Ничто не помогает от DDOS

[Genya Arikado]

Дома на системнике держу 2 сервера. Появился ддосер. Плагины на метамоде не спасают. Фаерволы не спасают. Роутер не спасает. Что делать в таких ситуациях? На серверах пинг 300 и даже в интернет не пускает. Если выкл срвер, то всё ок, а как только включу то сразу ддос. Операционка Windows 8. Metamod и Sourcemod последние.

[SHADOW]

Genya Arikado
Пробовал защищаться через iptables?

[Genya Arikado]

SHADOW
У меня Windows. С Linux мало знаком.

[__A]

Какой канал у вас?
Если у засранца канал больше, то бесполезно. имхо

[artstylee]

ддосит небось тебя тоже домашний. сомневаюсь что на тебя стали бы тратить по 100$ в день лишь бы положить твои сервера.
анализируй подключения и бань ипшники

[Genya Arikado]

BearDED
ОнЛайм 50
50 / 25 мбит

[Monk]

Фаервол спасает. Достаточно банить после определенного числа запросов с адреса в минуту.

[__A]

А что ж на роутере не получилось?

[metoprolol]

Сейчас появилась новая фишка, от которой нет спасения.
Заметил это дело случайно, долго мучался, но решения так и нету. Прогу атаки тоже не нашел пока.

Принцип такой: сидит школоло с домашним каналом, например 50Мбит/с, и дрочит сервер своей прогой. Прога бомбит указанный порт, например 27015, сплит-пакетами размером 46 и 53 байта, при этом идёт IP спуфинг с подменой адресов на левайс.
Особенность:
1. Адреса никогда не повторяются, тоесть банить по по количеству подключений с одного IP невозможно.
2. Пакет длиной в 53 байта используется для ответа мастер-сервера и определяет видимость сервера в интернете. Значить отипитаблить его не получится, в отличии от 46.
3. Сервер, получая пару тысяч запросов в секунду, уверенно ложится и перезапускается.
4. Никакие правила iptables не помогают.
5. Атакующему это ничего не стоит, кроме домашнего инета - всё включено :)
6. Найти его невозможно.

Временное решение это поменять порт или IP.

Часть лога сервера перед падением:

