Как защитить SRCDS сервер или выяснить в каком месте дыра?

Обсуждаем все, что относится к выделенным серверам *NIX (Unix, Linux) и Windows
Сообщение
Автор
Dirt
Сержант
Сержант
Сообщения: 50
Зарегистрирован: 22.09.2008

#1 Сообщение 31.05.2009, 02:08

Привет,

Столкнулся с такой проблемой. Держу два сервера CS:S на Windows Vista (не спрашивайте почему, просто я не добился стабильности на убунту, а у ХП и сервер2003 сеть похуже работает).
Последнее время сервера стали часто зависать, поначалу я думал что это какие-то из плугинов на сорсмод или еще что, но тут один тип написал по скайпу, что его забанил кто-то из админов за аймбот и если его не разбаню будит продолжать атаки на сервера через какого-то его знакомых. Чего я, конечно, не поверил, и попросил доказать. В следствии чего тут же застряли оба SRCDS. В это же время был подключен DameWare remote controll, так вот, он тоже с ним тоже потерялась связь. Не мог подключиться пока атака не прошла или пока сервера не перезапустились где-то через минуту. На сервере стоит программа под названием ServerChacker, которая при обнаружении, того что сервер выключился с ошибкой или просто не реагирует, убивает его до конца и перезапускает заново. Если бы не она, даже не знаю, как вообще можно было протянуть. Из общей защиты стоит только KIS.

Со стороны игры атака выглядит так: сначала, все начинают дергаться, как будто поднялся лаг, но потом все больше и больше, пока вообще не зависают.

Очень прошу, подскажите, где обычно у SRCDS серверов бывают уязвимости, не исключено, что конкретно у sourcemod. И как это выяснить, а возможно и лечить. Я сам в системах зашиты опыта практически не имею. :(
Изображение
Изображение
Изображение
Изображение

Аватара пользователя
NAT
Лейтенант
Лейтенант
Сообщения: 132
Зарегистрирован: 19.10.2007
Откуда: moscow

#2 Сообщение 31.05.2009, 06:53

тя просто ддосят
ИзображениеИзображениеИзображениеИзображение

Аватара пользователя
Jonny
Полковник
Полковник
Сообщения: 1371
Зарегистрирован: 30.05.2008
Благодарил (а): 23 раза
Поблагодарили: 54 раза

#3 Сообщение 31.05.2009, 11:55

Хреновая из KIS защита выходит ))
Никакого отношения к нацистским группам и направлениям не имею.

Аватара пользователя
nALLITeT
Полковник
Полковник
Сообщения: 2560
Зарегистрирован: 01.08.2008
Откуда: 127.0.0.1
Поблагодарили: 2 раза
Контактная информация:

#4 Сообщение 31.05.2009, 11:59

Jonny
причем тут KIS? Автору темы надо закрыть один порт через брандмауер, пусть поищет в других темах, это обсуждалось
Изображение
JIEGOKOJI писал(а)::lol: Steamworks это паблишер вальв лол.

Dirt
Сержант
Сержант
Сообщения: 50
Зарегистрирован: 22.09.2008

#5 Сообщение 31.05.2009, 12:20

А возможно как-то от этого предостеречься, например открыть только 2-3 порта (щейчас открыто где-то портов 200) на маршрутизаторе для доступа или как-то софт настроить, IP выяснить и забанить? Мне главное что бы остался доступен сам сервер, т.е. 2 сервера и Апатч. Я так понимаю это 80, 25015 и 25025 соответственно. Но поможет ли это?

В настройках КИС вроде написано, что он от интернет атак защищает и автобанит IP на указаное там время. Но еще раз я в защите никогда не интересовался хотя сам информатик. :)

Может и обсуждалось, но я даже не зная как искать, а в FAQ про это ни слова, хотя стоило написать на первой же строке.

Добавлено:
На аллайдмоддерс посоветовали поставить этот плугин, необходимо иметь на всех серверах, как класик так и орандж.
http://www.sourceop.com/modules.php?nam ... load&cid=9
Надеясь кому нибудь еще пригодится. Симптомы 1 в 1 как у меня.
Изображение
Изображение
Изображение
Изображение

Аватара пользователя
GX2
Лейтенант
Лейтенант
Сообщения: 178
Зарегистрирован: 11.05.2008
Поблагодарили: 1 раз

#6 Сообщение 31.05.2009, 17:03

Dirt мне помог фаервалл, но плагин я тож поставил

pavlin09
Лейтенант
Лейтенант
Сообщения: 102
Зарегистрирован: 14.07.2008

#7 Сообщение 31.05.2009, 23:42

Забей, подосит и перестанет. Обычно это не ддос, а просто дос. В этом случае у досера тоже инет не пашет практически. То есть он тебя досит во вред себе.
Можешь еще по логам выискать его IP и обратиться к его провайдеру (шансов мало, но вдруг повезет). И фаейрволом забань этот IP (или дапазон)

