Jump to content
talibana

UDP flood продължение.

Recommended Posts

talibana

Здравейте, на всички! 🙂 ето ,че пиша отново пак същата история но на нова глава,така да започна на кратко, от известно време съм под атаките на udp флоод отново, този път проблема,че е самата хардуерна защита неможе да улови самия трафик тъй като не е много голям, а в същото време ми препълва всичко и всичко пада

Хоствам цс сървъри и съм все още на челните позиции както за България така Света, но конкуренцията не иска да ме остави (gameservers.bg) в които се съмнявам най-много,защото единствено те останаха на пазара и гледат да откажат стари кучета като мен,но не са познали.

по-голямата част от логовете са така! 

 

Цитат

Feb 15 21:11:50 cs1 kernel: [535854.098015] nf_conntrack: nf_conntrack: table full, dropping packet
Feb 15 21:11:51 cs1 kernel: [535854.830853] nf_conntrack: nf_conntrack: table full, dropping packet
Feb 15 21:11:51 cs1 kernel: [535854.837002] nf_conntrack: nf_conntrack: table full, dropping packet
Feb 15 21:11:51 cs1 kernel: [535855.111389] nf_conntrack: nf_conntrack: table full, dropping packet
Feb 15 21:11:51 cs1 kernel: [535855.281010] nf_conntrack: nf_conntrack: table full, dropping packet
Feb 15 21:11:52 cs1 kernel: [535855.780614] nf_conntrack: nf_conntrack: table full, dropping packet
Feb 15 21:11:52 cs1 kernel: [535855.869021] nf_conntrack: nf_conntrack: table full, dropping packet
Feb 15 21:11:52 cs1 kernel: [535855.943758] nf_conntrack: nf_conntrack: table full, dropping packet
Feb 15 21:11:52 cs1 kernel: [535855.998747] nf_conntrack: nf_conntrack: table full, dropping packet
Feb 15 21:11:52 cs1 kernel: [535856.216500] nf_conntrack: nf_conntrack: table full, dropping packet
Feb 15 21:11:55 cs1 kernel: [535859.129455] net_ratelimit: 23 callbacks suppressed
Feb 15 21:11:55 cs1 kernel: [535859.129457] nf_conntrack: nf_conntrack: table full, dropping packet
Feb 15 21:11:55 cs1 kernel: [535859.151773] nf_conntrack: nf_conntrack: table full, dropping packet
 

Другото което е,първоначално вдигнах  лимит-а на conntrack_max

net.netfilter.nf_conntrack_max = 524288

графиката ми от трафика ми.

9505614R.jpg

Просто си говорих администратор-а и каза,че такъв трафик на графиките на Radware-а дори не се забелязва на фона на 20ГБ.

Имали ли начин с iptables да филтрирам атаки от този род или каузата е загубена отново, 

Iptables-а  съм отворил единствено портовете които ми трябват всичко останало дропвам,но без успех

от tcpdump логовете са спофнати ип-та различен размер на пакета различни ип-та като ботнет,но с нисък трафик.

Цитат

20:45:45.845603 IP 85.11.145.146.49653 > x.124.x.x.27010: UDP, length 36
20:45:45.847484 IP 109.107.89.97.64271 > 79.124.59.245.27010: UDP, length 36
20:45:45.855418 IP 85.11.145.146.49653 > x.x.5x.x.27010: UDP, length 36
20:45:45.856602 IP 77.85.230.246.56402 > x.124.x.x.27010: UDP, length 36

Не искам да кастря този порт защото ми е нужен, гледах в един руски форум един модул за iptables CS Validation module for iptables. 

Но,все си мисля,че ще има някаква ползва от него,все още не съм получил отговор-а от създателя, Ще съм благодарен на някой ако ми даде някакво времемно решение. 

 

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
gbdesign

От UDP флуд, не можеш да се опазиш сам. Трябва да го направи доставчика ти на свързаност към Интернет. Обикновено такава услуга се заплаща и обикновено цената и е от порядъка на 2-5К евро. Другият вариант е да си вземеш по-голям канал свързаност и да се надяваш, че няма да го запълнят. Ако обаче интереса, на атакуващите е сериозен, ще те избухат без проблем с много трафик и тогава само първият вариант помага. 

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
talibana
преди 9 минути, gbdesign написа:

От UDP флуд, не можеш да се опазиш сам. Трябва да го направи доставчика ти на свързаност към Интернет. Обикновено такава услуга се заплаща и обикновено цената и е от порядъка на 2-5К евро. Другият вариант е да си вземеш по-голям канал свързаност и да се надяваш, че няма да го запълнят. Ако обаче интереса, на атакуващите е сериозен, ще те избухат без проблем с много трафик и тогава само първият вариант помага. 

