(D)DoS Или у меня паранойя

Тема в разделе "Защита игрового сервера", создана пользователем Alexander Lyalin, 19 сен 2015.

  1. Alexander Lyalin

    Alexander Lyalin

    Сообщения:
    3
    Симпатии:
    1
    Вечер добрый, если кто уже сталкивался, или что-то об этом знает. Такая ситуация: есть несколько серверов TF2 на одной машине, она же шлюз в интернет, сервер статистики, FastDl сервер и так далее. До недавнего времени всё было отлично, спокойно держала нагрузку в 120-140 слотов одновременно. После игроки начали жаловаться на частые вылеты по таймауту, при чём сам сервер при этом не падает, и вылетают не все, а остаётся 3-4 человека из 24 или 5-6 из 32. Грешил на недавний апдейт, но в логах ошибок нет, SM и MM:S работают стабильно.

    Ради интереса заглянул в системный лог, там это:

    HTML:
    Sep 19 06:51:18 hostname kernel: [33647.807525] IN_LEFTOVERS IN=ppp0 OUT= MAC= SRC=211.186.176.56 DST=XXX.XXX.XXX.XXX LEN=255 TOS=0x00 PREC=0x00 TTL=55 ID=9347 PROTO=ICMP TYPE=3 CODE=3 [SRC=XXX.XXX.XXX.XXX DST=211.186.176.56 LEN=227 TOS=0x00 PREC=0x00 TTL=51 ID=31905 DF PROTO=UDP SPT=27016 DPT=49509 LEN=207 ] 
    Sep 19 06:51:18 hostname kernel: [33647.957659] IN_LEFTOVERS IN=ppp0 OUT= MAC= SRC=211.186.176.56 DST=XXX.XXX.XXX.XXX LEN=251 TOS=0x00 PREC=0x00 TTL=55 ID=9348 PROTO=ICMP TYPE=3 CODE=3 [SRC=XXX.XXX.XXX.XXX DST=211.186.176.56 LEN=223 TOS=0x00 PREC=0x00 TTL=52 ID=31906 DF PROTO=UDP SPT=27018 DPT=49509 LEN=203 ] 
    Sep 19 06:51:18 hostname kernel: [33647.963994] IN_LEFTOVERS IN=ppp0 OUT= MAC= SRC=211.186.176.56 DST=XXX.XXX.XXX.XXX LEN=251 TOS=0x00 PREC=0x00 TTL=55 ID=9349 PROTO=ICMP TYPE=3 CODE=3 [SRC=XXX.XXX.XXX.XXX DST=211.186.176.56 LEN=223 TOS=0x00 PREC=0x00 TTL=52 ID=31907 DF PROTO=UDP SPT=27017 DPT=49509 LEN=203 ] 
    Sep 19 06:51:18 hostname kernel: [33648.062991] IN_LEFTOVERS IN=ppp0 OUT= MAC= SRC=211.186.176.56 DST=XXX.XXX.XXX.XXX LEN=270 TOS=0x00 PREC=0x00 TTL=55 ID=9350 PROTO=ICMP TYPE=3 CODE=3 [SRC=XXX.XXX.XXX.XXX DST=211.186.176.56 LEN=242 TOS=0x00 PREC=0x00 TTL=51 ID=31908 DF PROTO=UDP SPT=27015 DPT=49509 LEN=222 ] 
    Sep 19 06:51:18 hostname kernel: [33648.081234] IN_LEFTOVERS IN=ppp0 OUT= MAC= SRC=211.186.176.56 DST=XXX.XXX.XXX.XXX LEN=228 TOS=0x00 PREC=0x00 TTL=55 ID=9351 PROTO=ICMP TYPE=3 CODE=3 [SRC=XXX.XXX.XXX.XXX DST=211.186.176.56 LEN=200 TOS=0x00 PREC=0x00 TTL=52 ID=31910 DF PROTO=UDP SPT=27021 DPT=49509 LEN=180 ] 
    Sep 19 06:51:18 hostname kernel: [33648.082959] IN_LEFTOVERS IN=ppp0 OUT= MAC= SRC=211.186.176.56 DST=XXX.XXX.XXX.XXX LEN=243 TOS=0x00 PREC=0x00 TTL=55 ID=9352 PROTO=ICMP TYPE=3 CODE=3 [SRC=XXX.XXX.XXX.XXX DST=211.186.176.56 LEN=215 TOS=0x00 PREC=0x00 TTL=51 ID=31909 DF PROTO=UDP SPT=27019 DPT=49509 LEN=195 ] 
    Sep 19 06:51:52 hostname kernel: [33681.815116] IN_LEFTOVERS IN=ppp0 OUT= MAC= SRC=188.244.136.128 DST=XXX.XXX.XXX.XXX LEN=251 TOS=0x00 PREC=0x00 TTL=121 ID=1484 PROTO=ICMP TYPE=3 CODE=3 [SRC=XXX.XXX.XXX.XXX DST=188.244.136.128 LEN=223 TOS=0x00 PREC=0x00 TTL=57 ID=13378 DF PROTO=UDP SPT=27017 DPT=24737 LEN=203 ] 
    Sep 19 06:52:13 hostname kernel: [33702.815636] IN_LEFTOVERS IN=ppp0 OUT= MAC= SRC=58.232.211.97 DST=XXX.XXX.XXX.XXX LEN=243 TOS=0x00 PREC=0x00 TTL=55 ID=16455 PROTO=ICMP TYPE=3 CODE=3 [SRC=XXX.XXX.XXX.XXX DST=58.232.211.97 LEN=215 TOS=0x00 PREC=0x20 TTL=54 ID=35923 DF PROTO=UDP SPT=27019 DPT=65078 LEN=195 ] 
    Sep 19 06:52:13 hostname kernel: [33702.932344] IN_LEFTOVERS IN=ppp0 OUT= MAC= SRC=58.232.211.97 DST=XXX.XXX.XXX.XXX LEN=228 TOS=0x00 PREC=0x00 TTL=55 ID=16456 PROTO=ICMP TYPE=3 CODE=3 [SRC=XXX.XXX.XXX.XXX DST=58.232.211.97 LEN=200 TOS=0x00 PREC=0x20 TTL=54 ID=35924 DF PROTO=UDP SPT=27021 DPT=65078 LEN=180 ] 