Dirt
Сержант
Сержант
Сообщения: 50
Зарегистрирован: 22.09.2008

#8 Сообщение 31.05.2009, 23:52

Поймал уродца:

Код: Выделить всё

Plugin enabled.
Blocked IPs:
   IP Address   | Occurences
----------------+-----------
86.100.84.42      203549  
Сервер немного пролагивал, но уже ни так как раньше, ибо не отвечал на этот бред. У нас тут внутри страны сеть у всех почти 100мбпс, так что даже такая единичная атака на сервер, который и так на пределе, заканчивается фатально.
Забил этот IP в блок лист маршрутизатора. :)
Кстати, по IP, живет в моем же городе, можно будит разобраться. :evil:

Всем спасибо!
Изображение
Изображение
Изображение
Изображение

Аватара пользователя
NAT
Лейтенант
Лейтенант
Сообщения: 132
Зарегистрирован: 19.10.2007
Откуда: moscow

#9 Сообщение 01.06.2009, 01:46

pavlin09
не думаю што он со своего компа досит :lol:
ИзображениеИзображениеИзображениеИзображение

Dirt
Сержант
Сержант
Сообщения: 50
Зарегистрирован: 22.09.2008

#10 Сообщение 01.06.2009, 03:06

Досил со своего и это даже не обсуждается, ибо этот IP и тот что у меня в базе SourceBans совпадают. Да малолетка просто, поиграться вздумал. Софт для досенья ХЛ серваков по инету гуляет, как я понял, уже давно, даже на ютюбе пару видео видел сегодня с мануалом. :D
Таких надо. =@
Изображение
Изображение
Изображение
Изображение

kadet89
Майор
Майор
Сообщения: 557
Зарегистрирован: 26.12.2006

#11 Сообщение 01.06.2009, 19:06

У меня сервер с зомбимодом, и когда я запускаю этот плагин паралельно с зомбимодом, сервер падает. На форуме сказали что такая проблема есть и исправлять её не собираются.
Реально надоело, досят спецом каждую ночь после 12, когда меня нет за компом. Пробовал настроить фаерволл, но игроки говорят что не помогает. Чтобы разобраться, мне нужно чтобы серв подосили, когда я за компом.
Подскажите плз (желательно в личку) где можно достать прогу для доса именно кс сорс сервера, чтобы проверить и настроить фаерволл?
все наработки по защите обещаю выложить здесь

Добавлено спустя 2 часа 5 минут 57 секунд:
_http://zombiemod.com/forums/showthread.php?p=34546&posted=1#post34546

Аватара пользователя
Franz
Сержант
Сержант
Сообщения: 76
Зарегистрирован: 23.04.2009
Откуда: Волгодонск
Контактная информация:

#12 Сообщение 01.06.2009, 21:47

Подскажите плз (желательно в личку) где можно достать прогу для доса именно кс сорс сервера, чтобы проверить и настроить фаерволл?
зачем тебе, если
Пробовал настроить фаерволл, но игроки говорят что не помогает
просто скажи кто тебя обидел?
Изображение

kadet89
Майор
Майор
Сообщения: 557
Зарегистрирован: 26.12.2006

#13 Сообщение 01.06.2009, 21:57

Franz, тебе ники сказать? Pro мыльце и Pro рукавичка - эти два чела
И как это поможет в защите?
Franz, я на полном серьёзе, если есть, кинь в личку плз

Аватара пользователя
U#0
Майор
Майор
Сообщения: 529
Зарегистрирован: 25.10.2007
Поблагодарили: 1 раз
Контактная информация:

#14 Сообщение 02.06.2009, 08:31

Для начала любой администраторской деятельности - необходимо хотя бы знать теорию различного рода атак.

kadet89
Майор
Майор
Сообщения: 557
Зарегистрирован: 26.12.2006

#15 Сообщение 03.06.2009, 23:12

Нашел досилку, она просто шлёт пакеты определённого объема, и т.к. у меня канал так скажем больше 15 мегабит, большинство сервов начинают лагать..., но они лагают независимо от того на какой порт я шлю пакеты.
Мой сервер досят именно по его порту. Т.е. если запустить сервер на другом порту - то он работает нормально.
Я отключил зомбимод, включил предложенный здесь антидос плагин и оказалось он совсем не блокирует данный вид доса.

У кого есть досилка, которая досит именно игровой сервер по порту, на котором он работает, а не забивает весь инет-канал компа, поделитесь плз

Ответить