UDP flood продължение.

[talibana]

Здравейте, на всички!  ето ,че пиша отново пак същата история но на нова глава,така да започна на кратко, от известно време съм под атаките на udp флоод отново, този път проблема,че е самата хардуерна защита неможе да улови самия трафик тъй като не е много голям, а в същото време ми препълва всичко и всичко пада

Хоствам цс сървъри и съм все още на челните позиции както за България така Света, но конкуренцията не иска да ме остави (gameservers.bg) в които се съмнявам най-много,защото единствено те останаха на пазара и гледат да откажат стари кучета като мен,но не са познали.

по-голямата част от логовете са така! 

 

Цитат

Feb 15 21:11:50 cs1 kernel: [535854.098015] nf_conntrack: nf_conntrack: table full, dropping packet
Feb 15 21:11:51 cs1 kernel: [535854.830853] nf_conntrack: nf_conntrack: table full, dropping packet
Feb 15 21:11:51 cs1 kernel: [535854.837002] nf_conntrack: nf_conntrack: table full, dropping packet
Feb 15 21:11:51 cs1 kernel: [535855.111389] nf_conntrack: nf_conntrack: table full, dropping packet
Feb 15 21:11:51 cs1 kernel: [535855.281010] nf_conntrack: nf_conntrack: table full, dropping packet
Feb 15 21:11:52 cs1 kernel: [535855.780614] nf_conntrack: nf_conntrack: table full, dropping packet
Feb 15 21:11:52 cs1 kernel: [535855.869021] nf_conntrack: nf_conntrack: table full, dropping packet
Feb 15 21:11:52 cs1 kernel: [535855.943758] nf_conntrack: nf_conntrack: table full, dropping packet
Feb 15 21:11:52 cs1 kernel: [535855.998747] nf_conntrack: nf_conntrack: table full, dropping packet
Feb 15 21:11:52 cs1 kernel: [535856.216500] nf_conntrack: nf_conntrack: table full, dropping packet
Feb 15 21:11:55 cs1 kernel: [535859.129455] net_ratelimit: 23 callbacks suppressed
Feb 15 21:11:55 cs1 kernel: [535859.129457] nf_conntrack: nf_conntrack: table full, dropping packet
Feb 15 21:11:55 cs1 kernel: [535859.151773] nf_conntrack: nf_conntrack: table full, dropping packet
 

Другото което е,първоначално вдигнах  лимит-а на conntrack_max

net.netfilter.nf_conntrack_max = 524288

графиката ми от трафика ми.

Просто си говорих администратор-а и каза,че такъв трафик на графиките на Radware-а дори не се забелязва на фона на 20ГБ.

Имали ли начин с iptables да филтрирам атаки от този род или каузата е загубена отново, 

Iptables-а  съм отворил единствено портовете които ми трябват всичко останало дропвам,но без успех

от tcpdump логовете са спофнати ип-та различен размер на пакета различни ип-та като ботнет,но с нисък трафик.

Цитат

20:45:45.845603 IP 85.11.145.146.49653 > x.124.x.x.27010: UDP, length 36
20:45:45.847484 IP 109.107.89.97.64271 > 79.124.59.245.27010: UDP, length 36
20:45:45.855418 IP 85.11.145.146.49653 > x.x.5x.x.27010: UDP, length 36
20:45:45.856602 IP 77.85.230.246.56402 > x.124.x.x.27010: UDP, length 36

Не искам да кастря този порт защото ми е нужен, гледах в един руски форум един модул за iptables CS Validation module for iptables. 

Но,все си мисля,че ще има някаква ползва от него,все още не съм получил отговор-а от създателя, Ще съм благодарен на някой ако ми даде някакво времемно решение. 

 

[gbdesign]

От UDP флуд, не можеш да се опазиш сам. Трябва да го направи доставчика ти на свързаност към Интернет. Обикновено такава услуга се заплаща и обикновено цената и е от порядъка на 2-5К евро. Другият вариант е да си вземеш по-голям канал свързаност и да се надяваш, че няма да го запълнят. Ако обаче интереса, на атакуващите е сериозен, ще те избухат без проблем с много трафик и тогава само първият вариант помага. 

