Запись в лог "IP rate limiting client".

Тема в разделе "Counter-Strike: Global Offensive", создана пользователем l.st, 4 мар 2016.

  1. l.st

    l.st

    Сообщения:
    112
    Симпатии:
    15
    Достали уже эти гады с ддосом, решил реализовать f2b с дропом адресов, но не тут-то было, в логи не пишется это событие!(

    Сама ловушка простецкая:
    Код:
    [Definition]
    failregex =^: IP rate limiting client <HOST>:\d+ at \d+ hits (\d+ buckets, \d+ global count).$
    
    ignoreregex =
    
    [Init]
    
    datepattern = ^L %%d/%%m/%%Y - %%H:%%M:%%S
    Но вот логов-то нет на неё... Как это в лог завернуть?
     
  2. NIKOLYA-PRODIGY

    NIKOLYA-PRODIGY ANPORTGAMES.RU

    Сообщения:
    432
    Симпатии:
    81
    с чего ты взял что это дос?
     
  3. l.st

    l.st

    Сообщения:
    112
    Симпатии:
    15
    1. Смотрим в консольке:
    IP rate limiting client 77.220.187.194:27034 at 330 hits (73 buckets, 202 global count).
    2. Гуглим:
    77.220.187.194:27034 - Поиск в Google
    3. Думаем.
    --- Добавлено позже ---
    На allied нашёл:
    sm_cvar con_timestamp 1
    con_logfile console.txt

    Жаль, что только так, потому что это слишком затратно писать такие логи на большом количестве серверов...
     
  4. AS TRO

    AS TRO

    Сообщения:
    1.056
    Симпатии:
    509
    @l.st, это могут быть еще запросы от мониторингов...
     
  5. l.st

    l.st

    Сообщения:
    112
    Симпатии:
    15
    IP rate limiting client 195.88.209.215:2101 at 301 hits (102 buckets, 476 global count).
    195.88.209.215:2101 - Поиск в Google
    IP rate limiting client 95.213.143.167:27055 at 306 hits (62 buckets, 8 global count).
    95.213.143.167:27055 - Поиск в Google
    IP rate limiting client 200.43.192.246:27015 at 301 hits (40 buckets, 176 global count).
    200.43.192.246:27015 - Поиск в Google

    Пока что это тупо ддос атака. А на мониторинги мне наплевать, у меня стим и я только из мастера получаю игроков.
     
  6. kiraynko

    kiraynko

    Сообщения:
    185
    Симпатии:
    10
    И как помогает твоя ловушка то?
     
  7. l.st

    l.st

    Сообщения:
    112
    Симпатии:
    15
    Парсит лог, при виде такого сообщение ловит хост и добавляет DROP в iptables.
    Так-то круто, конечно, но condebug на 10 серверах не изящненько.

    Сейчас я кэшем запросов решил попробовать, но не компилится нормально под ксго. Вернее компилится, но _ZdlPv в игре.
     
  8. максимка27

    максимка27

    Сообщения:
    517
    Симпатии:
    170
    @l.st, как отражалось на серверах при этих атаках?
     
  9. l.st

    l.st

    Сообщения:
    112
    Симпатии:
    15
    Вот тут уже лаги, сервер закидывали флудом, избавился через ипт.
     
  10. максимка27

    максимка27

    Сообщения:
    517
    Симпатии:
    170
    @l.st, повышение пинга, фпс проседало или как то иначе?
     
  11. l.st

    l.st

    Сообщения:
    112
    Симпатии:
    15
    Было 20 тел, осталось 5, как думаешь?))
    Проще на ипт резать, чем модуль + ф2б + ипт пилить. Отличие только в том, что в первом случае малая часть атаки будет долетать, а во втором адрес банится наглухо.
     
  12. Sasha7

    Sasha7

    Сообщения:
    58
    Симпатии:
    6
    l.st - Есть такая шляпа, сервера на хостинге, что можно сделать с этим.
    IP rate limiting client 66.151.244.163:2322 at 301 hits (24 buckets, 281 global count).
    IP rate limiting client 66.151.244.163:2320 sustained 362 hits at 12.1 pps (22 buckets, 291 global count).
    IP rate limiting client 66.151.244.163:2322 at 351 hits (18 buckets, 190 global count).
    IP rate limiting client 66.151.244.163:2322 at 355 hits (16 buckets, 184 global count).
    IP rate limiting client 66.151.244.163:2322 at 367 hits (32 buckets, 184 global count).
    IP rate limiting client 66.151.244.163:2322 sustained 418 hits at 13.9 pps (27 buckets, 190 global count).
    IP rate limiting client 66.151.244.163:2320 at 368 hits (15 buckets, 150 global count).
    IP rate limiting client 66.151.244.163:2322 sustained 418 hits at 13.9 pps (17 buckets, 158 global count).
    IP rate limiting client 66.151.244.163:2320 at 365 hits (17 buckets, 152 global count).
    IP rate limiting client 66.151.244.163:2320 sustained 410 hits at 13.7 pps (21 buckets, 168 global count).
    IP rate limiting client 66.151.244.163:2322 at 368 hits (21 buckets, 168 global count).
    IP rate limiting client 66.151.244.163:2320 at 369 hits (21 buckets, 149 global count).
    А вот это , что?
    -> Reservation cookie ee0452c1948dbe93: reason [R] Connect from 109.198.84.212:1337
    Ещё
    L 03/24/2016 - 08:33:21: "Shegy`<8><STEAM_1:1:90596367><>" connected, address ""
    Client "Shegy`" connected (188.232.181.207:1337).
    L 03/24/2016 - 08:38:12: "asbuka12345<9><STEAM_1:1:100762903><>" connected, address ""
    Client "asbuka12345" connected (62.182.200.112:2).
    L 03/24/2016 - 08:42:58: "Alenushka<12><STEAM_1:0:13147094><>" connected, address ""
    Client "Alenushka" connected (213.21.41.101:27005)
    И такого "добра" полно в логах, можно цитировать бесконечно, как можно бороться с этим, если сервера размещены на хостинге?
    Подскажи будь добр.
    п.с. Это я так понял в server.cfg прописывать?
    Код:
    sm_cvar con_timestamp 1
    sm_cvar con_logfile console.txt
    
