Ничто не помогает от DDOS
- Monk
- VIP
- Сообщения: 4713
- Зарегистрирован: 21.11.2009
- Благодарил (а): 418 раз
- Поблагодарили: 1053 раза
- Контактная информация:
Jonny
не чушь. Не умеешь блочить - не значит что нельзя.
не чушь. Не умеешь блочить - не значит что нельзя.
- Jonny
- Полковник
- Сообщения: 1371
- Зарегистрирован: 30.05.2008
- Благодарил (а): 23 раза
- Поблагодарили: 54 раза
Ну давай представим ситуацию.Monk писал(а):не чушь. Не умеешь блочить - не значит что нельзя.
Есть запрос к серверу от легального клиента, сервер должен этот запрос обработать.
И есть еще 10 миллионов абсолютно таких же запросов, но только фальшивых. Которые по содержимому пакетов ничем не отличаются и имеют уникальные IP адреса.
Если начать отфильтровывать их по любому из возможных критериев (например блокировать вообще все запросы, если их количество превышает 100 в секунду), то как отличить запрос от легального клиента? Потому как если фильтр отсекает настоящий запрос - это тоже "отказ в обслуживании".
Ну давай, чисто гипотетически, даже не нужно уметь это делать. Просто назови способ.
А то пока что от тебя только философия на уровне "все возможно", без конкретики.
Никакого отношения к нацистским группам и направлениям не имею.
Jonny
Фейковый сорс айпи можно запихнуть в пакет только в раздел data (запихнёте в хидеры и первый же попавшийся восходящий роутер отбросит этот пакет). Соответственно, "фейки" будут обрабатываться на пятом и выше уровне и вам совершенно никто не мешает заблочить их на четвётвёртом (уровень айпитаблес) уровне. Хотите пользуйте лимит, хотите хэшлимит, или вообще какие-нибудь экзотические извращённые способы с участием цепочки мангл. С айпитаблес или пф-таблес можно такие фичи замутить вам и не снились.. - вопрос только в желании этим заниматься и умении, конечно )
Фейковый сорс айпи можно запихнуть в пакет только в раздел data (запихнёте в хидеры и первый же попавшийся восходящий роутер отбросит этот пакет). Соответственно, "фейки" будут обрабатываться на пятом и выше уровне и вам совершенно никто не мешает заблочить их на четвётвёртом (уровень айпитаблес) уровне. Хотите пользуйте лимит, хотите хэшлимит, или вообще какие-нибудь экзотические извращённые способы с участием цепочки мангл. С айпитаблес или пф-таблес можно такие фичи замутить вам и не снились.. - вопрос только в желании этим заниматься и умении, конечно )
- Monk
- VIP
- Сообщения: 4713
- Зарегистрирован: 21.11.2009
- Благодарил (а): 418 раз
- Поблагодарили: 1053 раза
- Контактная информация:
Примеры обоих запросов мне. Оригинального и фальшивого.И есть еще 10 миллионов абсолютно таких же запросов, но только фальшивых. Которые по содержимому пакетов ничем не отличаются и имеют уникальные IP адреса.
- Jonny
- Полковник
- Сообщения: 1371
- Зарегистрирован: 30.05.2008
- Благодарил (а): 23 раза
- Поблагодарили: 54 раза
Там выше в теме уже выкладывали фальшивые. Оригинальные я бы дал, если бы держал сервер.Monk писал(а):Примеры обоих запросов мне. Оригинального и фальшивого.
Никакого отношения к нацистским группам и направлениям не имею.
- Monk
- VIP
- Сообщения: 4713
- Зарегистрирован: 21.11.2009
- Благодарил (а): 418 раз
- Поблагодарили: 1053 раза
- Контактная информация:
Jonny
выше я нашел только: Причем, в первом случае лог не дает нам пример запроса. А второй мне не понятно, нормальный или нет. Это атака или запрос обычного пользователя?
выше я нашел только:
Код: Выделить всё
NET_GetLong: Split packet from 204.77.108.208:55870 with invalid split size (number 99/ count 114) where size 8293 is out of valid range [564 - 1248 ]
Код: Выделить всё
11:36:41.223379 IP (tos 0x0, ttl 117, id 64511, offset 0, flags [none], proto UDP (17), length 53)
217.236.118.100.1888 > хх.хх.хх.хх.27015: [udp sum ok] UDP, length 25
0x0000: 0030 48d6 89ee 6c20 5669 80c0 0800 4500 .0H...l.Vi....E.
0x0010: 0035 fbff 0000 7511 5bdc d9ec 7664 4d78 .5....u.[...vdMx
0x0020: 5013 0760 698e 0021 e227 ffff ffff 5453 P..`i..!.'....TS
0x0030: 6f75 7263 6520 456e 6769 6e65 2051 7565 ource.Engine.Que
0x0040: 7279 00 ry.
- Jonny
- Полковник
- Сообщения: 1371
- Зарегистрирован: 30.05.2008
- Благодарил (а): 23 раза
- Поблагодарили: 54 раза
Какая разница? Ожидаешь увидеть в фальшивом пакете слово fake?Monk писал(а):Это атака или запрос обычного пользователя?
Судя по содержимому - оба пакета, что были показаны есть запрос. Из чего именно должен состоять пакет с запросом Valve сама описывала, но мне лень гуглить.
Никакого отношения к нацистским группам и направлениям не имею.
- Monk
- VIP
- Сообщения: 4713
- Зарегистрирован: 21.11.2009
- Благодарил (а): 418 раз
- Поблагодарили: 1053 раза
- Контактная информация:
Jonny
какая разница какие запросы, окей. Тогда какая разница, ддосят тебя или нет?
