Security Lab



Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти  
Форум » Администрирование » UNIX системы
Страницы: 1
RSS
Защита VDS от UDP DoS
 
#1
Это нравится:0Да/0Нет
05.07.2011 01:23:45
Имеется VDS сервер с Debian 6 .Использую его для игрового сервера,и есть серьезная проблема.Игровой сервер постоянно атакуют через протокол UDP пакетами яяяgetinfo%20,яяяяgetstatus%20.Суть в том что мне нужно каким то образом или ограничить количество одновременно принимаемых пакетов на порт 29070 или настроить фильтрацию пакетов чтобы они сбрасывались.

P.S На VDS установлен и настроен apf firewall но он от такого не спасает(
 
 
 
#2
Это нравится:0Да/0Нет
05.07.2011 09:12:08
iptables limit
 
 
 
#3
Это нравится:0Да/0Нет
05.07.2011 11:18:42
Вот пример:
iptables -I INPUT -p udp --dport 2970 -m state --state NEW -m recent --set --name DOS
iptables -I INPUT -p udp --dport 2970 -m state --state NEW -m recent --update --seconds 60 --hitcount 10(или 20, или 30) --name DOS -j REJECT --reject-with icmp-port-unreachable
Ишшо вариант -j DROP. Чтобы не пложить обратный трафик.
 
 
 
#4
Это нравится:0Да/0Нет
05.07.2011 12:28:33
Цитата
SOLDIER пишет:
Вот пример: iptables -I INPUT -p udp --dport 2970 -m state --state NEW -m recent --set --name DOS iptables -I INPUT -p udp --dport 2970 -m state --state NEW -m recent --update --seconds 60 --hitcount 10(или 20, или 30) --name DOS -j REJECT --reject-with icmp-port-unreachable Ишшо вариант -j DROP. Чтобы не пложить обратный трафик.

Не помогло,почему то даже сильнее скрипт стал вешать сервер.Есть еще варианты?Я точно знаю что есть пару серверов которые защищены от этого,но не знаю как.Я могу даже выложить сам скрипт который используется для атаки чтобы было понятней как с ним бороться.
 
 
 
#5
Это нравится:0Да/0Нет
05.07.2011 13:25:26
Вы уверены, что сервер вешается именно из-за этого UDP-флуда, а не, скажем, по причинам более тривиальным - железо (с софтом на пару) банально не справляется с нагрузкой? Какой трафик стоит на интерфейсе? Какое количество PPS? Какие показатели Load Average в конце концов? Надо начинать не с поиска злоумышленников, а с анализа самого сервера.
 
 
 
#6
Это нравится:0Да/0Нет
05.07.2011 13:27:14
Ну и попутно. От "качественного" DDoS-а софт сервера не спасет. Это комплексная задача и решается обычно вместе с хостерами и аплинками хостеров. Самостоятельно Вы эту беду не поборете. Хоть наизнанку вывернитесь.
Изменено: SOLDIER - 05.07.2011 13:27:47
 
 
 
#7
Это нравится:0Да/0Нет
05.07.2011 14:27:47
Я точно знаю в чем проблема,у меня есть такой скрипт,принцип его работы заключается в том чтобы забивать цель(игровой сервер)пакетами яяяяgetstatus которые вешают сервер,интернет канал этот скрипт почти не нагружает(мощность атаки всего 7-8мбит).

Вот сам скрипт http://rghost.ru/13534991
Изменено: Regor - 05.07.2011 14:32:19
 
 
 
#8
Это нравится:0Да/0Нет
05.07.2011 16:07:28
А Вы и правда думаете, что с одного места можно забить "мощностью атаки" 7-8 мбит канал нормального сервера?  :) Для ограничения с разных IP я вон выше правило привел. Подумайте - какое разуменое ограничение на один IP допустимо и все, что выше - режьте. Почему у Вас не работает - понятия не имею. Разбирайтесь с правилами прохождения iptables - возможно, правило у Вас не отрабатывает. В конце концов дайте iptables -nvL - и посмотрите - попадает ли в это правило что-то или нет.
 
 
 
#9
Это нравится:0Да/0Нет
05.07.2011 16:10:43
Еще лучше, кстати, договориться с Вашим хостером (или кто там у Вас), чтобы подобные пакеты резались ДО сервера. Например, при помощи ACL IOS (если там некая разновидностиь кошки стоит). Да невжно чем - главное, чтобы пакеты вообще не попадали на сетевой интерфейс сервера. В случае запрещающих правил iptables они, тем не менее, до интефейса долетают и обрабатываются сетевым стеком. Хотя до приложения (в Вашем случае - игрового сервера) не доходят.
Я там в правиле, вообще-то ошибся. Порт указал 2970. Надеюсь, Вы это увидели?  ;) Надо на 29070 изменить.
Изменено: SOLDIER - 05.07.2011 16:12:03
 
 
 
#10
Это нравится:0Да/0Нет
05.07.2011 21:36:55
Помогло вот что
1rst:
iptables -I INPUT -p udp --dport 29070 -i venet0 -m state --state NEW -m recent -–set

2nd:
iptables -I INPUT -p udp --dport 29070 -i venet0 -m state --state NEW -m recent --update --seconds 60 --hitcount 5 -j DROP
 
 
 
#11
Это нравится:0Да/0Нет
05.07.2011 22:31:32
Ну.... Отличается от моего указанием конкретного интерфейса (что, конечно же, верно). Ну и именем правила. :) Кстати - Вы бы его все-таки задали. Можно потом при желании вычислять злодеев, просматривая, что туда попало. ;)
 
 
 
#12
Это нравится:0Да/0Нет
06.07.2011 18:42:48
Цитата
SOLDIER пишет:
Еще лучше, кстати, договориться с Вашим хостером (или кто там у Вас), чтобы подобные пакеты резались ДО сервера. Например, при помощи ACL IOS (если там некая разновидностиь кошки стоит).

нет в иосе нормального content inspection ;) а дорогие штуки, вроде cisco sce врядли у них есть =)
 
 
 
#13
Это нравится:0Да/0Нет
07.07.2011 11:47:21
Да про фильтрацию контекта вроде как речи не идет.
 
 
 
#14
Это нравится:0Да/0Нет
09.07.2011 16:41:01
Цитата
SOLDIER пишет:
Да про фильтрацию контекта вроде как речи не идет.
ну так аффтара досят пакетами с конкретным содержимым. лимитировать весь udp-трафик, имхо, бессмысленно.
 
 
 
#15
Это нравится:0Да/0Нет
10.07.2011 09:29:32
А вот это не прокатит? http://l7-filter.sourceforge.net/ Или --string?
 
 
 
#16
Это нравится:0Да/0Нет
10.07.2011 14:49:06
имхо, в данном случае лучше -m string. Оно ж прилетает одним пакетом в UDP. это не tcp, где оно по пути порежется на сегменты и хз как писать паттерн для матчинга.
 
 
 
Страницы: 1
Читают тему