iptables

Сообщение

bombik · #1 Сообщение 04.03.2012, 18:45

Здравствуйте,

У меня такая проблема, как dos/ddos атака. Очень много разных форумов и сайтов посмотрел, воспользовался поиском, но толком нигде нету точного ответа. Видел, что говорят про iptables + fail2ban, но примеров нету. Ещё нашел такую вещь:

Код: Выделить всё

iptables -I INPUT -p udp --dport 27000:29999 -m hashlimit --hashlimit-upto 101/sec --hashlimit-mode srcip --hashlimit-name css -j ACCEPT

iptables -I INPUT -p udp --dport 27000:29999 -m length --length 0:32 -j DROP

-N logattacker
-A logattacker -j LOG --log-prefix " SRCDS:ATTACK: " --log-ip-options
-A logattacker -j DROP
-A INPUT -p udp -m udp -m limit -m length --dport 27000:29999 --limit 2/second -j logattacker --length 0:32

Может кто пробовал ? Есть ли толк от этого ?
Ещё на одном из форумов посоветовали:

Код: Выделить всё

iptables -A INPUT -p udp -m udp --dport 27015 -m conntrack --ctstate NEW -m length --length 30:256 -m hashlimit --hashlimit-upto 10/sec --hashlimit-burst 10 --hashlimit-mode srcip,srcport,dstip,dstport --hashlimit-name CStrike_new -j ACCEPT
iptables -A INPUT -p udp -m udp --dport 27015 -m length --length 30:1500 -m hashlimit --hashlimit-upto 101/sec --hashlimit-burst 101 --hashlimit-mode srcip,srcport,dstip,dstport --hashlimit-name CStrike_ESTABL -j ACCEPT
iptables -A INPUT -p udp -m udp --dport 27015 -j DROP

Но не работает. Буду очень благодарен за помощь.

kadet89 · #2 Сообщение 05.03.2012, 14:55

Чем различаются dos и ddos атаки знаете? Если у вас оба типа - то простым фаером не защититься

bombik · #3 Сообщение 06.03.2012, 01:24

Вроде знаю, если я правильно знаю, то dos от одного, а ddos от сети компов.
Нужна помощь от dos'a.

Maine · #4 Сообщение 06.03.2012, 17:49

bombik писал(а):Вроде знаю, если я правильно знаю, то dos от одного, а ddos от сети компов.
Нужна помощь от dos'a.

Спасает от "школьного доса", тоесть если вас пара недовольных игроков досят, рабочее правило на CentOS(на Генте аналогично):

Код: Выделить всё

-A INPUT -p udp -m udp --dport 27016 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m udp --dport 27016 -m state --state NEW -m hashlimit --hashlimit-upto 5/sec --hashlimit-burst 5 --hashlimit-mode srcip --hashlimit-name 4 -j ACCEPT
-A INPUT -p udp -m udp --dport 27016 -j DROP

Но тут чуть отпустил, при атаке может подняться на 40-50мс.
Можешь ещё сильней ужать "горло", вот так

Код: Выделить всё

--hashlimit-upto 1/sec --hashlimit-burst 1

будет играбельно, без вопросов, пинг на сервере от атаки поднимется на 5-10мс не более.

Если тебя конечно пара человек засыпают пакетами, а если ботнеты но канал повиснет.

kadet89 · #5 Сообщение 07.03.2012, 15:55

Нет, один направлен на какое-то серверное приложение.. вернее на дыру в нем, при которой небольшим количеством пакетов можно загрузить этим приложением проц сервака под 100%
Например если на css сервак (по крайней мере 34 версии) слять яяяяconnect - достаточно трафика в несколько байт чтобы сервак перестал отвечать.
Второй вид атаки - на переполнение канала.
К примеру у вас входящий канал 20 мегабит, а у досера исходящий 50 мегабит.
Он может начать слать udp пакеты на ваш ip со скоростью 50 мбит/с, и не важно какие приложения у вас работают, ваш входящий канал будет забит под 100%
И поскольку дос пакетов гораздо больше, на ограничителе у провайдера полезные пакеты (не дос, от обычных пользователей) по большей части будут отсеиваться.
В этом случае настройкой фаерволл не обойтись, т.к. полезные и дос пакеты избираются на стороне провайдера.
У части европейских провайдеров предоставляется фаерволл для пользователей, через который они могут выделять трафик до ограничителя... например ограничивать скорость входящего трафика с каждого ip.

В общем с помощью фаерволла можно решить только первый случай.
Еще есть другие виды атак, но про них уж прочитаете в других источниках.