Не можешь ответить - молчи, а не говори, что это не блокируется.
какая разница какие запросы, окей. Тогда какая разница, ддосят тебя или нет?
Не можешь ответить - молчи, а не говори, что это не блокируется.
- NiGHt-LEshiY
- Полковник
- Сообщения: 10258
- Зарегистрирован: 13.06.2008
- Откуда: Россия
- Благодарил (а): 752 раза
- Поблагодарили: 2667 раз
- Контактная информация:
Monk
Если только конечный получатель (т.е. последний уровень) после анализа пакета может определить, валидный он или нет, то нельзя такой пакет словить уровнем ниже и дропнуть. По определению.
Конечно же если плохие пакеты одинаковы по содержанию, то такое возможно. Или если есть ошибки в структуре этого UDP-пакета, а не в данных. Но тогда и впрямь неясно, как такой пакет дошёл вообще.
Однако, это всё из-за задачи. Если стоит задача дропать все невалидные пакеты, не вредя при этом ни одному валидному пользователю, то такую задачу решить сложно — утопия. Можно упростить немного и тогда жизнь становится проще. Поэтому, ребята, не спорьте. Творите добро и решайте интересные задачи :)
Если только конечный получатель (т.е. последний уровень) после анализа пакета может определить, валидный он или нет, то нельзя такой пакет словить уровнем ниже и дропнуть. По определению.
Конечно же если плохие пакеты одинаковы по содержанию, то такое возможно. Или если есть ошибки в структуре этого UDP-пакета, а не в данных. Но тогда и впрямь неясно, как такой пакет дошёл вообще.
Однако, это всё из-за задачи. Если стоит задача дропать все невалидные пакеты, не вредя при этом ни одному валидному пользователю, то такую задачу решить сложно — утопия. Можно упростить немного и тогда жизнь становится проще. Поэтому, ребята, не спорьте. Творите добро и решайте интересные задачи :)
Кодекс поведения участников сообщества — обязательно к прочтению.
Просьба присылать сообщения об ошибках в ЛС.
Просьба присылать сообщения об ошибках в ЛС.
- Monk
- VIP
- Сообщения: 4713
- Зарегистрирован: 21.11.2009
- Благодарил (а): 418 раз
- Поблагодарили: 1053 раза
- Контактная информация:
NiGHt-LEshiY
если пакеты все валидные, то это нереально, ессно.
Но как реализовано в этом случае - я не вижу, и сомневаюсь, что они полноценно валидные и разные.
если пакеты все валидные, то это нереально, ессно.
Но как реализовано в этом случае - я не вижу, и сомневаюсь, что они полноценно валидные и разные.
- Shlak
- Эксперты no-Steam
- Сообщения: 1940
- Зарегистрирован: 24.04.2011
- Откуда: Рязань
- Благодарил (а): 97 раз
- Поблагодарили: 548 раз
- Контактная информация:
А почему нельзя заблокировать все пакеты с подобным размером с любого адреса, кроме мастер-сервера? Ведь, насколько я понял, настоящие пакеты идут только от него.
- NiGHt-LEshiY
- Полковник
- Сообщения: 10258
- Зарегистрирован: 13.06.2008
- Откуда: Россия
- Благодарил (а): 752 раза
- Поблагодарили: 2667 раз
- Контактная информация:
Shlak
Disclaimer: я не понимаю в мастерсерверах и выделенных игровых серверах.
Нет никаких гарантий, что у мастерсервера (1) один адрес, (2) этот адрес постоянный, (3) мастерсервер всего один.NiGHt-LEshiY писал(а):Если стоит задача дропать все невалидные пакеты, не вредя при этом ни одному валидному пользователю, то такую задачу решить сложно — утопия
Disclaimer: я не понимаю в мастерсерверах и выделенных игровых серверах.
Кодекс поведения участников сообщества — обязательно к прочтению.
Просьба присылать сообщения об ошибках в ЛС.
Просьба присылать сообщения об ошибках в ЛС.
- Jonny
- Полковник
- Сообщения: 1371
- Зарегистрирован: 30.05.2008
- Благодарил (а): 23 раза
- Поблагодарили: 54 раза
Не вижу связи.Monk писал(а):Jonny
какая разница какие запросы, окей. Тогда какая разница, ддосят тебя или нет?
Есть официальная позиция валве по этому вопросу - сторонние программы могут делать запросы на игровые сервера. Например - HLSW.
Есть документация каким именно должно быть содержимое UDP пакета при таком вот запросе.
Я так понимаю твой мега ум пытается увидеть несовпадение IP адресов (источник соединения/содержимое пакета).
Обычно так это и отсеивается на маршрутизаторах. Анализируется пакет, если везет найти отличия, то пишется фильтр.
Причем здесь какая разница досят меня или нет - не пойму.
По моему, если ты такой дохуя умный, то должен не задавать вопросы, а давать ответы. Ну дескать вот так и так можно, а так и так не можно.Не можешь ответить - молчи, а не говори, что это не блокируется.
А я тебе вообще ничего объяснять не должен, условия задачи уже известны.
Никакого отношения к нацистским группам и направлениям не имею.
- Monk
- VIP
- Сообщения: 4713
- Зарегистрирован: 21.11.2009
- Благодарил (а): 418 раз
- Поблагодарили: 1053 раза
- Контактная информация:
Jonny
я условий не вижу. И ты их тоже не даешь. Потому, в дальнейшем буду твои посты игнорировать.
я условий не вижу. И ты их тоже не даешь. Потому, в дальнейшем буду твои посты игнорировать.