UDP флоод

[MiPSus]

Няма как в домашни/служебни условия да осигуриш ток, място, свързаност и хардуер за под 150лв. на месец и то за несериозно начинание

Сега така е устроена атаката,че паднахме най-големите по-посещение iplay и cs-reload без да споменавам сектор и мания.Те са под закрилата на мегалан! Разбирам да изкарвах по 1000лв. на месец от това,но да наливам пари в нещо което вече е загубено от българската завист и всеки гледа да те прецака,аз за толкова години където имам сървъри,такова нещо не бях виждал

Сектор и Мания не са под ничия закрила пич, нещото или го правиш като хората или гориш като другите. Не сме 2004 година на междублокови мрежи/клиенти , тогава и ние доставяхме интернет 128Kbit гарантиран от господа и имах в офиса CS на Duron!

Огледай се 2012 сме вече, клиента изисква, а конкуренцията не спи! Веднага получаваш ножа в гърба. Ако ти е хоби - всяко хоби струва пари, ако ти е бизнес то значи имаш приходи и разходи.

[gbdesign]

Аз бих препоръчал дедикейт сървър в Германия. Сравнително добри машини се наемат за относително ниска цена. Пък и съм доста сигурен, че швабите няма много да се церемонят да се разправят с флудър, по законен път. Там, тяхната версия на ГДБОП, едва ли са поръчкови милиционери, като тези при нас.

http://www.icn.bg

[lqlqlq]

Я някой да пробва този метод:

iptables:

#!/bin/sh

IPT="/sbin/iptables"


#Flush old rules

$IPT --flush

$IPT --delete-chain


#By default, drop everything except outgoing traffic

$IPT -P INPUT DROP

$IPT -P FORWARD DROP

$IPT -P OUTPUT ACCEPT


#unlimited

$IPT -A INPUT  -i lo -j ACCEPT

$IPT -A OUTPUT -o lo -j ACCEPT


#Allow full outgoing and block incoming packets

$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

$IPT -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT


#DROP ALL OTHER (prevent smbnuke, pepsi and etc...)

$IPT -A INPUT -p tcp --dport 0:65535 -j DROP

$IPT -A INPUT -p udp --dport 0:65535 -j DROP


#ICMP rules

$IPT -A INPUT -p icmp --icmp-type echo-reply -m state --state ESTABLISHED,RELATED -j ACCEPT

$IPT -A INPUT -p icmp --icmp-type echo-request -j DROP

$IPT -A INPUT -p icmp --icmp-type destination-unreachable -m state --state NEW -j ACCEPT

$IPT -A INPUT -p icmp --icmp-type time-exceeded -m state --state NEW -j ACCEPT

$IPT -A INPUT -p icmp --icmp-type timestamp-request -m state --state NEW -j ACCEPT

$IPT -A INPUT -p icmp --icmp-type timestamp-reply -m state --state ESTABLISHED,RELATED -j ACCEPT

$IPT -A INPUT -m pkttype --pkt-type broadcast -j DROP


#Drop Jolt

$IPT -A INPUT -p icmp -j DROP


#Dos/Scanners

$IPT  -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP

$IPT  -A INPUT -p tcp --tcp-flags ALL ALL -j DROP

$IPT  -A INPUT -p tcp --tcp-flags ALL NONE -j DROP

#NULL packets

$IPT  -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP

$IPT  -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP

#XMAS

$IPT  -A INPUT -p tcp --tcp-flags FIN,ACK FIN -j DROP

#FIN packet scans

$IPT  -A INPUT -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP


#UDP

$IPT -A INPUT -p udp -m pkttype --pkt-type broadcast -j DROP

$IPT -A INPUT -p udp -m limit --limit 3/s -j ACCEPT

$IPT -A INPUT -p udp -f -j DROP


#SYN-TCP

$IPT -N syn-flood

$IPT -A INPUT -p tcp --syn -j syn-flood

$IPT -A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETURN

$IPT -A syn-flood -j DROP

$IPT -A INPUT -p tcp ! --syn -m state --state NEW -j DROP


#Fragment DATA LOSS

$IPT -A INPUT -f -j DROP


#SSH

$IPT -A INPUT -p tcp --dport 44 -j ACCEPT

$IPT -A INPUT -p tcp --dport 23432 -j ACCEPT

$IPT -A INPUT -p tcp --dport 22 -j ACCEPT


#HLSTATSX

$IPT -A INPUT -m state --state NEW -p tcp --dport 27500 -m limit --limit 10/second --limit-burst 20 -j ACCEPT


