Ddos в 3 гб

Тема в разделе "Всякое", создана пользователем TWRP, 22 мар 2015.

  1. TWRP

    TWRP Read Only

    Сообщения:
    317
    Симпатии:
    45
    Ку всем.
    На машине стоит CentOS
    Уже вторую неделю идет Ddos в 3 гига, не возможно подкл даже через PuTTY
    приходится через ip-kvm.

    Вопрос: можно ли какими-то скриптами отбиться или утилитами, правилами и т.д...

    ??? :(
     
  2. Саша Шеин

    Саша Шеин

    Сообщения:
    1.259
    Симпатии:
    191
    TWRP, бан ип адресов не помогает?
     
  3. TWRP

    TWRP Read Only

    Сообщения:
    317
    Симпатии:
    45
    Интересно... это же сколько надо банить ip ?
    когда в 3 гига Ддос ?
     
  4. NiGaByte

    NiGaByte

    Сообщения:
    501
    Симпатии:
    84
    Наврятли, нужно фильтравать трафик, это к провайдеру вопросы...
    P.S Сам такой же 10 гб атака...
     
  5. Саша Шеин

    Саша Шеин

    Сообщения:
    1.259
    Симпатии:
    191
    TWRP, хм.. А что ТП говорит?
     
  6. TWRP

    TWRP Read Only

    Сообщения:
    317
    Симпатии:
    45
    и... отбился ?

    Добавлено через 40 минут
    ТП ничего, сказали сами что-то делайте...
     
    Последнее редактирование: 22 мар 2015
  7. Саша Шеин

    Саша Шеин

    Сообщения:
    1.259
    Симпатии:
    191
    TWRP, дауж.... Даже не пригрозили отключением?
    http://sd-company.su/article/help_computers/ddos_defence
     
  8. Хитрый_Ёжик

    Хитрый_Ёжик

    Сообщения:
    281
    Симпатии:
    94
    TWRP, Если "Ddos в 3 гб" означает, что на тебя осуществляется DDoS атака в 3Гб/с, то любая фильтрация на уровне сервера поможет тебе только в том случае, если твой канал больше этих 3Гб/с.
     
    TWRP нравится это.
  9. TWRP

    TWRP Read Only

    Сообщения:
    317
    Симпатии:
    45
    Ну а хотяб какие-то скрипты подскажите, чтобы хотяб школоло ничего не могли сделать.
    P.S. Хотя щас и школоло такие вещи творит
     
  10. Хитрый_Ёжик

    Хитрый_Ёжик

    Сообщения:
    281
    Симпатии:
    94
  11. TWRP

    TWRP Read Only

    Сообщения:
    317
    Симпатии:
    45
    1 стоит
     
  12. ykpon

    ykpon Владыка Read Only

    Сообщения:
    399
    Симпатии:
    104
    Канал тебе забивают, не отобьешься.
    ddos-guard.net попробуй
     
    TWRP нравится это.
  13. Хитрый_Ёжик

    Хитрый_Ёжик

    Сообщения:
    281
    Симпатии:
    94
    TWRP, тут где-то была темка про iptables. Можешь поискать.
    Свои настройки я давать не горю желанием, однако с удовольствием поделюсь базовыми:
    !!!!!!НЕ КОПИРУЙ В ТУПУЮ!!!!!!
    Код:
    # Remove old rules
    iptables -F
    iptables -X
    
    # Policies
    iptables -P INPUT DROP
    iptables -P FORWARD DROP
    iptables -P OUTPUT ACCEPT
    
    # Allow loopback
    iptables -A INPUT -i lo -j ACCEPT
    
    # Allow all established connections
    iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
    
    # Allow SSH
    iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
    
    # Allow Gameservers traffic
    iptables -A INPUT -m state --state NEW -m udp -p udp --dport 27015 -j ACCEPT
    
    # Allow RCON from everybody
    iptables -A INPUT -m state --state NEW -m tcp -p tcp--dport 27015 -j ACCEPT
    
    # Allow RCON only from given IPs
    #iptables -A INPUT -m state --state NEW -m tcp -p tcp -s 8.8.8.8 --dport 27015 -j ACCEPT
    
    # No packages should reach this line...
    iptables -A INPUT -j LOG --log-prefix "LEFTOVER: "
    iptables -A OUTPUT -j ACCEPT
    По дефолту любые входящие соединения запрещены, по хорошему бы ещё и исходящие запретить, но так легче. Loopback, установленные соединения, SSH и последние 2 строчки не трогай.