    Sep 19 06:52:14 hostname kernel: [33704.236015] IN_LEFTOVERS IN=ppp0 OUT= MAC= SRC=58.232.211.97 DST=XXX.XXX.XXX.XXX LEN=255 TOS=0x00 PREC=0x00 TTL=55 ID=16457 PROTO=ICMP TYPE=3 CODE=3 [SRC=XXX.XXX.XXX.XXX DST=58.232.211.97 LEN=227 TOS=0x00 PREC=0x20 TTL=54 ID=35925 DF PROTO=UDP SPT=27016 DPT=65078 LEN=207 ] 
    Sep 19 06:52:14 hostname kernel: [33704.380837] IN_LEFTOVERS IN=ppp0 OUT= MAC= SRC=58.232.211.97 DST=XXX.XXX.XXX.XXX LEN=270 TOS=0x00 PREC=0x00 TTL=55 ID=16458 PROTO=ICMP TYPE=3 CODE=3 [SRC=XXX.XXX.XXX.XXX DST=58.232.211.97 LEN=242 TOS=0x00 PREC=0x20 TTL=54 ID=35926 DF PROTO=UDP SPT=27015 DPT=65078 LEN=222 ] 
    Sep 19 06:52:14 hostname kernel: [33704.584926] IN_LEFTOVERS IN=ppp0 OUT= MAC= SRC=58.232.211.97 DST=XXX.XXX.XXX.XXX LEN=251 TOS=0x00 PREC=0x00 TTL=55 ID=16459 PROTO=ICMP TYPE=3 CODE=3 [SRC=XXX.XXX.XXX.XXX DST=58.232.211.97 LEN=223 TOS=0x00 PREC=0x20 TTL=54 ID=35927 DF PROTO=UDP SPT=27018 DPT=65078 LEN=203 ] 
    Sep 19 06:52:48 hostname kernel: [33737.754604] IN_LEFTOVERS IN=ppp0 OUT= MAC= SRC=87.254.142.110 DST=XXX.XXX.XXX.XXX LEN=44 TOS=0x00 PREC=0x00 TTL=250 ID=6251 PROTO=TCP SPT=44730 DPT=8080 WINDOW=1024 RES=0x00 SYN URGP=0 
    Sep 19 06:52:55 hostname kernel: [33745.281574] IN_LEFTOVERS IN=ppp0 OUT= MAC= SRC=188.244.136.128 DST=XXX.XXX.XXX.XXX LEN=251 TOS=0x00 PREC=0x00 TTL=121 ID=9980 PROTO=ICMP TYPE=3 CODE=3 [SRC=XXX.XXX.XXX.XXX DST=188.244.136.128 LEN=223 TOS=0x00 PREC=0x00 TTL=55 ID=14245 DF PROTO=UDP SPT=27018 DPT=26413 LEN=203 ] 
    Sep 19 06:52:58 hostname kernel: [33748.700959] IN_LEFTOVERS IN=ppp0 OUT= MAC= SRC=188.244.136.128 DST=XXX.XXX.XXX.XXX LEN=251 TOS=0x00 PREC=0x00 TTL=121 ID=10525 PROTO=ICMP TYPE=3 CODE=3 [SRC=XXX.XXX.XXX.XXX DST=188.244.136.128 LEN=223 TOS=0x00 PREC=0x00 TTL=57 ID=14255 DF PROTO=UDP SPT=27018 DPT=24748 LEN=203 ] 
    Sep 19 06:53:12 hostname kernel: [33762.013962] IN_LEFTOVERS IN=ppp0 OUT= MAC= SRC=219.249.53.100 DST=XXX.XXX.XXX.XXX LEN=251 TOS=0x00 PREC=0x00 TTL=54 ID=58504 PROTO=ICMP TYPE=3 CODE=3 [SRC=XXX.XXX.XXX.XXX DST=219.249.53.100 LEN=223 TOS=0x00 PREC=0x00 TTL=51 ID=13127 DF PROTO=UDP SPT=27018 DPT=57336 LEN=203 ] 
    Sep 19 06:54:01 hostname kernel: [33811.073747] IN_LEFTOVERS IN=ppp0 OUT= MAC= SRC=188.244.136.128 DST=XXX.XXX.XXX.XXX LEN=251 TOS=0x00 PREC=0x00 TTL=121 ID=23264 PROTO=ICMP TYPE=3 CODE=3 [SRC=XXX.XXX.XXX.XXX DST=188.244.136.128 LEN=223 TOS=0x00 PREC=0x00 TTL=57 ID=14262 DF PROTO=UDP SPT=27018 DPT=24343 LEN=203 ] 
    Sep 19 06:54:06 hostname kernel: [33816.502882] IN_LEFTOVERS IN=ppp0 OUT= MAC= SRC=219.249.53.100 DST=XXX.XXX.XXX.XXX LEN=251 TOS=0x00 PREC=0x00 TTL=54 ID=58505 PROTO=ICMP TYPE=3 CODE=3 [SRC=XXX.XXX.XXX.XXX DST=219.249.53.100 LEN=223 TOS=0x00 PREC=0x00 TTL=51 ID=13131 DF PROTO=UDP SPT=27018 DPT=57344 LEN=203 ] 
    Sep 19 06:54:10 hostname kernel: [33820.194229] IN_LEFTOVERS IN=ppp0 OUT= MAC= SRC=110.15.147.32 DST=XXX.XXX.XXX.XXX LEN=251 TOS=0x00 PREC=0x00 TTL=55 ID=19883 PROTO=ICMP TYPE=3 CODE=3 [SRC=XXX.XXX.XXX.XXX DST=110.15.147.32 LEN=223 TOS=0x00 PREC=0x00 TTL=46 ID=6924 DF PROTO=UDP SPT=27018 DPT=64993 LEN=203 ] 
    Sep 19 06:55:24 hostname kernel: [33894.545952] IN_LEFTOVERS IN=ppp0 OUT= MAC= SRC=36.38.75.197 DST=XXX.XXX.XXX.XXX LEN=243 TOS=0x00 PREC=0x00 TTL=53 ID=23382 PROTO=ICMP TYPE=3 CODE=3 [SRC=XXX.XXX.XXX.XXX DST=36.38.75.197 LEN=215 TOS=0x00 PREC=0x00 TTL=52 ID=1161 DF PROTO=UDP SPT=27019 DPT=50261 LEN=195 ]
    
