Ничто не помогает от DDOS

[artstylee]

ограничить подключения к порту 27015 допустим 5 подключений в минуту?

хотя нет, это бессмысленно -)

[Monk]

Jonny
не чушь. Не умеешь блочить - не значит что нельзя.

[Jonny]

не чушь. Не умеешь блочить - не значит что нельзя.

Ну давай представим ситуацию.
Есть запрос к серверу от легального клиента, сервер должен этот запрос обработать.
И есть еще 10 миллионов абсолютно таких же запросов, но только фальшивых. Которые по содержимому пакетов ничем не отличаются и имеют уникальные IP адреса.
Если начать отфильтровывать их по любому из возможных критериев (например блокировать вообще все запросы, если их количество превышает 100 в секунду), то как отличить запрос от легального клиента? Потому как если фильтр отсекает настоящий запрос - это тоже "отказ в обслуживании".

Ну давай, чисто гипотетически, даже не нужно уметь это делать. Просто назови способ.
А то пока что от тебя только философия на уровне "все возможно", без конкретики.

[Pedobir]

Jonny
Фейковый сорс айпи можно запихнуть в пакет только в раздел data (запихнёте в хидеры и первый же попавшийся восходящий роутер отбросит этот пакет). Соответственно, "фейки" будут обрабатываться на пятом и выше уровне и вам совершенно никто не мешает заблочить их на четвётвёртом (уровень айпитаблес) уровне. Хотите пользуйте лимит, хотите хэшлимит, или вообще какие-нибудь экзотические извращённые способы с участием цепочки мангл. С айпитаблес или пф-таблес можно такие фичи замутить вам и не снились.. - вопрос только в желании этим заниматься и умении, конечно )

[Monk]

И есть еще 10 миллионов абсолютно таких же запросов, но только фальшивых. Которые по содержимому пакетов ничем не отличаются и имеют уникальные IP адреса.

Примеры обоих запросов мне. Оригинального и фальшивого.

[Jonny]

Примеры обоих запросов мне. Оригинального и фальшивого.

Там выше в теме уже выкладывали фальшивые. Оригинальные я бы дал, если бы держал сервер.

[Monk]

Jonny
выше я нашел только:

Код: Выделить всё

 NET_GetLong: Split packet from 204.77.108.208:55870 with invalid split size (number 99/ count 114) where size 8293 is out of valid range [564 - 1248 ]

Код: Выделить всё

11:36:41.223379 IP (tos 0x0, ttl 117, id 64511, offset 0, flags [none], proto UDP (17), length 53)
    217.236.118.100.1888 > хх.хх.хх.хх.27015: [udp sum ok] UDP, length 25
        0x0000:  0030 48d6 89ee 6c20 5669 80c0 0800 4500  .0H...l.Vi....E.
        0x0010:  0035 fbff 0000 7511 5bdc d9ec 7664 4d78  .5....u.[...vdMx
        0x0020:  5013 0760 698e 0021 e227 ffff ffff 5453  P..`i..!.'....TS
        0x0030:  6f75 7263 6520 456e 6769 6e65 2051 7565  ource.Engine.Que
        0x0040:  7279 00                                  ry.

Причем, в первом случае лог не дает нам пример запроса. А второй мне не понятно, нормальный или нет. Это атака или запрос обычного пользователя?

[Jonny]

Это атака или запрос обычного пользователя?

Какая разница? Ожидаешь увидеть в фальшивом пакете слово fake?
Судя по содержимому - оба пакета, что были показаны есть запрос. Из чего именно должен состоять пакет с запросом Valve сама описывала, но мне лень гуглить.

[Monk]

Jonny
какая разница какие запросы, окей. Тогда какая разница, ддосят тебя или нет?

Не можешь ответить - молчи, а не говори, что это не блокируется.

[NiGHt-LEshiY]

Monk
Если только конечный получатель (т.е. последний уровень) после анализа пакета может определить, валидный он или нет, то нельзя такой пакет словить уровнем ниже и дропнуть. По определению.
Конечно же если плохие пакеты одинаковы по содержанию, то такое возможно. Или если есть ошибки в структуре этого UDP-пакета, а не в данных. Но тогда и впрямь неясно, как такой пакет дошёл вообще.
Однако, это всё из-за задачи. Если стоит задача дропать все невалидные пакеты, не вредя при этом ни одному валидному пользователю, то такую задачу решить сложно — утопия. Можно упростить немного и тогда жизнь становится проще. Поэтому, ребята, не спорьте. Творите добро и решайте интересные задачи :)

[Monk]

NiGHt-LEshiY
если пакеты все валидные, то это нереально, ессно.

Но как реализовано в этом случае - я не вижу, и сомневаюсь, что они полноценно валидные и разные.

[Shlak]

А почему нельзя заблокировать все пакеты с подобным размером с любого адреса, кроме мастер-сервера? Ведь, насколько я понял, настоящие пакеты идут только от него.

[NiGHt-LEshiY]

Shlak

Если стоит задача дропать все невалидные пакеты, не вредя при этом ни одному валидному пользователю, то такую задачу решить сложно — утопия

Нет никаких гарантий, что у мастерсервера (1) один адрес, (2) этот адрес постоянный, (3) мастерсервер всего один.
Disclaimer: я не понимаю в мастерсерверах и выделенных игровых серверах.

[Jonny]

Jonny
какая разница какие запросы, окей. Тогда какая разница, ддосят тебя или нет?

Не вижу связи.

Есть официальная позиция валве по этому вопросу - сторонние программы могут делать запросы на игровые сервера. Например - HLSW.
Есть документация каким именно должно быть содержимое UDP пакета при таком вот запросе.
Я так понимаю твой мега ум пытается увидеть несовпадение IP адресов (источник соединения/содержимое пакета).
Обычно так это и отсеивается на маршрутизаторах. Анализируется пакет, если везет найти отличия, то пишется фильтр.

Причем здесь какая разница досят меня или нет - не пойму.

Не можешь ответить - молчи, а не говори, что это не блокируется.

По моему, если ты такой дохуя умный, то должен не задавать вопросы, а давать ответы. Ну дескать вот так и так можно, а так и так не можно.
А я тебе вообще ничего объяснять не должен, условия задачи уже известны.

[Monk]

Jonny
я условий не вижу. И ты их тоже не даешь. Потому, в дальнейшем буду твои посты игнорировать.