[talibana]

преди 9 минути, gbdesign написа:

От UDP флуд, не можеш да се опазиш сам. Трябва да го направи доставчика ти на свързаност към Интернет. Обикновено такава услуга се заплаща и обикновено цената и е от порядъка на 2-5К евро. Другият вариант е да си вземеш по-голям канал свързаност и да се надяваш, че няма да го запълнят. Ако обаче интереса, на атакуващите е сериозен, ще те избухат без проблем с много трафик и тогава само първият вариант помага. 

да мина на 10ГБ ?

[gbdesign]

преди 55 минути, talibana написа:

да мина на 10ГБ ?

Не ти разбирам вметката. Хвалиш ли се или какво? 

[talibana]

преди 17 минути, gbdesign написа:

Не ти разбирам вметката. Хвалиш ли се или какво? 

Човек,не съм тръгнал да се хваля, как да ти го обесня,че търся решение на проблема,нищо повече...

[111111]

Прочети втория пост 
Каквото и да режеш на входа на лан картата, то на изхода на срещулежащия интерфейс то вече е минало и запълнило канала.

[Велин]

Ами тръгваш тогава по каналния ред , започваш да сигнализираш органите и да се жалваш, че услугата ти е саботирана, подаваш жалби където се сетиш, флудовете по принцип са опасен прецедент за сигурността на всяка мрежа. И се молиш да натиснат където трябва та някой да се стресне , все пак на Явор Колев това му е работата.

[computer]

Може би със скриншота от спийдтест, @talibana иска да каже че има 1Г капацитет. Ако е така от другата му графика се виждат пикове по 50 мбит и не се връзва да има влошаване на услугата спрямо предоставената информация. От тук можем да кажем, че или не мери правилно или не блокира правилно или не обяснява правилно.

[talibana]

преди 19 минути, computer написа:

Може би със скриншота от спийдтест, @talibana иска да каже че има 1Г капацитет. Ако е така от другата му графика се виждат пикове по 50 мбит и не се връзва да има влошаване на услугата спрямо предоставената информация. От тук можем да кажем, че или не мери правилно или не блокира правилно или не обяснява правилно.

Точно така е, целят ме с udp но с нисък трафик и всичко увисва, намерих един тоол fastnetmon има доста интересни опции,но дали ще ми помогнат в случая, и след това да предавам ип-тата на хостинг компанията и от там да се блокират цели мрежи. 

Редактирано 16 Февруари, 2019 от talibana

[gbdesign]

Добре, сега положението се поизясни. Виждам, че ти се запълва контракс таблицата, което означава, че правиш NAT. По принцип, аз си слагам сървърите винаги зад рутери и до тях DNAT-вам, само това, което трябва да стига до тях. В твоя случай обаче, не ми е ясно, защо въобще ползваш NAT.  След като не ти се запълва канала, имаш две възможности:

1. Увеличи размера на NAT таблицата - грешният подход.

2. разкарай NAT правилата. Ако системата е от един сървър, не виждам смислена причина да се прави NAT на машината. Без NATняма да имаш connection tracking и съответно няма да имаш проблем с препълване на таблицата за тях. 

[computer]

Ако продължим по дедуктивния метод, то с 50 мбит флуд със сигурност не могат да затруднят рутера, въпреки че тук е важен броя пакети. Ако приемем че рутера може да поеме този трафик, би трябвало и гейм сървъра да може, така че остава да се затлачва самото приложение - в случая CS. Тъй като пакетите отиват директно към портовете на приложението, трудно може да се разграничи истинския от фалшивия трафик без да се профилира.

Това което трябва да направиш е да видиш какъв е обичайния трафик от 1 ип адрес при нормално употреба. Виж големината на пакетите и трафика за определен период. Може да се направи аудит и на съдържанието на пакетите и да се направи L7 фълтър по съдържание. Другия начин е да маркираш и филтрираш необичайния трафик по размер на пакета или обем. На общо основание Fastnetmon надали ще може да ти помогне, освен ако трафика не идва от няколко ип адреси и е лесно да се види по обем.

[kokaracha]

Слагаш пред сървърите си рутер. Рутер го правиш прозрачен, т.е бридж. На бриджа класифицираш и манипулираш трафика,след което ограничаваш удп/ппс.

За да класифицираш и манипулираш трафика ще ти  трябва сериозен мониторинг и знания или пари

Редактирано 16 Февруари, 2019 от kokaracha

[111111]

Тез сървъри нямат ли си регистрационна форма от която само регистрираните да имат достъп а останалите да бъдат дропнати?