    .........
    
    Sep 19 07:13:56 hostname kernel: [35006.331807] IN_LEFTOVERS IN=ppp0 OUT= MAC= SRC=147.30.182.4 DST=XXX.XXX.XXX.XXX LEN=40 TOS=0x00 PREC=0x00 TTL=121 ID=20062 DF PROTO=TCP SPT=59588 DPT=80 WINDOW=27534 RES=0x00 ACK URGP=0 
    Sep 19 07:13:57 hostname kernel: [35006.583062] IN_LEFTOVERS IN=ppp0 OUT= MAC= SRC=147.30.182.4 DST=XXX.XXX.XXX.XXX LEN=40 TOS=0x00 PREC=0x00 TTL=121 ID=20189 DF PROTO=TCP SPT=59588 DPT=80 WINDOW=65305 RES=0x00 ACK URGP=0 
    Sep 19 07:13:57 hostname kernel: [35006.588326] IN_LEFTOVERS IN=ppp0 OUT= MAC= SRC=147.30.182.4 DST=XXX.XXX.XXX.XXX LEN=40 TOS=0x00 PREC=0x00 TTL=121 ID=20198 DF PROTO=TCP SPT=59588 DPT=80 WINDOW=65305 RES=0x00 ACK URGP=0 
    Sep 19 07:13:57 hostname kernel: [35006.588343] IN_LEFTOVERS IN=ppp0 OUT= MAC= SRC=147.30.182.4 DST=XXX.XXX.XXX.XXX LEN=40 TOS=0x00 PREC=0x00 TTL=121 ID=20199 DF PROTO=TCP SPT=59588 DPT=80 WINDOW=65305 RES=0x00 ACK URGP=0 
    Sep 19 07:13:57 hostname kernel: [35006.588375] IN_LEFTOVERS IN=ppp0 OUT= MAC= SRC=147.30.182.4 DST=XXX.XXX.XXX.XXX LEN=40 TOS=0x00 PREC=0x00 TTL=121 ID=20201 DF PROTO=TCP SPT=59588 DPT=80 WINDOW=65305 RES=0x00 ACK URGP=0 
    Sep 19 07:13:57 hostname kernel: [35006.588432] IN_LEFTOVERS IN=ppp0 OUT= MAC= SRC=147.30.182.4 DST=XXX.XXX.XXX.XXX LEN=40 TOS=0x00 PREC=0x00 TTL=121 ID=20205 DF PROTO=TCP SPT=59588 DPT=80 WINDOW=65305 RES=0x00 ACK URGP=0 
    Sep 19 07:13:57 hostname kernel: [35006.631167] IN_LEFTOVERS IN=ppp0 OUT= MAC= SRC=147.30.182.4 DST=XXX.XXX.XXX.XXX LEN=40 TOS=0x00 PREC=0x00 TTL=121 ID=20222 DF PROTO=TCP SPT=59588 DPT=80 WINDOW=65305 RES=0x00 ACK URGP=0 
    Sep 19 07:13:57 hostname kernel: [35006.631590] IN_LEFTOVERS IN=ppp0 OUT= MAC= SRC=147.30.182.4 DST=XXX.XXX.XXX.XXX LEN=40 TOS=0x00 PREC=0x00 TTL=121 ID=20225 DF PROTO=TCP SPT=59588 DPT=80 WINDOW=65305 RES=0x00 ACK URGP=0 
    Sep 19 07:13:57 hostname kernel: [35006.636373] IN_LEFTOVERS IN=ppp0 OUT= MAC= SRC=147.30.182.4 DST=XXX.XXX.XXX.XXX LEN=40 TOS=0x00 PREC=0x00 TTL=121 ID=20245 DF PROTO=TCP SPT=59588 DPT=80 WINDOW=65305 RES=0x00 ACK URGP=0 
    Sep 19 07:13:57 hostname kernel: [35006.659537] IN_LEFTOVERS IN=ppp0 OUT= MAC= SRC=147.30.182.4 DST=XXX.XXX.XXX.XXX LEN=40 TOS=0x00 PREC=0x00 TTL=121 ID=20259 DF PROTO=TCP SPT=59588 DPT=80 WINDOW=65305 RES=0x00 ACK URGP=0 
