talibana Posted February 15, 2019 Report Share Posted February 15, 2019 Здравейте, на всички! ето ,че пиша отново пак същата история но на нова глава,така да започна на кратко, от известно време съм под атаките на udp флоод отново, този път проблема,че е самата хардуерна защита неможе да улови самия трафик тъй като не е много голям, а в същото време ми препълва всичко и всичко пада Хоствам цс сървъри и съм все още на челните позиции както за България така Света, но конкуренцията не иска да ме остави (gameservers.bg) в които се съмнявам най-много,защото единствено те останаха на пазара и гледат да откажат стари кучета като мен,но не са познали. по-голямата част от логовете са така! Цитат Feb 15 21:11:50 cs1 kernel: [535854.098015] nf_conntrack: nf_conntrack: table full, dropping packet Feb 15 21:11:51 cs1 kernel: [535854.830853] nf_conntrack: nf_conntrack: table full, dropping packet Feb 15 21:11:51 cs1 kernel: [535854.837002] nf_conntrack: nf_conntrack: table full, dropping packet Feb 15 21:11:51 cs1 kernel: [535855.111389] nf_conntrack: nf_conntrack: table full, dropping packet Feb 15 21:11:51 cs1 kernel: [535855.281010] nf_conntrack: nf_conntrack: table full, dropping packet Feb 15 21:11:52 cs1 kernel: [535855.780614] nf_conntrack: nf_conntrack: table full, dropping packet Feb 15 21:11:52 cs1 kernel: [535855.869021] nf_conntrack: nf_conntrack: table full, dropping packet Feb 15 21:11:52 cs1 kernel: [535855.943758] nf_conntrack: nf_conntrack: table full, dropping packet Feb 15 21:11:52 cs1 kernel: [535855.998747] nf_conntrack: nf_conntrack: table full, dropping packet Feb 15 21:11:52 cs1 kernel: [535856.216500] nf_conntrack: nf_conntrack: table full, dropping packet Feb 15 21:11:55 cs1 kernel: [535859.129455] net_ratelimit: 23 callbacks suppressed Feb 15 21:11:55 cs1 kernel: [535859.129457] nf_conntrack: nf_conntrack: table full, dropping packet Feb 15 21:11:55 cs1 kernel: [535859.151773] nf_conntrack: nf_conntrack: table full, dropping packet Другото което е,първоначално вдигнах лимит-а на conntrack_max net.netfilter.nf_conntrack_max = 524288 графиката ми от трафика ми. Просто си говорих администратор-а и каза,че такъв трафик на графиките на Radware-а дори не се забелязва на фона на 20ГБ. Имали ли начин с iptables да филтрирам атаки от този род или каузата е загубена отново, Iptables-а съм отворил единствено портовете които ми трябват всичко останало дропвам,но без успех от tcpdump логовете са спофнати ип-та различен размер на пакета различни ип-та като ботнет,но с нисък трафик. Цитат 20:45:45.845603 IP 85.11.145.146.49653 > x.124.x.x.27010: UDP, length 36 20:45:45.847484 IP 109.107.89.97.64271 > 79.124.59.245.27010: UDP, length 36 20:45:45.855418 IP 85.11.145.146.49653 > x.x.5x.x.27010: UDP, length 36 20:45:45.856602 IP 77.85.230.246.56402 > x.124.x.x.27010: UDP, length 36 Не искам да кастря този порт защото ми е нужен, гледах в един руски форум един модул за iptables CS Validation module for iptables. Но,все си мисля,че ще има някаква ползва от него,все още не съм получил отговор-а от създателя, Ще съм благодарен на някой ако ми даде някакво времемно решение. Link to comment Share on other sites More sharing options...
gbdesign Posted February 15, 2019 Report Share Posted February 15, 2019 От UDP флуд, не можеш да се опазиш сам. Трябва да го направи доставчика ти на свързаност към Интернет. Обикновено такава услуга се заплаща и обикновено цената и е от порядъка на 2-5К евро. Другият вариант е да си вземеш по-голям канал свързаност и да се надяваш, че няма да го запълнят. Ако обаче интереса, на атакуващите е сериозен, ще те избухат без проблем с много трафик и тогава само първият вариант помага. Link to comment Share on other sites More sharing options...
talibana Posted February 15, 2019 Author Report Share Posted February 15, 2019 преди 9 минути, gbdesign написа: От UDP флуд, не можеш да се опазиш сам. Трябва да го направи доставчика ти на свързаност към Интернет. Обикновено такава услуга се заплаща и обикновено цената и е от порядъка на 2-5К евро. Другият вариант е да си вземеш по-голям канал свързаност и да се надяваш, че няма да го запълнят. Ако обаче интереса, на атакуващите е сериозен, ще те избухат без проблем с много трафик и тогава само първият вариант помага. да мина на 10ГБ ? Link to comment Share on other sites More sharing options...
gbdesign Posted February 15, 2019 Report Share Posted February 15, 2019 преди 55 минути, talibana написа: да мина на 10ГБ ? Не ти разбирам вметката. Хвалиш ли се или какво? Link to comment Share on other sites More sharing options...
talibana Posted February 15, 2019 Author Report Share Posted February 15, 2019 преди 17 минути, gbdesign написа: Не ти разбирам вметката. Хвалиш ли се или какво? Човек,не съм тръгнал да се хваля, как да ти го обесня,че търся решение на проблема,нищо повече... Link to comment Share on other sites More sharing options...
