Jump to content

UDP flood продължение.


talibana

Recommended Posts

Здравейте, на всички! ? ето ,че пиша отново пак същата история но на нова глава,така да започна на кратко, от известно време съм под атаките на udp флоод отново, този път проблема,че е самата хардуерна защита неможе да улови самия трафик тъй като не е много голям, а в същото време ми препълва всичко и всичко пада

Хоствам цс сървъри и съм все още на челните позиции както за България така Света, но конкуренцията не иска да ме остави (gameservers.bg) в които се съмнявам най-много,защото единствено те останаха на пазара и гледат да откажат стари кучета като мен,но не са познали.

по-голямата част от логовете са така! 

 

Цитат

Feb 15 21:11:50 cs1 kernel: [535854.098015] nf_conntrack: nf_conntrack: table full, dropping packet
Feb 15 21:11:51 cs1 kernel: [535854.830853] nf_conntrack: nf_conntrack: table full, dropping packet
Feb 15 21:11:51 cs1 kernel: [535854.837002] nf_conntrack: nf_conntrack: table full, dropping packet
Feb 15 21:11:51 cs1 kernel: [535855.111389] nf_conntrack: nf_conntrack: table full, dropping packet
Feb 15 21:11:51 cs1 kernel: [535855.281010] nf_conntrack: nf_conntrack: table full, dropping packet
Feb 15 21:11:52 cs1 kernel: [535855.780614] nf_conntrack: nf_conntrack: table full, dropping packet
Feb 15 21:11:52 cs1 kernel: [535855.869021] nf_conntrack: nf_conntrack: table full, dropping packet
Feb 15 21:11:52 cs1 kernel: [535855.943758] nf_conntrack: nf_conntrack: table full, dropping packet
Feb 15 21:11:52 cs1 kernel: [535855.998747] nf_conntrack: nf_conntrack: table full, dropping packet
Feb 15 21:11:52 cs1 kernel: [535856.216500] nf_conntrack: nf_conntrack: table full, dropping packet
Feb 15 21:11:55 cs1 kernel: [535859.129455] net_ratelimit: 23 callbacks suppressed
Feb 15 21:11:55 cs1 kernel: [535859.129457] nf_conntrack: nf_conntrack: table full, dropping packet
Feb 15 21:11:55 cs1 kernel: [535859.151773] nf_conntrack: nf_conntrack: table full, dropping packet
 

Другото което е,първоначално вдигнах  лимит-а на conntrack_max

net.netfilter.nf_conntrack_max = 524288

графиката ми от трафика ми.

9505614R.jpg

Просто си говорих администратор-а и каза,че такъв трафик на графиките на Radware-а дори не се забелязва на фона на 20ГБ.

Имали ли начин с iptables да филтрирам атаки от този род или каузата е загубена отново, 

Iptables-а  съм отворил единствено портовете които ми трябват всичко останало дропвам,но без успех

от tcpdump логовете са спофнати ип-та различен размер на пакета различни ип-та като ботнет,но с нисък трафик.

Цитат

20:45:45.845603 IP 85.11.145.146.49653 > x.124.x.x.27010: UDP, length 36
20:45:45.847484 IP 109.107.89.97.64271 > 79.124.59.245.27010: UDP, length 36
20:45:45.855418 IP 85.11.145.146.49653 > x.x.5x.x.27010: UDP, length 36
20:45:45.856602 IP 77.85.230.246.56402 > x.124.x.x.27010: UDP, length 36

Не искам да кастря този порт защото ми е нужен, гледах в един руски форум един модул за iptables CS Validation module for iptables. 

Но,все си мисля,че ще има някаква ползва от него,все още не съм получил отговор-а от създателя, Ще съм благодарен на някой ако ми даде някакво времемно решение. 

 

Link to comment
Share on other sites

От UDP флуд, не можеш да се опазиш сам. Трябва да го направи доставчика ти на свързаност към Интернет. Обикновено такава услуга се заплаща и обикновено цената и е от порядъка на 2-5К евро. Другият вариант е да си вземеш по-голям канал свързаност и да се надяваш, че няма да го запълнят. Ако обаче интереса, на атакуващите е сериозен, ще те избухат без проблем с много трафик и тогава само първият вариант помага. 

Link to comment
Share on other sites

преди 9 минути, gbdesign написа:

От UDP флуд, не можеш да се опазиш сам. Трябва да го направи доставчика ти на свързаност към Интернет. Обикновено такава услуга се заплаща и обикновено цената и е от порядъка на 2-5К евро. Другият вариант е да си вземеш по-голям канал свързаност и да се надяваш, че няма да го запълнят. Ако обаче интереса, на атакуващите е сериозен, ще те избухат без проблем с много трафик и тогава само първият вариант помага. 

8043381425.png

да мина на 10ГБ ?