    Sep 19 07:13:57 hostname kernel: [35006.682541] IN_LEFTOVERS IN=ppp0 OUT= MAC= SRC=147.30.182.4 DST=XXX.XXX.XXX.XXX LEN=40 TOS=0x00 PREC=0x00 TTL=121 ID=20275 DF PROTO=TCP SPT=59588 DPT=80 WINDOW=65305 RES=0x00 ACK URGP=0 
    Sep 19 07:13:57 hostname kernel: [35006.690949] IN_LEFTOVERS IN=ppp0 OUT= MAC= SRC=147.30.182.4 DST=XXX.XXX.XXX.XXX LEN=40 TOS=0x00 PREC=0x00 TTL=121 ID=20284 DF PROTO=TCP SPT=59588 DPT=80 WINDOW=65305 RES=0x00 ACK URGP=0 
    Sep 19 07:13:57 hostname kernel: [35006.691003] IN_LEFTOVERS IN=ppp0 OUT= MAC= SRC=147.30.182.4 DST=XXX.XXX.XXX.XXX LEN=40 TOS=0x00 PREC=0x00 TTL=121 ID=20287 DF PROTO=TCP SPT=59588 DPT=80 WINDOW=65305 RES=0x00 ACK URGP=0 
    Sep 19 07:13:57 hostname kernel: [35006.721044] IN_LEFTOVERS IN=ppp0 OUT= MAC= SRC=147.30.182.4 DST=XXX.XXX.XXX.XXX LEN=40 TOS=0x00 PREC=0x00 TTL=121 ID=20308 DF PROTO=TCP SPT=59588 DPT=80 WINDOW=65305 RES=0x00 ACK URGP=0 
    Sep 19 07:13:57 hostname kernel: [35006.721062] IN_LEFTOVERS IN=ppp0 OUT= MAC= SRC=147.30.182.4 DST=XXX.XXX.XXX.XXX LEN=40 TOS=0x00 PREC=0x00 TTL=121 ID=20309 DF PROTO=TCP SPT=59588 DPT=80 WINDOW=65305 RES=0x00 ACK URGP=0 
    Sep 19 07:13:57 hostname kernel: [35006.782534] IN_LEFTOVERS IN=ppp0 OUT= MAC= SRC=147.30.182.4 DST=XXX.XXX.XXX.XXX LEN=40 TOS=0x00 PREC=0x00 TTL=121 ID=20366 DF PROTO=TCP SPT=59588 DPT=80 WINDOW=65305 RES=0x00 ACK URGP=0 
    Sep 19 07:13:57 hostname kernel: [35006.782650] IN_LEFTOVERS IN=ppp0 OUT= MAC= SRC=147.30.182.4 DST=XXX.XXX.XXX.XXX LEN=40 TOS=0x00 PREC=0x00 TTL=121 ID=20374 DF PROTO=TCP SPT=59588 DPT=80 WINDOW=65305 RES=0x00 ACK URGP=0 
    Sep 19 07:13:57 hostname kernel: [35006.782658] IN_LEFTOVERS IN=ppp0 OUT= MAC= SRC=147.30.182.4 DST=XXX.XXX.XXX.XXX LEN=40 TOS=0x00 PREC=0x00 TTL=121 ID=20376 DF PROTO=TCP SPT=59588 DPT=80 WINDOW=65305 RES=0x00 ACK URGP=0 
    Sep 19 07:13:57 hostname kernel: [35006.782665] IN_LEFTOVERS IN=ppp0 OUT= MAC= SRC=147.30.182.4 DST=XXX.XXX.XXX.XXX LEN=40 TOS=0x00 PREC=0x00 TTL=121 ID=20375 DF PROTO=TCP SPT=59588 DPT=80 WINDOW=65305 RES=0x00 ACK URGP=0 
    Sep 19 07:13:57 hostname kernel: [35006.814332] IN_LEFTOVERS IN=ppp0 OUT= MAC= SRC=147.30.182.4 DST=XXX.XXX.XXX.XXX LEN=40 TOS=0x00 PREC=0x00 TTL=121 ID=20390 DF PROTO=TCP SPT=59588 DPT=80 WINDOW=65305 RES=0x00 ACK URGP=0 
    Sep 19 07:13:57 hostname kernel: [35006.814363] IN_LEFTOVERS IN=ppp0 OUT= MAC= SRC=147.30.182.4 DST=XXX.XXX.XXX.XXX LEN=40 TOS=0x00 PREC=0x00 TTL=121 ID=20389 DF PROTO=TCP SPT=59588 DPT=80 WINDOW=65305 RES=0x00 ACK URGP=0 
    
