UDP флоод

[kokaracha]

Няма смисъл да търсиш и блокираш по стринг,само хабиш ресурси.По добре лимитация на брой/хост.

[2GOOD]

Няма смисъл да търсиш и блокираш по стринг,само хабиш ресурси.По добре лимитация на брой/хост.

Ами аз досега позлвах следната верига:

add action=jump chain=input comment="" disabled=no in-interface=inet jump-target=Limit protocol=udp src-address-list=!safe

add action=return chain=Limit comment="" disabled=no dst-limit=150,150,dst-address/10s src-address-list=!safe

add action=add-src-to-address-list address-list=black_list address-list-timeout=60m chain=Limit comment="" disabled=no src-address-list=!safe

add action=drop chain=Limit comment="" disabled=no src-address-list=!safe

Понякога спирам списъка с лошите ип-та.... ако можеш да кажеш какво точно имаш в предвид ще съм благодарен.

[kokaracha]

Ми аз по нагоре писах,UDP conlimit мисля от скоро го има в мт и не е ми е ясно доколко и как работи,но можвш да пробваш това което има от уикито им http://wiki.mikrotik.com/wiki/DDoS_Detection_and_Blocking и да го моделираш спред нуждите.

Иначе идеята не е да блокираш адреси ами да бройш пакетите им и да лимитираш твърд таван,всеки един хост може да направи N едновременни конекций/сесий за еденица време.

[Велин]

Велине целта е да се премахнат дребните безплатни неофициални

не чух някой платен или легален да се е оплакал

Именно целта явно е да се вадят пари от определени хора...

[talibana]

Именно целта явно е да се вадят пари от определени хора...

100% си прав Късно го разбрах, все пак това е целта на някои хора,затриване на по-малките и да останат 1-2 вериги и те така...

[lqlqlq]

Пробвахте ли да направите някои ограничения с Iptables ?

-A INPUT -p udp --dport 27005 -m limit --limit 4/s --limit-burst 7 -j ACCEPT

-A INPUT -p udp --dport 27015:27050 -m length --length 28 -j DROP

-A INPUT -p udp --dport 27015:27050 -m length --length 46 -j DROP

Другия вариант е да си купите стабилен firewall, в altech има такива, ето пример: http://www.altech.bg/bg/product/29367

Редактирано 29 Юли, 2012 от lqlqlq

[NetworkPro]

И каква файда от firewall-а за 1800+ лева като проблема е че се пълни канала проблема е Преди firewall-а освен ако не се сложи на колокация с 2 гигабита бондинг линк към Интернет.

Редактирано 29 Юли, 2012 от NetworkPro

[kokaracha]

И каква файда от firewall-а за 1800+ лева като проблема е че се пълни канала проблема е Преди firewall-а освен ако не се сложи на колокация с 2 гигабита бондинг линк към Интернет.

И каква файда,и 4х4 гигабита бондинг да имаш, пак ще получаваш толкова за колкото плащаш

[NetworkPro]

Зависи как се наговориш със Sales-ът.

[Balthazar]

Каквото и да се пусне и направи не можеш да отрежеш udp flood дори и с хардуерен firewall някой с по стабилен ботнет от 3-4К заразени потребители пускайки по 1 байт от всеки ще ти нулва порта и съсипва всичко.. пробвал съм какви ли не решения и единствения изход е просто да не решат да те флудят.. Званях на нетера и единственото решение което успяха да вземат е да отрежат международния трафик към ип-то което ми атакуваха не говоря за цс сървър и каквото и да е но това реялно няма значение.. Така че файда няма много голяма от каквото и да е ..

[globaluty]

Здравейте,

изчетах цялата тема, защото и аз имам същия проблем със сървъри на играта. Също съм потребител на въпросния доставчик и съм сигнализирал за проблема ми.

Проблемът при мен обаче е в по лека фаза, ако мога така да се изразя. Получавам атака само от един IP адрес (от чужбина), като понякога генерираният входящ трафик е едва 10 Mbits с 10 000 пакета в секунда, а понякога запълва и целия канал, като максималната ми скорост е 60-70 Mbits. Проблемът е там, че дори и при 10 Mbits входящ трафик, не мога да достъпвам машината отвън. На какво може да се дължи това? Смятам, че чрез iptables ще бъде възможно да drop-вам този малък трафик и да не оказва влияние. В същото време CPU Usage e на 0%.

Надявам се Вие да можете да отговорите на въпроса ми как е възможно това да се случва? Може би са прекалено много пакетите? Не знам...

Поздрави.

[talibana]

Здравейте,

изчетах цялата тема, защото и аз имам същия проблем със сървъри на играта. Също съм потребител на въпросния доставчик и съм сигнализирал за проблема ми.

Проблемът при мен обаче е в по лека фаза, ако мога така да се изразя. Получавам атака само от един IP адрес (от чужбина), като понякога генерираният входящ трафик е едва 10 Mbits с 10 000 пакета в секунда, а понякога запълва и целия канал, като максималната ми скорост е 60-70 Mbits. Проблемът е там, че дори и при 10 Mbits входящ трафик, не мога да достъпвам машината отвън. На какво може да се дължи това? Смятам, че чрез iptables ще бъде възможно да drop-вам този малък трафик и да не оказва влияние. В същото време CPU Usage e на 0%.

Надявам се Вие да можете да отговорите на въпроса ми как е възможно това да се случва? Може би са прекалено много пакетите? Не знам...