8043381425.png

да мина на 10ГБ ?

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
gbdesign
преди 55 минути, talibana написа:

8043381425.png

да мина на 10ГБ ?

Не ти разбирам вметката. Хвалиш ли се или какво? 

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
talibana
преди 17 минути, gbdesign написа:

Не ти разбирам вметката. Хвалиш ли се или какво? 

Човек,не съм тръгнал да се хваля, как да ти го обесня,че търся решение на проблема,нищо повече...

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
111111

Прочети втория пост 
Каквото и да режеш на входа на лан картата, то на изхода на срещулежащия интерфейс то вече е минало и запълнило канала.

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
Велин

Ами тръгваш тогава по каналния ред , започваш да сигнализираш органите и да се жалваш, че услугата ти е саботирана, подаваш жалби където се сетиш, флудовете по принцип са опасен прецедент за сигурността на всяка мрежа. И се молиш да натиснат където трябва та някой да се стресне , все пак на Явор Колев това му е работата.

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
computer

Може би със скриншота от спийдтест, @

Моля, влезте или се регистрирайте, за да видите този link.

иска да каже че има 1Г капацитет. Ако е така от другата му графика се виждат пикове по 50 мбит и не се връзва да има влошаване на услугата спрямо предоставената информация. От тук можем да кажем, че или не мери правилно или не блокира правилно или не обяснява правилно.

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
talibana
преди 19 минути, computer написа:

Може би със скриншота от спийдтест, @

Моля, влезте или се регистрирайте, за да видите този link.

иска да каже че има 1Г капацитет. Ако е така от другата му графика се виждат пикове по 50 мбит и не се връзва да има влошаване на услугата спрямо предоставената информация. От тук можем да кажем, че или не мери правилно или не блокира правилно или не обяснява правилно.

Точно така е, целят ме с udp но с нисък трафик и всичко увисва, намерих един тоол 

Моля, влезте или се регистрирайте, за да видите този link.

 има доста интересни опции,но дали ще ми помогнат в случая, и след това да предавам ип-тата на хостинг компанията и от там да се блокират цели мрежи. 

Редактирано от talibana

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
gbdesign

Добре, сега положението се поизясни. Виждам, че ти се запълва контракс таблицата, което означава, че правиш NAT. По принцип, аз си слагам сървърите винаги зад рутери и до тях DNAT-вам, само това, което трябва да стига до тях. В твоя случай обаче, не ми е ясно, защо въобще ползваш NAT.  След като не ти се запълва канала, имаш две възможности:

1. Увеличи размера на NAT таблицата - грешният подход.

2. разкарай NAT правилата. Ако системата е от един сървър, не виждам смислена причина да се прави NAT на машината. Без NATняма да имаш connection tracking и съответно няма да имаш проблем с препълване на таблицата за тях. 

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
computer

Ако продължим по дедуктивния метод, то с 50 мбит флуд със сигурност не могат да затруднят рутера, въпреки че тук е важен броя пакети. Ако приемем че рутера може да поеме този трафик, би трябвало и гейм сървъра да може, така че остава да се затлачва самото приложение - в случая CS. Тъй като пакетите отиват директно към портовете на приложението, трудно може да се разграничи истинския от фалшивия трафик без да се профилира.

Това което трябва да направиш е да видиш какъв е обичайния трафик от 1 ип адрес при нормално употреба. Виж големината на пакетите и трафика за определен период. Може да се направи аудит и на съдържанието на пакетите и да се направи L7 фълтър по съдържание. Другия начин е да маркираш и филтрираш необичайния трафик по размер на пакета или обем. На общо основание Fastnetmon надали ще може да ти помогне, освен ако трафика не идва от няколко ип адреси и е лесно да се види по обем.

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
kokaracha

Слагаш пред сървърите си рутер. Рутер го правиш прозрачен, т.е бридж. На бриджа класифицираш и манипулираш трафика,след което ограничаваш удп/ппс.

За да класифицираш и манипулираш трафика ще ти  трябва сериозен мониторинг и знания или пари 🙂

Редактирано от kokaracha

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
111111

Тез сървъри нямат ли си регистрационна форма от която само регистрираните да имат достъп а останалите да бъдат дропнати?

Сподели публикацията


Адрес на коментара
Сподели в други сайтове

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Гост
Отговорете в темата...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Потребители разглеждащи страницата   0 потребители

    No registered users viewing this page.

×
×
  • Създай нов...

Important Information

By using this site, you agree to our Terms of Use.