#DROP INVALID

$IPT -A INPUT -m state --state INVALID -j DROP

$IPT -A FORWARD -m state --state INVALID -j DROP

$IPT -A OUTPUT -m state --state INVALID -j DROP


#FTP

$IPT -A INPUT -p tcp --dport 50000:51000 -j ACCEPT


#Srcds Ports

$IPT -A INPUT -p udp --dport 27000:27050 -m length --length 28 -j DROP


#Steam Friends Service

$IPT -A INPUT -p udp --dport 1200 -m length --length 28 -j DROP


#Steam Main TCP

$IPT -A INPUT -p tcp --dport 27014:27050 -m length --length 28 -j DROP


#AntiJOS Exploit

$IPT -I INPUT -p udp -m udp -m string --algo bm --hex-string "|b96c 85ca cb7c 9891 9078 7f76 b301 13a1 a001 49b8 ab73 4802 495a 5316 20fa 5270 bda2 329a|" -j DROP


#AntiFakePL Exploit

$IPT -I INPUT -p udp -m udp -m string --algo bm --hex-string "|d500 0080 6e00 0000 e17d 73d6 bc65 62f1 ed29 e017 c74a 30a2 fb75 2396 b635 32b1 bf79 b017|" -j DROP


#allow port 80 only

$IPT -A INPUT -p tcp --dport 80 -m limit --limit 25/minute --limit-burst 100 -j ACCEPT


#allow port 143 only

$IPT -A INPUT -p tcp --dport 143 -j ACCEPT


#allow port 20-25 only

$IPT -A INPUT -p tcp --dport 20:25 -j ACCEPT


#allow domain  only

$IPT -A INPUT -p tcp --dport 53 -j ACCEPT


#TS3

$IPT -A INPUT -p tcp --dport 10011 -j ACCEPT

$IPT -A INPUT -p udp --dport 9987 -m limit --limit 10/second --limit-burst 20 -j ACCEPT

$IPT -A INPUT -p tcp --dport 30033 -j ACCEPT


#MC

$IPT -A INPUT -p tcp --dport 25565 -j ACCEPT

$IPT -A INPUT -p tcp --dport 25566 -j ACCEPT


#MySQL

$IPT -A INPUT -p tcp --dport 3306 -j ACCEPT


#SKYPE

$IPT -A INPUT -p tcp --dport 3333 -j ACCEPT


#Bittorent

$IPT -A INPUT -p tcp --dport 6881:6999 -j ACCEPT


#FORWARD SIDE

$IPT -A FORWARD -j REJECT


#Reject spoofed packets

$IPT -A INPUT -s 10.0.0.0/8 -j DROP

$IPT -A INPUT -s 169.254.0.0/16 -j DROP

$IPT -A INPUT -s 172.16.0.0/12 -j DROP

$IPT -A INPUT -s 127.0.0.0/8 -j DROP

$IPT -A INPUT -s 224.0.0.0/4 -j DROP

$IPT -A INPUT -d 224.0.0.0/4 -j DROP

$IPT -A INPUT -s 240.0.0.0/5 -j DROP

$IPT -A INPUT -d 240.0.0.0/5 -j DROP

$IPT -A INPUT -s 0.0.0.0/8 -j DROP

$IPT -A INPUT -d 0.0.0.0/8 -j DROP

$IPT -A INPUT -d 239.255.255.0/24 -j DROP

$IPT -A INPUT -d 255.255.255.255 -j DROP

$IPT -A INPUT -s 200.200.200.200 -j DROP

$IPT -A INPUT -s 192.168.0.0/24 -j DROP


#Drop some verry bad IP's

$IPT -A INPUT -s 95.132.0.0/255.254.0.0 -j DROP

$IPT -A INPUT -s 95.135.0.0/255.255.0.0 -j DROP

$IPT -A INPUT -s 94.178.0.0/255.254.0.0 -j DROP

$IPT -A INPUT -s 92.112.0.0/255.254.0.0 -j DROP

$IPT -A INPUT -s 91.124.0.0/255.255.0.0 -j DROP

$IPT -A INPUT -s 178.94.192.0/255.255.240.0 -j DROP

$IPT -A INPUT -s 178.94.0.0/255.255.128.0 -j DROP

$IPT -A INPUT -s 178.92.0.0/255.255.0.0 -j DROP

В терминал с root права пишете: gedit /etc/sysctl.conf изтривате всичко от него и поставяте:

