Ничто не помогает от DDOS
- Genya Arikado
- Лейтенант
- Сообщения: 137
- Зарегистрирован: 13.05.2009
- Откуда: Москва
- Поблагодарили: 19 раз
- Контактная информация:
Дома на системнике держу 2 сервера. Появился ддосер. Плагины на метамоде не спасают. Фаерволы не спасают. Роутер не спасает. Что делать в таких ситуациях? На серверах пинг 300 и даже в интернет не пускает. Если выкл срвер, то всё ок, а как только включу то сразу ддос. Операционка Windows 8. Metamod и Sourcemod последние.
- Genya Arikado
- Лейтенант
- Сообщения: 137
- Зарегистрирован: 13.05.2009
- Откуда: Москва
- Поблагодарили: 19 раз
- Контактная информация:
- Genya Arikado
- Лейтенант
- Сообщения: 137
- Зарегистрирован: 13.05.2009
- Откуда: Москва
- Поблагодарили: 19 раз
- Контактная информация:
- Monk
- VIP
- Сообщения: 4713
- Зарегистрирован: 21.11.2009
- Благодарил (а): 418 раз
- Поблагодарили: 1053 раза
- Контактная информация:
Фаервол спасает. Достаточно банить после определенного числа запросов с адреса в минуту.
-
- Сержант
- Сообщения: 58
- Зарегистрирован: 25.01.2011
- Откуда: Улан-Уде
- Благодарил (а): 3358 раз
- Поблагодарили: 2 раза
Сейчас появилась новая фишка, от которой нет спасения.
Заметил это дело случайно, долго мучался, но решения так и нету. Прогу атаки тоже не нашел пока.
Принцип такой: сидит школоло с домашним каналом, например 50Мбит/с, и дрочит сервер своей прогой. Прога бомбит указанный порт, например 27015, сплит-пакетами размером 46 и 53 байта, при этом идёт IP спуфинг с подменой адресов на левайс.
Особенность:
1. Адреса никогда не повторяются, тоесть банить по по количеству подключений с одного IP невозможно.
2. Пакет длиной в 53 байта используется для ответа мастер-сервера и определяет видимость сервера в интернете. Значить отипитаблить его не получится, в отличии от 46.
3. Сервер, получая пару тысяч запросов в секунду, уверенно ложится и перезапускается.
4. Никакие правила iptables не помогают.
5. Атакующему это ничего не стоит, кроме домашнего инета - всё включено :)
6. Найти его невозможно.
Временное решение это поменять порт или IP.
Часть лога сервера перед падением:
Заметил это дело случайно, долго мучался, но решения так и нету. Прогу атаки тоже не нашел пока.
Принцип такой: сидит школоло с домашним каналом, например 50Мбит/с, и дрочит сервер своей прогой. Прога бомбит указанный порт, например 27015, сплит-пакетами размером 46 и 53 байта, при этом идёт IP спуфинг с подменой адресов на левайс.
Особенность:
1. Адреса никогда не повторяются, тоесть банить по по количеству подключений с одного IP невозможно.
2. Пакет длиной в 53 байта используется для ответа мастер-сервера и определяет видимость сервера в интернете. Значить отипитаблить его не получится, в отличии от 46.
3. Сервер, получая пару тысяч запросов в секунду, уверенно ложится и перезапускается.
4. Никакие правила iptables не помогают.
5. Атакующему это ничего не стоит, кроме домашнего инета - всё включено :)
6. Найти его невозможно.
Временное решение это поменять порт или IP.
Часть лога сервера перед падением:
- Jonny
- Полковник
- Сообщения: 1371
- Зарегистрирован: 30.05.2008
- Благодарил (а): 23 раза
- Поблагодарили: 54 раза
Я не очень сообразил как можно подменить исходящий IP адрес в интернете. В локальной сети - да, там понятно. Как в интернете то?
По моему брехня.
По моему брехня.
Никакого отношения к нацистским группам и направлениям не имею.
- Jonny
- Полковник
- Сообщения: 1371
- Зарегистрирован: 30.05.2008
- Благодарил (а): 23 раза
- Поблагодарили: 54 раза
Все эти логи - на уровне разобранных пакетов уже на стороне игрового сервера. Там надо смотреть конкретно на сетевые подключения на уровне маршрутизатора.
Если и на маршрутизаторе все эти адреса реальны, значит это действительно DDoS (а не DoS) и сделать тут вряд ли что можно.
Если и на маршрутизаторе все эти адреса реальны, значит это действительно DDoS (а не DoS) и сделать тут вряд ли что можно.
Никакого отношения к нацистским группам и направлениям не имею.
-
- Сержант
- Сообщения: 58
- Зарегистрирован: 25.01.2011
- Откуда: Улан-Уде
- Благодарил (а): 3358 раз
- Поблагодарили: 2 раза
В UDP пакетах IP адрес может подменяться на передаче, так как это не достоверный протокол. Поэтому с домашнего компа можно создать видимость атаки мирового масштаба. Нужно отловить эту прогу на исследование.
Какой маршрутизатор в дата-центре на волокне? Речь идёт не про домашний "сервер", а про настоящее серверное оборудование и все дела. Проверить трафик всего дата-центра не реально. В таком случае просто меняют IP в лучшем случае. Трафик очень маленький, иначе положили бы весь сервер. Так вот, при трафике атакующего всего 3Гб в день (что мизерно мало) игровой сервер ложится как миленький.
Пакеты анализируются в сетевой карте на втором уровне независимо от iptables, тоесть до него:
Примеры:
Я думаю, раз эта зараза появилась, то скоро многие с ней познакомятся и испытают свои методы защиты.
Ну я же не дурочка наверное?Jonny писал(а):Все эти логи - на уровне разобранных пакетов уже на стороне игрового сервера. Там надо смотреть конкретно на сетевые подключения на уровне маршрутизатора.
Если и на маршрутизаторе все эти адреса реальны, значит это действительно DDoS (а не DoS) и сделать тут вряд ли что можно.
Какой маршрутизатор в дата-центре на волокне? Речь идёт не про домашний "сервер", а про настоящее серверное оборудование и все дела. Проверить трафик всего дата-центра не реально. В таком случае просто меняют IP в лучшем случае. Трафик очень маленький, иначе положили бы весь сервер. Так вот, при трафике атакующего всего 3Гб в день (что мизерно мало) игровой сервер ложится как миленький.
Пакеты анализируются в сетевой карте на втором уровне независимо от iptables, тоесть до него:
Примеры:
Разные мониторинги сети показывают повышенную сетевую активность на одном порте и всё. Блокировать нечего кроме самого игрового сервера :) Запрещение фрагментированных сплит-пакетов ничего не дает.
Я думаю, раз эта зараза появилась, то скоро многие с ней познакомятся и испытают свои методы защиты.
- Monk
- VIP
- Сообщения: 4713
- Зарегистрирован: 21.11.2009
- Благодарил (а): 418 раз
- Поблагодарили: 1053 раза
- Контактная информация:
Сомнительно, но разбираться лень. Кому надо, тот разберется, ибо решение есть всегда.1. Адреса никогда не повторяются, тоесть банить по по количеству подключений с одного IP невозможно.