Поздрави.

Това не го ли прочете из форумите ?

Здравейте скъпи потребители на нашата игрална верига на така любимата ви игра Counter Strike 1.6.

Както сте забелязали от известно време има проблем с нашите сървъри и вие не можете да ги посещавате и да разпускате играейки . Този проблем се дължи на недобросъвестна конкуренция. Всеки ден сървърите ни биват засипвани с непрекъснат "Flood" и това прекъсва нормалното функциониране на сървърите и се прекъсва всякакъв достъп до тях. Винаги е било на мода да се руши труда на другия но тези опити от тяхна страна няма да ни откажат, дори напротив, точно обратното става. И нека действащите лица виновни за това, а именно "Lan-Servers" знаят че това няма да продължи дълго и краят няма да бъде хубав. Много хора вече знаят че именно те стоят зад всички атаки нанесени над CS сървъри.

Нека всички потърпевши станали жертви на подобно нещо знаят кой стои зад това - Lan - Servers и компания. Предоставям ви и малко информация за един от собствениците - Daniel Xristodulov GSM: 0895 46 93 29. Това е човека подвизаващ се под псевдонима .:K@sP@R40 ;] Човека е започнал продажбата на Anti-Flood защита за скромните 90 лв на месец. Плащаш и по лучаваш безгрижна игра, не плащаш - получаваш Flood докато не се предадеш. Това е тяхната политика от както съществуват, но от скоро започнаха да я демонстрираат изключително явно, особено с това "изнудване" да си платиш зада ти функционира всичко нормално.

След обвинението отправено към тях в тема пусната в Megalan"Flood-a" не е спирал. Ето и писаното в скайп от въпросния човек:

[03.11.2012 г. 15:56:24] UCTT.info [sMS ADMIN] каза: не знам защо намесваш моето име с този сайт ?

[03.11.2012 г. 15:56:56] UCTT.info [sMS ADMIN] каза: лан-сървърс са на колокация в едно от сървърните ни и скоро ще се махат от там точно защото цял свят флооди този сайт/сървъри.

[03.11.2012 г. 15:57:32] UCTT.info [sMS ADMIN] каза: мога да ти дам всичките ц клас мрежи, които са на името на фирмата ми и да ги филтрираш ако си мислиш, че аз или някой клиент ти прави нещо на теб

[03.11.2012 г. 15:58:47] UCTT.info [sMS ADMIN] каза: ако имаш някви логове на наши ип-та как те флоодят моля те дай ги, няма как да знам 24/7 какво става като имаме над 3 000 ип-та

[03.11.2012 г. 15:59:48] UCTT.info [sMS ADMIN] каза: ако не то до тогава поне не намесвай името ми с този сайт или поне не говори такива глупости защото хич не ми е приятно като нямат капка истина

[03.11.2012 г. 15:59:52] UCTT.info [sMS ADMIN] каза: айде лека вечер от мен

[03.11.2012 г. 16:03:32] UCTT.info [sMS ADMIN] каза: заповядай в бизнес център Сердика, сграда 3 ако имаш желание да говорим, това е адреса на фирмата ако не виждам знаеш ми един от номерата звънкай смело на него да уточним тези глупости, които си писал

[03.11.2012 г. 16:38:59] UCTT.info [sMS ADMIN] каза: Виждам, че си прочел това, което съм ти написал, но не отговаряш а продължаваш да пишеш с информацията, която ти си знаеш.

Малко да те поправя lan няма нищо общо с n1 както и fps няма да има, точно заради тези и други глупости.

[03.11.2012 г. 16:40:04] UCTT.info [sMS ADMIN] каза: и на телефона не вдигаш, криеш ли се ?

[03.11.2012 г. 16:44:37] UCTT.info [sMS ADMIN] каза: Честно казано ми е все едно какво драскаш в тази темичка, аз исках с теб лично да говоря, но ти предпочиташ да говориш за мен, без дори да сме разговаряли.

Поздрави към всички и знайте че няма никой да ни накара да се откажем от заниманието ни.

[gbdesign]

След като CPU Load е 0% значи не се вдигат софтуерни прекъсвания, от което следва че се чупи или връзката до сървъра ти или най-вероятно мрежовата му карта е някой евтин боклук и не може да обработи 10К пакети. Направи си OpenVPN от сървъра ти до някъде, за да можеш да го достъпваш през тунела. Пусни мониторинг... пингвай няколко дестинации, като започнеш от Gw на сървъра и записвай резултата. Може да го направиш примерно с Cacti. С колкото повече данни разполагаш, толкова по-бързо ще намериш начин да решиш или заобиколиш проблема. От входящ UDP флуд, на локално ниво, с iptables няма как да се опазиш!

Редактирано 8 Ноември, 2012 от gbdesign

[deviant]

Това, което аз мога да ти препоръчам е, да увеличиш канала си. 10 Gbps ще са предостатъчни, за да не ти вияе атака от подобен тип.

Другия вариант е да ко-локираш машината в някой дейта център. Цената разбира се, няма да е ниска, но решение сам няма да намериш. Хардуерните файъруали са скъпи и при домашни условия няма да са толкова ефективни.

[gbdesign]

10 Gbps ще са предостатъчни...

Това гигабита за нищо си го нямаш... имаш ли и най-малка идея, колко струва такава свързаност?!

Редактирано 14 Ноември, 2012 от gbdesign