU, и чувак скидывал схему - она реалистичная. (Ну для сравнения - без правил под атакой - 35% CPU везде, под атакой с правилами PRER - 20% CPU на одном ядре из 8).
У меня реализовано 160 правил под 8 серверов в PREROUTING, там куча правил которая смотрит на A2S соединения. А в INPUT реализован Hashlimit. И если IP умудряется попасть в этот лимит - он блокируется в PREROUTING. Если ты объединяешь правила для всех портов - если сработало правило - может произойти блокировка всех серверов, поэтому там нельзя совмещать правила по DPORTS. Конкретно разделяйте.
Я столкнулся как и Accelerator с атакой. Заказной (15-20к дурачки потратили, но точно хз сколько), A2S флуд с CAIDA-списков (IP-Spoofing). SYN-Flood/UDP Flood.
2.500000 пакетов A2S отбивал как мог. Забили порт - подключили внешние серверы-фильтры, и там тоже правил под 60 нагробастал. Понадобилась статья о Mikrotik RAW настройке (ибо там нечто подобное на серверах реализовано).
TCP-SYN отбил внешним сервером через SYN_LIMIT + там же встроенный TCP SYN COOKIES, ибо не проходит соединение если оно изначально не валидировано внешним сервером. С UDP значительно сложнее работать.