    
    И так весь день, меняются только IP источника.
    В то время, как все начали вылетать было так:

    HTML:
    Sep 19 00:12:54 hostname kernel: [ 9751.807462] IN_LEFTOVERS IN=ppp0 OUT= MAC= SRC=213.154.74.34 DST=XXX.XXX.XXX.XXX LEN=57 TOS=0x00 PREC=0x00 TTL=51 ID=39336 PROTO=ICMP TYPE=3 CODE=3 [SRC=XXX.XXX.XXX.XXX DST=213.154.74.34 LEN=29 TOS=0x00 PREC=0x00 TTL=240 ID=12336 PROTO=UDP SPT=27021 DPT=19 LEN=9 ] 
    Sep 19 00:12:54 hostname kernel: [ 9751.820185] IN_LEFTOVERS IN=ppp0 OUT= MAC= SRC=213.154.74.34 DST=XXX.XXX.XXX.XXX LEN=57 TOS=0x00 PREC=0x00 TTL=51 ID=39338 PROTO=ICMP TYPE=3 CODE=3 [SRC=XXX.XXX.XXX.XXX DST=213.154.74.34 LEN=29 TOS=0x00 PREC=0x00 TTL=240 ID=12336 PROTO=UDP SPT=27021 DPT=19 LEN=9 ] 
    Sep 19 00:12:54 hostname kernel: [ 9751.822228] IN_LEFTOVERS IN=ppp0 OUT= MAC= SRC=213.154.74.34 DST=XXX.XXX.XXX.XXX LEN=57 TOS=0x00 PREC=0x00 TTL=51 ID=39339 PROTO=ICMP TYPE=3 CODE=3 [SRC=XXX.XXX.XXX.XXX DST=213.154.74.34 LEN=29 TOS=0x00 PREC=0x00 TTL=240 ID=12336 PROTO=UDP SPT=27021 DPT=19 LEN=9 ] 
    Sep 19 00:12:54 hostname kernel: [ 9751.951281] IN_LEFTOVERS IN=ppp0 OUT= MAC= SRC=222.185.251.202 DST=XXX.XXX.XXX.XXX LEN=57 TOS=0x00 PREC=0x00 TTL=115 ID=25847 PROTO=ICMP TYPE=3 CODE=3 [SRC=XXX.XXX.XXX.XXX DST=222.185.251.202 LEN=29 TOS=0x00 PREC=0x00 TTL=237 ID=12336 PROTO=UDP SPT=27021 DPT=19 LEN=9 ] 
    Sep 19 00:12:54 hostname kernel: [ 9751.956201] IN_LEFTOVERS IN=ppp0 OUT= MAC= SRC=222.185.251.202 DST=XXX.XXX.XXX.XXX LEN=57 TOS=0x00 PREC=0x00 TTL=115 ID=25850 PROTO=ICMP TYPE=3 CODE=3 [SRC=XXX.XXX.XXX.XXX DST=222.185.251.202 LEN=29 TOS=0x00 PREC=0x00 TTL=237 ID=12336 PROTO=UDP SPT=27021 DPT=19 LEN=9 ] 
    Sep 19 00:12:54 hostname kernel: [ 9752.012312] IN_LEFTOVERS IN=ppp0 OUT= MAC= SRC=216.166.23.99 DST=XXX.XXX.XXX.XXX LEN=56 TOS=0x00 PREC=0x00 TTL=241 ID=11128 PROTO=ICMP TYPE=3 CODE=3 [SRC=XXX.XXX.XXX.XXX DST=216.166.23.103 LEN=29 TOS=0x00 PREC=0x00 TTL=245 ID=12336 PROTO=UDP SPT=27021 DPT=19 LEN=9 ] 
    Sep 19 00:12:54 hostname kernel: [ 9752.014341] IN_LEFTOVERS IN=ppp0 OUT= MAC= SRC=61.183.207.147 DST=XXX.XXX.XXX.XXX LEN=74 TOS=0x00 PREC=0x00 TTL=51 ID=29068 PROTO=ICMP TYPE=3 CODE=1 [SRC=XXX.XXX.XXX.XXX DST=61.183.207.149 LEN=29 TOS=0x00 PREC=0x00 TTL=236 ID=12336 PROTO=UDP SPT=27021 DPT=19 LEN=9 ] 
    Sep 19 00:12:54 hostname kernel: [ 9752.179797] IN_LEFTOVERS IN=ppp0 OUT= MAC= SRC=60.21.149.38 DST=XXX.XXX.XXX.XXX LEN=57 TOS=0x00 PREC=0x00 TTL=49 ID=18594 PROTO=ICMP TYPE=3 CODE=3 [SRC=XXX.XXX.XXX.XXX DST=60.21.149.38 LEN=29 TOS=0x08 PREC=0x00 TTL=235 ID=12336 PROTO=UDP SPT=27021 DPT=19 LEN=9 ] 
    Sep 19 00:12:54 hostname kernel: [ 9752.182649] IN_LEFTOVERS IN=ppp0 OUT= MAC= SRC=60.21.149.38 DST=XXX.XXX.XXX.XXX LEN=57 TOS=0x00 PREC=0x00 TTL=49 ID=18597 PROTO=ICMP TYPE=3 CODE=3 [SRC=XXX.XXX.XXX.XXX DST=60.21.149.38 LEN=29 TOS=0x08 PREC=0x00 TTL=235 ID=12336 PROTO=UDP SPT=27021 DPT=19 LEN=9 ] 
    Sep 19 00:12:54 hostname kernel: [ 9752.184681] IN_LEFTOVERS IN=ppp0 OUT= MAC= SRC=60.21.149.38 DST=XXX.XXX.XXX.XXX LEN=57 TOS=0x00 PREC=0x00 TTL=49 ID=18600 PROTO=ICMP TYPE=3 CODE=3 [SRC=XXX.XXX.XXX.XXX DST=60.21.149.38 LEN=29 TOS=0x08 PREC=0x00 TTL=235 ID=12336 PROTO=UDP SPT=27021 DPT=19 LEN=9 ] 
    Sep 19 00:12:54 hostname kernel: [ 9752.186315] IN_LEFTOVERS IN=ppp0 OUT= MAC= SRC=60.21.149.38 DST=XXX.XXX.XXX.XXX LEN=57 TOS=0x00 PREC=0x00 TTL=49 ID=18601 PROTO=ICMP TYPE=3 CODE=3 [SRC=XXX.XXX.XXX.XXX DST=60.21.149.38 LEN=29 TOS=0x08 PREC=0x00 TTL=235 ID=12336 PROTO=UDP SPT=27021 DPT=19 LEN=9 ] 