kernel.sysrq = 0

net.ipv4.conf.default.rp_filter=1

net.ipv4.conf.all.rp_filter=1

net.ipv4.tcp_syncookies=1

net.ipv4.tcp_max_syn_backlog=1024

net.ipv4.tcp_keepalive_time=1800

net.ipv4.icmp_echo_ignore_all=1

net.ipv4.tcp_syn_retries=3

net.ipv4.tcp_window_scaling=0

net.ipv4.tcp_sack=0

net.ipv4.tcp_fack = 0

net.ipv4.ip_forward=0

net.ipv4.conf.all.send_redirects=0

net.ipv4.conf.all.accept_source_route=0

net.ipv4.conf.all.accept_redirects=0

net.ipv4.tcp_max_tw_buckets=1440000

net.ipv4.conf.all.log_martians=0

net.ipv4.icmp_ignore_bogus_error_responses=1

net.ipv4.icmp_echo_ignore_broadcasts=1

net.ipv4.tcp_timestamps=0

net.ipv4.tcp_low_latency=0

net.ipv4.netfilter.ip_conntrack_max=32760

net.ipv4.netfilter.ip_conntrack_tcp_timeout_syn_recv=60

net.ipv4.netfilter.ip_conntrack_tcp_timeout_time_wait=30

net.ipv4.netfilter.ip_conntrack_tcp_timeout_syn_sent =30

net.ipv4.netfilter.ip_conntrack_tcp_timeout_fin_wait=30

net.ipv4.netfilter.ip_conntrack_tcp_timeout_close_wait=60

net.ipv4.netfilter.ip_conntrack_tcp_timeout_last_ack=30

net.ipv4.netfilter.ip_conntrack_tcp_timeout_close = 10

net.ipv4.netfilter.ip_conntrack_checksum = 1

net.ipv4.netfilter.ip_conntrack_tcp_timeout_established=432000

net.ipv4.netfilter.ip_conntrack_tcp_max_retrans = 3

net.ipv4.netfilter.ip_conntrack_tcp_be_liberal = 0

net.ipv4.netfilter.ip_conntrack_tcp_loose = 3

net.ipv4.netfilter.ip_conntrack_tcp_timeout_max_retrans= 300

net.ipv4.netfilter.ip_conntrack_udp_timeout_stream=180

net.ipv4.netfilter.ip_conntrack_udp_timeout=30

net.netfilter.nf_conntrack_tcp_loose=0

net.ipv4.conf.default.proxy_arp=0

net.ipv4.route.flush=1

net.core.netdev_max_backlog=30000

net.ipv4.tcp_tw_recycle=1

net.ipv4.tcp_tw_reuse=1

net.ipv4.tcp_mem=100000 350000 450000

net.ipv4.tcp_rmem=4096 350000 450000

net.ipv4.tcp_wmem=4096 350000 450000

net.ipv4.tcp_max_orphans=5500

kernel.msgmnb=65536

kernel.msgmax=65536

kernel.shmmax=4294967295

kernel.shmall=268435456

net.core.rmem_max=450000

net.core.wmem_max=450000

net.core.rmem_default=450000

net.core.wmem_default=450000

net.ipv4.netfilter.ip_conntrack_icmp_timeout=30

net.ipv4.netfilter.ip_conntrack_log_invalid = 0

net.ipv4.netfilter.ip_conntrack_generic_timeout = 600

net.ipv4.ip_local_port_range = 1024 65000

И пишете следната команда:

sysctl -p /etc/sysctl.conf - за да се обнови файла.

[Mupo neTkoB]

поредния колега който си мисли че проблема му е в неговия телевизор

[MiPSus]

Прост народ - слаба държава

[NetworkPro]

Ако реши част от проблема - има смисъл - например: нека машините под атака да са на 100% ЦПУ, но в същото време да има мениджмънт към тях както и оснвоната им функция все още да работи дори и с намален капацитет.

Редактирано 30 Ноември, 2012 от NetworkPro

[MiPSus]

Добре бе, вие кви хора сте бе!!! Канала ти е пълен , нямаш връзка с интернет , точка! Дреме ми на колко ти е CPU-то, ти нямаш връзка! Стига преписвали корпоративни фаиъруоли на някви параноици! СТИГА!

[NetworkPro]

Прав си, съгласен съм с теб.

Има изключения, но ме мързи да се обяснявам ся в петък вечерта.

[Mupo neTkoB]

от този вид флуд няма изключения.

[SubmitBG]

Доста интересна тема като цяло.. И все още има хора, които си мислят, че при подобен флууд iptables/netfilter би ги предпазил..