Administrator 111111 Posted February 16, 2019 Administrator Report Share Posted February 16, 2019 Прочети втория пост Каквото и да режеш на входа на лан картата, то на изхода на срещулежащия интерфейс то вече е минало и запълнило канала. 1 Харесай поста ^^^ Форумът е за взаимопомощ а не за свършване на чужда работа ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ Link to comment Share on other sites More sharing options...
Administrator Велин Posted February 16, 2019 Administrator Report Share Posted February 16, 2019 Ами тръгваш тогава по каналния ред , започваш да сигнализираш органите и да се жалваш, че услугата ти е саботирана, подаваш жалби където се сетиш, флудовете по принцип са опасен прецедент за сигурността на всяка мрежа. И се молиш да натиснат където трябва та някой да се стресне , все пак на Явор Колев това му е работата. 1 Не отговарям на постове написани с шльокавица! Link to comment Share on other sites More sharing options...
computer Posted February 16, 2019 Report Share Posted February 16, 2019 Може би със скриншота от спийдтест, @talibana иска да каже че има 1Г капацитет. Ако е така от другата му графика се виждат пикове по 50 мбит и не се връзва да има влошаване на услугата спрямо предоставената информация. От тук можем да кажем, че или не мери правилно или не блокира правилно или не обяснява правилно. Link to comment Share on other sites More sharing options...
talibana Posted February 16, 2019 Author Report Share Posted February 16, 2019 (edited) преди 19 минути, computer написа: Може би със скриншота от спийдтест, @talibana иска да каже че има 1Г капацитет. Ако е така от другата му графика се виждат пикове по 50 мбит и не се връзва да има влошаване на услугата спрямо предоставената информация. От тук можем да кажем, че или не мери правилно или не блокира правилно или не обяснява правилно. Точно така е, целят ме с udp но с нисък трафик и всичко увисва, намерих един тоол fastnetmon има доста интересни опции,но дали ще ми помогнат в случая, и след това да предавам ип-тата на хостинг компанията и от там да се блокират цели мрежи. Edited February 16, 2019 by talibana Link to comment Share on other sites More sharing options...
gbdesign Posted February 16, 2019 Report Share Posted February 16, 2019 Добре, сега положението се поизясни. Виждам, че ти се запълва контракс таблицата, което означава, че правиш NAT. По принцип, аз си слагам сървърите винаги зад рутери и до тях DNAT-вам, само това, което трябва да стига до тях. В твоя случай обаче, не ми е ясно, защо въобще ползваш NAT. След като не ти се запълва канала, имаш две възможности: 1. Увеличи размера на NAT таблицата - грешният подход. 2. разкарай NAT правилата. Ако системата е от един сървър, не виждам смислена причина да се прави NAT на машината. Без NATняма да имаш connection tracking и съответно няма да имаш проблем с препълване на таблицата за тях. Link to comment Share on other sites More sharing options...
computer Posted February 16, 2019 Report Share Posted February 16, 2019 Ако продължим по дедуктивния метод, то с 50 мбит флуд със сигурност не могат да затруднят рутера, въпреки че тук е важен броя пакети. Ако приемем че рутера може да поеме този трафик, би трябвало и гейм сървъра да може, така че остава да се затлачва самото приложение - в случая CS. Тъй като пакетите отиват директно към портовете на приложението, трудно може да се разграничи истинския от фалшивия трафик без да се профилира. Това което трябва да направиш е да видиш какъв е обичайния трафик от 1 ип адрес при нормално употреба. Виж големината на пакетите и трафика за определен период. Може да се направи аудит и на съдържанието на пакетите и да се направи L7 фълтър по съдържание. Другия начин е да маркираш и филтрираш необичайния трафик по размер на пакета или обем. На общо основание Fastnetmon надали ще може да ти помогне, освен ако трафика не идва от няколко ип адреси и е лесно да се види по обем. Link to comment Share on other sites More sharing options...
Administrator kokaracha Posted February 16, 2019 Administrator Report Share Posted February 16, 2019 (edited) Слагаш пред сървърите си рутер. Рутер го правиш прозрачен, т.е бридж. На бриджа класифицираш и манипулираш трафика,след което ограничаваш удп/ппс. За да класифицираш и манипулираш трафика ще ти трябва сериозен мониторинг и знания или пари Edited February 16, 2019 by kokaracha Use since OpenBSD 3.x FreeBSD 4.x Centos 5.x Debian 3.x Ubuntu 7.x Аз съм фен на OpenWRT. Горчивината от лошото качество остава дълго след като е преминало удоволствието от ниската цена. _____________________________ ___|____|____|____|____|____|__ _|____|____|____|____|____|____ ___|____|_ Удряй _|____|____|__ _|____|___ главата ___|____|____ ___|____|_ си тук!! |____|____|__ _|____|____|____|____|____|____ ___|____|____|____|____|____|__ Link to comment Share on other sites More sharing options...
Administrator 111111 Posted February 17, 2019 Administrator Report Share Posted February 17, 2019 Тез сървъри нямат ли си регистрационна форма от която само регистрираните да имат достъп а останалите да бъдат дропнати? Харесай поста ^^^ Форумът е за взаимопомощ а не за свършване на чужда работа ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ Link to comment Share on other sites More sharing options...
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now