    Sep 19 00:12:54 hostname kernel: [ 9752.187175] IN_LEFTOVERS IN=ppp0 OUT= MAC= SRC=60.21.149.38 DST=XXX.XXX.XXX.XXX LEN=57 TOS=0x00 PREC=0x00 TTL=49 ID=18602 PROTO=ICMP TYPE=3 CODE=3 [SRC=XXX.XXX.XXX.XXX DST=60.21.149.38 LEN=29 TOS=0x08 PREC=0x00 TTL=235 ID=12336 PROTO=UDP SPT=27021 DPT=19 LEN=9 ] 
    Sep 19 00:12:54 hostname kernel: [ 9752.187190] IN_LEFTOVERS IN=ppp0 OUT= MAC= SRC=60.21.149.38 DST=XXX.XXX.XXX.XXX LEN=57 TOS=0x00 PREC=0x00 TTL=49 ID=18603 PROTO=ICMP TYPE=3 CODE=3 [SRC=XXX.XXX.XXX.XXX DST=60.21.149.38 LEN=29 TOS=0x08 PREC=0x00 TTL=235 ID=12336 PROTO=UDP SPT=27021 DPT=19 LEN=9 ] 
    Sep 19 00:12:54 hostname kernel: [ 9752.187565] IN_LEFTOVERS IN=ppp0 OUT= MAC= SRC=60.21.149.38 DST=XXX.XXX.XXX.XXX LEN=57 TOS=0x00 PREC=0x00 TTL=49 ID=18605 PROTO=ICMP TYPE=3 CODE=3 [SRC=XXX.XXX.XXX.XXX DST=60.21.149.38 LEN=29 TOS=0x08 PREC=0x00 TTL=235 ID=12336 PROTO=UDP SPT=27021 DPT=19 LEN=9 ] 
    Sep 19 00:12:54 hostname kernel: [ 9752.188389] IN_LEFTOVERS IN=ppp0 OUT= MAC= SRC=60.21.149.38 DST=XXX.XXX.XXX.XXX LEN=57 TOS=0x00 PREC=0x00 TTL=49 ID=18607 PROTO=ICMP TYPE=3 CODE=3 [SRC=XXX.XXX.XXX.XXX DST=60.21.149.38 LEN=29 TOS=0x08 PREC=0x00 TTL=235 ID=12336 PROTO=UDP SPT=27021 DPT=19 LEN=9 ] 
    Sep 19 00:12:54 hostname kernel: [ 9752.189589] IN_LEFTOVERS IN=ppp0 OUT= MAC= SRC=60.21.149.38 DST=XXX.XXX.XXX.XXX LEN=57 TOS=0x00 PREC=0x00 TTL=49 ID=18609 PROTO=ICMP TYPE=3 CODE=3 [SRC=XXX.XXX.XXX.XXX DST=60.21.149.38 LEN=29 TOS=0x08 PREC=0x00 TTL=235 ID=12336 PROTO=UDP SPT=27021 DPT=19 LEN=9 ] 
    Sep 19 00:12:54 hostname kernel: [ 9752.190429] IN_LEFTOVERS IN=ppp0 OUT= MAC= SRC=60.21.149.38 DST=XXX.XXX.XXX.XXX LEN=57 TOS=0x00 PREC=0x00 TTL=49 ID=18611 PROTO=ICMP TYPE=3 CODE=3 [SRC=XXX.XXX.XXX.XXX DST=60.21.149.38 LEN=29 TOS=0x08 PREC=0x00 TTL=235 ID=12336 PROTO=UDP SPT=27021 DPT=19 LEN=9 ] 
    Sep 19 00:12:54 hostname kernel: [ 9752.199848] IN_LEFTOVERS IN=ppp0 OUT= MAC= SRC=60.21.149.38 DST=XXX.XXX.XXX.XXX LEN=57 TOS=0x00 PREC=0x00 TTL=49 ID=18632 PROTO=ICMP TYPE=3 CODE=3 [SRC=XXX.XXX.XXX.XXX DST=60.21.149.38 LEN=29 TOS=0x08 PREC=0x00 TTL=235 ID=12336 PROTO=UDP SPT=27021 DPT=19 LEN=9 ] 
    Sep 19 00:12:54 hostname kernel: [ 9752.200553] IN_LEFTOVERS IN=ppp0 OUT= MAC= SRC=60.21.149.38 DST=XXX.XXX.XXX.XXX LEN=57 TOS=0x00 PREC=0x00 TTL=49 ID=18633 PROTO=ICMP TYPE=3 CODE=3 [SRC=XXX.XXX.XXX.XXX DST=60.21.149.38 LEN=29 TOS=0x08 PREC=0x00 TTL=235 ID=12336 PROTO=UDP SPT=27021 DPT=19 LEN=9 ] 
    Sep 19 00:12:54 hostname kernel: [ 9752.206023] IN_LEFTOVERS IN=ppp0 OUT= MAC= SRC=60.21.149.38 DST=XXX.XXX.XXX.XXX LEN=57 TOS=0x00 PREC=0x00 TTL=49 ID=18639 PROTO=ICMP TYPE=3 CODE=3 [SRC=XXX.XXX.XXX.XXX DST=60.21.149.38 LEN=29 TOS=0x08 PREC=0x00 TTL=235 ID=12336 PROTO=UDP SPT=27021 DPT=19 LEN=9 ] 
    Sep 19 00:12:54 hostname kernel: [ 9752.210113] IN_LEFTOVERS IN=ppp0 OUT= MAC= SRC=60.21.149.38 DST=XXX.XXX.XXX.XXX LEN=57 TOS=0x00 PREC=0x00 TTL=49 ID=18647 PROTO=ICMP TYPE=3 CODE=3 [SRC=XXX.XXX.XXX.XXX DST=60.21.149.38 LEN=29 TOS=0x08 PREC=0x00 TTL=235 ID=12336 PROTO=UDP SPT=27021 DPT=19 LEN=9 ] 
    Sep 19 00:12:54 hostname kernel: [ 9752.215009] IN_LEFTOVERS IN=ppp0 OUT= MAC= SRC=60.21.149.38 DST=XXX.XXX.XXX.XXX LEN=57 TOS=0x00 PREC=0x00 TTL=49 ID=18654 PROTO=ICMP TYPE=3 CODE=3 [SRC=XXX.XXX.XXX.XXX DST=60.21.149.38 LEN=29 TOS=0x08 PREC=0x00 TTL=235 ID=12336 PROTO=UDP SPT=27021 DPT=19 LEN=9 ] 
    