    По сути, тебе нужно будет только настроить правила для портов игровых серверов (port, clientport, sourcetv).
    --dport 27015 - для одного порта
    --dport 27015:2017 - диапазон портов

    Касаемо доступа к RCON: я там написал два возможных варианта настройки - доступ возможен с любых или с определённых (закомментировано) IP адресов. Используй только одно. В принципе, можешь задать подсеть, но если не знаешь что это и как это делается, то лучше даже не лезь.

    iptables -A INPUT -j LOG --log-prefix "LEFTOVER: " - по сути, до этой строки трафик доходить вообще не должен. Написано на случай если что-то упустил.

    Если на машине есть что-то ещё (сайт, бд, ftp и т.д. и т.п.), то доступ к ним нужно будет открывать отдельно.

    Если имеешь дазовые знания об "администрировании сервера" с linux на борту, то покорпев денёк другой ты без проблем сможешь составить свою отличную таблицу правил. Однако учти, на виртуалках с общим ядром обычно много чего не хватает (в частности rate limit) и добавить нет возможности.

    P.S. Хочу спать, мог что-то забыть. Извиняюсь....
     
    BMW M6 и TWRP нравится это.
  14. TWRP

    TWRP Read Only

    Сообщения:
    317
    Симпатии:
    45
    Ты за эту тему говорил?
    http://hlmod.ru/forum/zashita-igrov...xovskogo-servera-cherez-pravila-iptables.html

    То это уже стоит, все равно ддос идёт.
    На счёт знания в линухе, то знаю достаточно нормально )))

    Много на форумах задавал такие вопросы и говорят что скрипты и iptables не спасёт.
    Нужно фильтровать, но при этом естественно иметь канал больше ддоса.
     
  15. Хитрый_Ёжик

    Хитрый_Ёжик

    Сообщения:
    281
    Симпатии:
    94
    ykpon, эта прелесть не работает с игровыми серверами на движке Source, да и слышал я, что они своих клиентов могут попросить уйти при очень сильной атаке...
    Хотя можно было бы взять у них VDS или сервер (хотя я бы за эти деньги собрал бы свой сервер, купил бы Cisco или Juniper и сам поставил в ДЦ).

    Добавлено через 59 секунд
    TWRP, так я же писал:
     
    Последнее редактирование: 23 мар 2015
  16. ykpon

    ykpon Владыка Read Only

    Сообщения:
    399
    Симпатии:
    104
    Они и TCP и UDP фильтруют последнее время, насколько мне известно. Игровые сервера защищает у них какой то проект - вспомню, напишу.
    Правила, что ты написал выше в этой теме, не помогут. Либо иптаблес загнется от такой нагрузки и положит сервер либо он адреса заблокирует, но канал все равно забиваться будет.
    А deflate тем более здесь бесполезен. Когда он будет по крону получать количество адресов и банить их - будет огромная нагрузка.
     
    TWRP нравится это.
  17. Хитрый_Ёжик

    Хитрый_Ёжик

    Сообщения:
    281
    Симпатии:
    94
    В любом случае платить 7к за подобную защиту я бы не стал...

    iptables не умрет от такого, если конечно всё правильно настроить...
    Про дефлэйт я сказал, т.к. ТС попросил какую-нибудь защиту от агрошкольников.
     
    TWRP нравится это.
  18. Саша Шеин

    Саша Шеин

    Сообщения:
    1.259
    Симпатии:
    191
    Как школоло это вообще делает и зачем им это может понадобиться?
     
  19. NiGaByte

    NiGaByte

    Сообщения:
    501
    Симпатии:
    84
    Конечно нет... Жду пока провайдер купит эти долбаные фильтры, и поставит их в долбаный ДЦ.

    Ботнет, много ботнета, где берут ботов? да где угодно, зачем? причин множество от развлечения, до устранения конкурента в сфере бизнеса, и не только.

    Оффтоп
     
  20. ykpon

    ykpon Владыка Read Only

    Сообщения:
    399
    Симпатии:
    104
    Не умрет, но и не поможет. Смысл на тачке адреса блокировать, если после этого они все равно в нее будут долбиться, а файерволл будет дропать соединения?

    Как? - 50 евро и ботнет в твоем распоряжении.
    Зачем? - Зависть, чсв.