Link to comment
Share on other sites

преди 55 минути, talibana написа:

8043381425.png

да мина на 10ГБ ?

Не ти разбирам вметката. Хвалиш ли се или какво? 

Link to comment
Share on other sites

преди 17 минути, gbdesign написа:

Не ти разбирам вметката. Хвалиш ли се или какво? 

Човек,не съм тръгнал да се хваля, как да ти го обесня,че търся решение на проблема,нищо повече...

Link to comment
Share on other sites

  • Administrator

Прочети втория пост 
Каквото и да режеш на входа на лан картата, то на изхода на срещулежащия интерфейс то вече е минало и запълнило канала.

  • Like 1
Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites

  • Administrator

Ами тръгваш тогава по каналния ред , започваш да сигнализираш органите и да се жалваш, че услугата ти е саботирана, подаваш жалби където се сетиш, флудовете по принцип са опасен прецедент за сигурността на всяка мрежа. И се молиш да натиснат където трябва та някой да се стресне , все пак на Явор Колев това му е работата.

  • Thanks 1

Не отговарям на постове написани с шльокавица!

Link to comment
Share on other sites

Може би със скриншота от спийдтест, @talibana иска да каже че има 1Г капацитет. Ако е така от другата му графика се виждат пикове по 50 мбит и не се връзва да има влошаване на услугата спрямо предоставената информация. От тук можем да кажем, че или не мери правилно или не блокира правилно или не обяснява правилно.

Link to comment
Share on other sites

преди 19 минути, computer написа:

Може би със скриншота от спийдтест, @talibana иска да каже че има 1Г капацитет. Ако е така от другата му графика се виждат пикове по 50 мбит и не се връзва да има влошаване на услугата спрямо предоставената информация. От тук можем да кажем, че или не мери правилно или не блокира правилно или не обяснява правилно.

Точно така е, целят ме с udp но с нисък трафик и всичко увисва, намерих един тоол fastnetmon има доста интересни опции,но дали ще ми помогнат в случая, и след това да предавам ип-тата на хостинг компанията и от там да се блокират цели мрежи. 

Edited by talibana
Link to comment
Share on other sites

Добре, сега положението се поизясни. Виждам, че ти се запълва контракс таблицата, което означава, че правиш NAT. По принцип, аз си слагам сървърите винаги зад рутери и до тях DNAT-вам, само това, което трябва да стига до тях. В твоя случай обаче, не ми е ясно, защо въобще ползваш NAT.  След като не ти се запълва канала, имаш две възможности:

1. Увеличи размера на NAT таблицата - грешният подход.

2. разкарай NAT правилата. Ако системата е от един сървър, не виждам смислена причина да се прави NAT на машината. Без NATняма да имаш connection tracking и съответно няма да имаш проблем с препълване на таблицата за тях. 

Link to comment
Share on other sites

Ако продължим по дедуктивния метод, то с 50 мбит флуд със сигурност не могат да затруднят рутера, въпреки че тук е важен броя пакети. Ако приемем че рутера може да поеме този трафик, би трябвало и гейм сървъра да може, така че остава да се затлачва самото приложение - в случая CS. Тъй като пакетите отиват директно към портовете на приложението, трудно може да се разграничи истинския от фалшивия трафик без да се профилира.

Това което трябва да направиш е да видиш какъв е обичайния трафик от 1 ип адрес при нормално употреба. Виж големината на пакетите и трафика за определен период. Може да се направи аудит и на съдържанието на пакетите и да се направи L7 фълтър по съдържание. Другия начин е да маркираш и филтрираш необичайния трафик по размер на пакета или обем. На общо основание Fastnetmon надали ще може да ти помогне, освен ако трафика не идва от няколко ип адреси и е лесно да се види по обем.

Link to comment
Share on other sites

  • Administrator

Слагаш пред сървърите си рутер. Рутер го правиш прозрачен, т.е бридж. На бриджа класифицираш и манипулираш трафика,след което ограничаваш удп/ппс.

За да класифицираш и манипулираш трафика ще ти  трябва сериозен мониторинг и знания или пари ?

Edited by kokaracha

Use since

OpenBSD 3.x

FreeBSD 4.x

Centos 5.x Debian 3.x Ubuntu 7.x

Аз съм фен на OpenWRT.

 

Горчивината от лошото качество остава дълго след като е преминало удоволствието от ниската цена.

_____________________________

___|____|____|____|____|____|__

_|____|____|____|____|____|____

___|____|_ Удряй _|____|____|__

_|____|___ главата ___|____|____

___|____|_ си тук!! |____|____|__

_|____|____|____|____|____|____

___|____|____|____|____|____|__

Link to comment
Share on other sites

  • Administrator

Тез сървъри нямат ли си регистрационна форма от която само регистрираните да имат достъп а останалите да бъдат дропнати?

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.