    Где hostname - имя сервера, ХХХ.ХХХ.ХХХ.ХХХ мой внешний IP. Интернет по PPPoE

    Как-то сразу не догадался посмотреть, забивался ли канал в то время. А так в среднем 3-4 Мбита на приём и ~30 Мбит на отдачу из 100/100 Мбит.

    Собственно вопрос похоже на атаку или у меня паранойя и во всём виноваты кривые руки?
     
  2. Tallanvor

    Tallanvor Красноглазый

    Сообщения:
    1.087
    Симпатии:
    306
    О руках - это в точку, хотя и атака имеется.
    Покажи, какие правила iptables используешь?

    Добавлено через 3 минуты
    Не отходя от кассы, подкину ещё и вот это:
    iptables: DDoS "protection" for srcds
     
    Последнее редактирование: 19 сен 2015
  3. Alexander Lyalin

    Alexander Lyalin

    Сообщения:
    3
    Симпатии:
    1
    За ссылку спасибо, уже читал.

    Правила:

    HTML:
    iptables -P INPUT DROP
    iptables -P FORWARD ACCEPT
    iptables -P OUTPUT ACCEPT
    iptables -A INPUT -i lo -j ACCEPT
    iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
    iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 2222 -j ACCEPT
    iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 27015:27025 -j ACCEPT
    iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
    iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 443 -j ACCEPT
    iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT
    iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 53 -j ACCEPT
    iptables -A INPUT -m state --state NEW -m udp -p udp --dport 53 -j ACCEPT
    iptables -A INPUT -m state --state NEW -m udp -p udp --dport 67 -j ACCEPT
    iptables -A INPUT -m state --state NEW -m udp -p udp --dport 68 -j ACCEPT
    iptables -A INPUT -m state --state NEW -m udp -p udp --dport 27015:27125 -j ACCEPT
    iptables -A INPUT -m state --state NEW -m udp -p udp --dport 445 -j ACCEPT
    iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 445 -j ACCEPT
    iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 139 -j ACCEPT
    iptables -A INPUT -m state --state NEW -m udp -p udp --dport 38746 -j ACCEPT
    iptables -A INPUT -m state --state NEW -m udp -p udp --dport 64738 -j ACCEPT
    
    iptables -I INPUT -p udp --dport 27015:27125 -m length --length 0:32 -j DROP
    iptables -I INPUT -p udp --dport 27015:27125 -m length --length 2521:65535 -j DROP
    
    iptables -A INPUT -p udp --dport 27015:27125 -m hashlimit --hashlimit 50/s --hashlimit-burst 50 --hashlimit-mode srcip --hashlimit-name TF2 -j ACCEPT
    iptables -A INPUT -p udp --dport 27015:27125 -j DROP
    
    iptables -A INPUT -p icmp -f -j DROP
    
    iptables -A INPUT -m conntrack --ctstate NEW,INVALID -p tcp --tcp-flags SYN,ACK SYN,ACK -j LOG --log-level info --log-prefix "DROP SYN,ACK: "
    iptables -A INPUT -m conntrack --ctstate NEW,INVALID -p tcp --tcp-flags SYN,ACK SYN,ACK -j REJECT --reject-with tcp-reset
    iptables -A INPUT -p udp -j DROP
    iptables -A INPUT -j LOG --log-prefix "Iptables: IN_LEFTOVERS "
    iptables -A OUTPUT -j ACCEPT 
    С линуксовым файрволом знаком только очень поверхностно, так что могу и ошибиться.

    По поводу рук, что с ними не так?