NET_GetLong: Split packet from 204.77.108.208:55870 with invalid split size (number 99/ count 114) where size 8293 is out of valid range [564 - 1248 ]
NET_GetLong: Split packet from 141.242.153.26:54288 with invalid split size (number 81/ count 81) where size 337 is out of valid range [564 - 1248 ]
NET_GetLong: Split packet from 141.112.172.6:39147 with invalid split size (number 81/ count 81) where size 337 is out of valid range [564 - 1248 ]
NET_GetLong: Split packet from 41.6.220.96:31310 with invalid split size (number 99/ count 114) where size 8293 is out of valid range [564 - 1248 ]
NET_GetLong: Split packet from 128.47.204.112:65150 with invalid split size (number 99/ count 114) where size 8293 is out of valid range [564 - 1248 ]
NET_GetLong: Split packet from 170.62.29.75:58430 with invalid split size (number 99/ count 114) where size 8293 is out of valid range [564 - 1248 ]
NET_GetLong: Split packet from 87.18.134.158:54931 with invalid split size (number 81/ count 81) where size 337 is out of valid range [564 - 1248 ]
NET_GetLong: Split packet from 148.182.50.61:62852 with invalid split size (number 99/ count 114) where size 8293 is out of valid range [564 - 1248 ]
NET_GetLong: Split packet from 134.91.210.38:7977 with invalid split size (number 81/ count 81) where size 337 is out of valid range [564 - 1248 ]
NET_GetLong: Split packet from 66.52.132.77:22588 with invalid split size (number 99/ count 114) where size 8293 is out of valid range [564 - 1248 ]
NET_GetLong: Split packet from 82.133.139.96:44215 with invalid split size (number 81/ count 81) where size 337 is out of valid range [564 - 1248 ]
NET_GetLong: Split packet from 95.75.47.214:57274 with invalid split size (number 99/ count 114) where size 8293 is out of valid range [564 - 1248 ]
NET_GetLong: Split packet from 69.170.81.79:55166 with invalid split size (number 99/ count 114) where size 8293 is out of valid range [564 - 1248 ]
NET_GetLong: Split packet from 178.252.66.18:26912 with invalid split size (number 81/ count 81) where size 337 is out of valid range [564 - 1248 ]
NET_GetLong: Split packet from 81.215.51.67:43252 with invalid split size (number 81/ count 81) where size 337 is out of valid range [564 - 1248 ]
NET_GetLong: Split packet from 138.26.68.203:15234 with invalid split size (number 99/ count 114) where size 8293 is out of valid range [564 - 1248 ]
NET_GetLong: Split packet from 165.193.250.209:57263 with invalid split size (number 99/ count 114) where size 8293 is out of valid range [564 - 1248 ]
NET_GetLong: Split packet from 209.43.197.51:51417 with invalid split size (number 81/ count 81) where size 337 is out of valid range [564 - 1248 ]
NET_GetLong: Split packet from 195.213.155.229:27803 with invalid split size (number 81/ count 81) where size 337 is out of valid range [564 - 1248 ]
NET_GetLong: Split packet from 78.38.94.64:30260 with invalid split size (number 99/ count 114) where size 8293 is out of valid range [564 - 1248 ]
NET_GetLong: Split packet from 98.176.248.180:25813 with invalid split size (number 81/ count 81) where size 337 is out of valid range [564 - 1248 ]
NET_GetLong: Split packet from 152.21.175.17:63058 with invalid split size (number 99/ count 114) where size 8293 is out of valid range [564 - 1248 ]
NET_GetLong: Split packet from 131.247.107.170:37765 with invalid split size (number 99/ count 114) where size 8293 is out of valid range [564 - 1248 ]
NET_GetLong: Split packet from 167.140.127.28:16680 with invalid split size (number 81/ count 81) where size 337 is out of valid range [564 - 1248 ]
NET_GetLong: Split packet from 87.229.113.169:3700 with invalid split size (number 81/ count 81) where size 337 is out of valid range [564 - 1248 ]
NET_GetLong: Split packet from 2.77.147.103:42580 with invalid split size (number 81/ count 81) where size 337 is out of valid range [564 - 1248 ]
NET_GetLong: Split packet from 217.117.23.232:32561 with invalid split size (number 81/ count 81) where size 337 is out of valid range [564 - 1248 ]
NET_GetLong: Split packet from 193.121.80.167:25874 with invalid split size (number 99/ count 114) where size 8293 is out of valid range [564 - 1248 ]
NET_GetLong: Split packet from 217.202.46.211:33935 with invalid split size (number 99/ count 114) where size 8293 is out of valid range [564 - 1248 ]
NET_GetLong: Split packet from 174.194.4.157:40082 with invalid split size (number 99/ count 114) where size 8293 is out of valid range [564 - 1248 ]
NET_GetLong: Split packet from 67.46.102.60:39106 with invalid split size (number 81/ count 81) where size 337 is out of valid range [564 - 1248 ]
NET_GetLong: Split packet from 86.116.175.71:21939 with invalid split size (number 99/ count 114) where size 8293 is out of valid range [564 - 1248 ]
NET_GetLong: Split packet from 94.55.128.90:25909 with invalid split size (number 81/ count 81) where size 337 is out of valid range [564 - 1248 ]
NET_GetLong: Split packet from 199.68.79.205:10087 with invalid split size (number 99/ count 114) where size 8293 is out of valid range [564 - 1248 ]
NET_GetLong: Split packet from 188.187.156.4:41214 with invalid split size (number 99/ count 114) where size 8293 is out of valid range [564 - 1248 ]
NET_GetLong: Split packet from 160.2.77.60:62812 with invalid split size (number 99/ count 114) where size 8293 is out of valid range [564 - 1248 ]
NET_GetLong: Split packet from 152.163.182.71:1803 with invalid split size (number 81/ count 81) where size 337 is out of valid range [564 - 1248 ]
NET_GetLong: Split packet from 193.227.205.12:2722 with invalid split size (number 81/ count 81) where size 337 is out of valid range [564 - 1248 ]
NET_GetLong: Split packet from 64.202.193.225:39969 with invalid split size (number 81/ count 81) where size 337 is out of valid range [564 - 1248 ]
NET_GetLong: Split packet from 144.156.37.34:65197 with invalid split size (number 81/ count 81) where size 337 is out of valid range [564 - 1248 ]
NET_GetLong: Split packet from 128.32.238.112:21149 with invalid split size (number 99/ count 114) where size 8293 is out of valid range [564 - 1248 ]
NET_GetLong: Split packet from 90.78.101.188:45890 with invalid split size (number 99/ count 114) where size 8293 is out of valid range [564 - 1248 ]
NET_GetLong: Split packet from 208.30.44.103:48461 with invalid split size (number 81/ count 81) where size 337 is out of valid range [564 - 1248 ]
NET_GetLong: Split packet from 137.84.209.30:32065 with invalid split size (number 99/ count 114) where size 8293 is out of valid range [564 - 1248 ]
NET_GetLong: Split packet from 205.198.249.155:56678 with invalid split size (number 81/ count 81) where size 337 is out of valid range [564 - 1248 ]