    Добавлено через 17 часов 19 минут
    Нет не паранойя, действительно атака

    HTML:
    Sep 20 00:02:48 hostname kernel: [95518.242995] Iptables: IN_LEFTOVERS IN=ppp0 OUT= MAC= SRC=85.20.255.177 DST=XXX.XXX.XXX.XXX LEN=96 TOS=0x00 PREC=0x00 TTL=246 ID=4157 PROTO=ICMP TYPE=11 CODE=0 [SRC=XXX.XXX.XXX.XXX DST=78.7.144.186 LEN=36 TOS=0x08 PREC=0x00 TTL=1 ID=12336 PROTO=UDP SPT=27021 DPT=123 LEN=16 ] 
    Sep 20 00:02:48 hostname kernel: [95518.243006] Iptables: IN_LEFTOVERS IN=ppp0 OUT= MAC= SRC=85.20.255.177 DST=XXX.XXX.XXX.XXX LEN=96 TOS=0x00 PREC=0x00 TTL=246 ID=4159 PROTO=ICMP TYPE=11 CODE=0 [SRC=XXX.XXX.XXX.XXX DST=78.7.144.186 LEN=36 TOS=0x08 PREC=0x00 TTL=1 ID=12336 PROTO=UDP SPT=27021 DPT=123 LEN=16 ] 
    Sep 20 00:02:48 hostname kernel: [95518.243014] Iptables: IN_LEFTOVERS IN=ppp0 OUT= MAC= SRC=85.20.255.177 DST=XXX.XXX.XXX.XXX LEN=96 TOS=0x00 PREC=0x00 TTL=246 ID=4160 PROTO=ICMP TYPE=11 CODE=0 [SRC=XXX.XXX.XXX.XXX DST=78.7.144.186 LEN=36 TOS=0x08 PREC=0x00 TTL=1 ID=12336 PROTO=UDP SPT=27021 DPT=123 LEN=16 ] 
    Sep 20 00:02:48 hostname kernel: [95518.243023] Iptables: IN_LEFTOVERS IN=ppp0 OUT= MAC= SRC=85.20.255.177 DST=XXX.XXX.XXX.XXX LEN=96 TOS=0x00 PREC=0x00 TTL=246 ID=4161 PROTO=ICMP TYPE=11 CODE=0 [SRC=XXX.XXX.XXX.XXX DST=78.7.144.186 LEN=36 TOS=0x08 PREC=0x00 TTL=1 ID=12336 PROTO=UDP SPT=27021 DPT=123 LEN=16 ] 
    Sep 20 00:02:48 hostname kernel: [95518.243031] Iptables: IN_LEFTOVERS IN=ppp0 OUT= MAC= SRC=85.20.255.177 DST=XXX.XXX.XXX.XXX LEN=96 TOS=0x00 PREC=0x00 TTL=246 ID=4162 PROTO=ICMP TYPE=11 CODE=0 [SRC=XXX.XXX.XXX.XXX DST=78.7.144.186 LEN=36 TOS=0x08 PREC=0x00 TTL=1 ID=12336 PROTO=UDP SPT=27021 DPT=123 LEN=16 ] 
    Sep 20 00:02:48 hostname kernel: [95518.243038] Iptables: IN_LEFTOVERS IN=ppp0 OUT= MAC= SRC=85.20.255.177 DST=XXX.XXX.XXX.XXX LEN=96 TOS=0x00 PREC=0x00 TTL=246 ID=4163 PROTO=ICMP TYPE=11 CODE=0 [SRC=XXX.XXX.XXX.XXX DST=78.7.144.186 LEN=36 TOS=0x08 PREC=0x00 TTL=1 ID=12336 PROTO=UDP SPT=27021 DPT=123 LEN=16 ] 
    Sep 20 00:02:48 hostname kernel: [95518.243046] Iptables: IN_LEFTOVERS IN=ppp0 OUT= MAC= SRC=85.20.255.177 DST=XXX.XXX.XXX.XXX LEN=96 TOS=0x00 PREC=0x00 TTL=246 ID=4164 PROTO=ICMP TYPE=11 CODE=0 [SRC=XXX.XXX.XXX.XXX DST=78.7.144.186 LEN=36 TOS=0x08 PREC=0x00 TTL=1 ID=12336 PROTO=UDP SPT=27021 DPT=123 LEN=16 ] 
    Sep 20 00:02:48 hostname kernel: [95518.243054] Iptables: IN_LEFTOVERS IN=ppp0 OUT= MAC= SRC=85.20.255.177 DST=XXX.XXX.XXX.XXX LEN=96 TOS=0x00 PREC=0x00 TTL=246 ID=4165 PROTO=ICMP TYPE=11 CODE=0 [SRC=XXX.XXX.XXX.XXX DST=78.7.144.186 LEN=36 TOS=0x08 PREC=0x00 TTL=1 ID=12336 PROTO=UDP SPT=27021 DPT=123 LEN=16 ] 
    Sep 20 00:02:48 hostname kernel: [95518.243294] Iptables: IN_LEFTOVERS IN=ppp0 OUT= MAC= SRC=85.20.255.177 DST=XXX.XXX.XXX.XXX LEN=96 TOS=0x00 PREC=0x00 TTL=246 ID=4166 PROTO=ICMP TYPE=11 CODE=0 [SRC=XXX.XXX.XXX.XXX DST=78.7.144.186 LEN=36 TOS=0x08 PREC=0x00 TTL=1 ID=12336 PROTO=UDP SPT=27021 DPT=123 LEN=16 ] 
    Sep 20 00:02:48 hostname kernel: [95518.243306] Iptables: IN_LEFTOVERS IN=ppp0 OUT= MAC= SRC=85.20.255.177 DST=XXX.XXX.XXX.XXX LEN=96 TOS=0x00 PREC=0x00 TTL=246 ID=4167 PROTO=ICMP TYPE=11 CODE=0 [SRC=XXX.XXX.XXX.XXX DST=78.7.144.186 LEN=36 TOS=0x08 PREC=0x00 TTL=1 ID=12336 PROTO=UDP SPT=27021 DPT=123 LEN=16 ] 
    Sep 20 00:02:48 hostname kernel: [95518.243316] Iptables: IN_LEFTOVERS IN=ppp0 OUT= MAC= SRC=85.20.255.177 DST=XXX.XXX.XXX.XXX LEN=96 TOS=0x00 PREC=0x00 TTL=246 ID=4168 PROTO=ICMP TYPE=11 CODE=0 [SRC=XXX.XXX.XXX.XXX DST=78.7.144.186 LEN=36 TOS=0x08 PREC=0x00 TTL=1 ID=12336 PROTO=UDP SPT=27021 DPT=123 LEN=16 ] 
    Sep 20 00:02:48 hostname kernel: [95518.243324] Iptables: IN_LEFTOVERS IN=ppp0 OUT= MAC= SRC=85.20.255.177 DST=XXX.XXX.XXX.XXX LEN=96 TOS=0x00 PREC=0x00 TTL=246 ID=4169 PROTO=ICMP TYPE=11 CODE=0 [SRC=XXX.XXX.XXX.XXX DST=78.7.144.186 LEN=36 TOS=0x08 PREC=0x00 TTL=1 ID=12336 PROTO=UDP SPT=27021 DPT=123 LEN=16 ]  
    Забивают мусором все 100 Мбит входящего канала.
    Есть ли способы защиты? Или только фильтровать трафик на вышестоящем оборудовании?
     
    Последнее редактирование: 20 сен 2015