[Jonny]

Я не очень сообразил как можно подменить исходящий IP адрес в интернете. В локальной сети - да, там понятно. Как в интернете то?
По моему брехня.

[__A]

metoprolol
такую же проблему описывают
интересно блин :]

Добавлено спустя 2 минуты 47 секунд:
и тут

[Jonny]

Все эти логи - на уровне разобранных пакетов уже на стороне игрового сервера. Там надо смотреть конкретно на сетевые подключения на уровне маршрутизатора.
Если и на маршрутизаторе все эти адреса реальны, значит это действительно DDoS (а не DoS) и сделать тут вряд ли что можно.

[metoprolol]

В UDP пакетах IP адрес может подменяться на передаче, так как это не достоверный протокол. Поэтому с домашнего компа можно создать видимость атаки мирового масштаба. Нужно отловить эту прогу на исследование.

Все эти логи - на уровне разобранных пакетов уже на стороне игрового сервера. Там надо смотреть конкретно на сетевые подключения на уровне маршрутизатора.
Если и на маршрутизаторе все эти адреса реальны, значит это действительно DDoS (а не DoS) и сделать тут вряд ли что можно.

Ну я же не дурочка наверное?
Какой маршрутизатор в дата-центре на волокне? Речь идёт не про домашний "сервер", а про настоящее серверное оборудование и все дела. Проверить трафик всего дата-центра не реально. В таком случае просто меняют IP в лучшем случае. Трафик очень маленький, иначе положили бы весь сервер. Так вот, при трафике атакующего всего 3Гб в день (что мизерно мало) игровой сервер ложится как миленький.

Пакеты анализируются в сетевой карте на втором уровне независимо от iptables, тоесть до него:

Примеры:

Код: Выделить всё

11:36:41.223379 IP (tos 0x0, ttl 117, id 64511, offset 0, flags [none], proto UDP (17), length 53)
    217.236.118.100.1888 > хх.хх.хх.хх.27015: [udp sum ok] UDP, length 25
        0x0000:  0030 48d6 89ee 6c20 5669 80c0 0800 4500  .0H...l.Vi....E.
        0x0010:  0035 fbff 0000 7511 5bdc d9ec 7664 4d78  .5....u.[...vdMx
        0x0020:  5013 0760 698e 0021 e227 ffff ffff 5453  P..`i..!.'....TS
        0x0030:  6f75 7263 6520 456e 6769 6e65 2051 7565  ource.Engine.Que
        0x0040:  7279 00                                  ry.
11:36:41.223421 IP (tos 0x0, ttl 117, id 36970, offset 0, flags [none], proto UDP (17), length 46)
    188.18.60.6.20956 > хх.хх.хх.хх.27015: [udp sum ok] UDP, length 18
        0x0000:  0030 48d6 89ee 6c20 5669 80c0 0800 4500  .0H...l.Vi....E.
        0x0010:  002e 906a 0000 7511 1fb1 bc12 3c06 4d78  ...j..u.....<.Mx
        0x0020:  5013 51dc 698e 001a 36c9 feff ffff 5352  P.Q.i...6.....SR
        0x0030:  6f75 5151 5101 5352 6f75 5100            ouQQQ.SRouQ.

Разные мониторинги сети показывают повышенную сетевую активность на одном порте и всё. Блокировать нечего кроме самого игрового сервера :) Запрещение фрагментированных сплит-пакетов ничего не дает.
Я думаю, раз эта зараза появилась, то скоро многие с ней познакомятся и испытают свои методы защиты.

[Monk]

1. Адреса никогда не повторяются, тоесть банить по по количеству подключений с одного IP невозможно.

Сомнительно, но разбираться лень. Кому надо, тот разберется, ибо решение есть всегда.

[Jonny]

Кому надо, тот разберется, ибо решение есть всегда.

Чушь