     
    Последнее редактирование: 24 мар 2016
  13. l.st

    l.st

    Сообщения:
    112
    Симпатии:
    15
    Искать рабочие Metamod Query Cache - AlliedModders или [EXTENSION] Query Cache 1.7 (Updated!) - AlliedModders
    а так же попробовать уменьшить значение sv_max_queries_sec но осторожно, иначе может сказаться на онлайне.

    А насчёт куков, похоже кто-то просто пытался зайти со старой версии игры.

    Вот эти штуки
    sm_cvar con_timestamp 1
    sm_cvar con_logfile console.txt
    Я бы не трогал, так как будет писаться всё всё всё, а значит будет нагрузка на винт.
     
  14. Monomizer

    Monomizer Мимо пробегал Супер-модератор

    Сообщения:
    1.527
    Симпатии:
    201
    Да на винт нагрузка микроскопическая, только на УГ хостингах это заметно будет)
     
  15. l.st

    l.st

    Сообщения:
    112
    Симпатии:
    15
    Сударь, вы когда-нибудь лог DDOSа в файл писали? Нет? Вот и не звездите тут знаниями.
     
  16. Monomizer

    Monomizer Мимо пробегал Супер-модератор

    Сообщения:
    1.527
    Симпатии:
    201
    Ну если у тебя мелкий iops то это твои трудности
     
  17. MFS

    MFS

    Сообщения:
    1.310
    Симпатии:
    537
    Это не ддос, это мониторинг. Он появляется, если кто то занес твой сервер в HLSW или от он-лайн мониторинговых сайтов, с машины, на которой установлен сервер и админ мониторит сервера других проектов, а если бы это был ддос, ты бы даже не смог зайти на сервер.
     
  18. selax

    selax

    Сообщения:
    1.044
    Симпатии:
    211
    @MFS, это может быть как дос/ддос, так и мониторинг.



    Лично я фиксил с помощью этих переменных:
    Код:
    sv_max_connects_sec
    sv_max_connects_sec_global
    sv_max_connects_window
    sv_max_queries_sec_global
    sv_max_queries_sec
    sv_max_queries_window
    Ещё был вариант с правилами iptables, но мне он не понадобился и я его забыл уже. :)
     
    l.st нравится это.
  19. MFS

    MFS

    Сообщения:
    1.310
    Симпатии:
    537
    Вот типичный пример на моем сервере при недолгой работе утилиты HLSW с моего IP.

    Страшно глянуть, но серверу пофиг, на производительность это не влияет.

    IP rate limiting client IP:7130 at 312 hits (73 buckets, 446 global count).
    IP rate limiting client IP:7130 at 313 hits (81 buckets, 466 global count).
    IP rate limiting client IP:7130 at 314 hits (82 buckets, 470 global count).
    IP rate limiting client IP:7130 at 317 hits (72 buckets, 446 global count).
    IP rate limiting client IP:7130 sustained 335 hits at 11.2 pps (82 buckets, 70 global count).
    IP rate limiting client IP:7130 at 317 hits (79 buckets, 460 global count).
    IP rate limiting client IP:7130 at 314 hits (78 buckets, 466 global count).
    IP rate limiting client IP:7130 at 317 hits (68 buckets, 440 global count).
    IP rate limiting client IP:7130 at 319 hits (82 buckets, 469 global count).
    IP rate limiting client IP:7130 at 317 hits (83 buckets, 472 global count).
    IP rate limiting client IP:7130 at 316 hits (74 buckets, 452 global count).
    IP rate limiting client IP:7130 at 323 hits (83 buckets, 12 global count).
    IP rate limiting client IP:7130 sustained 332 hits at 11.1 pps (87 buckets, 52 global count).
    IP rate limiting client IP:7130 at 324 hits (71 buckets, 464 global count).
    IP rate limiting client IP:7130 at 325 hits (88 buckets, 486 global count).
    IP rate limiting client IP:7130 at 323 hits (87 buckets, 478 global count).
    IP rate limiting client IP:7130 at 327 hits (96 buckets, 496 global count).
    IP rate limiting client IP:7130 at 325 hits (103 buckets, 514 global count).
    IP rate limiting client IP:7130 at 324 hits (84 buckets, 480 global count).
    IP rate limiting client IP:7130 at 327 hits (89 buckets, 484 global count).
    IP rate limiting client IP:7130 at 324 hits (93 buckets, 6 global count).
    IP rate limiting client IP:7130 at 301 hits (103 buckets, 356 global count).
    IP rate limiting client IP:7130 at 305 hits (69 buckets, 334 global count).
    IP rate limiting client IP:7130 at 308 hits (80 buckets, 276 global count).
    IP rate limiting client IP:7130 at 307 hits (83 buckets, 283 global count).
    IP rate limiting client IP:7130 at 312 hits (82 buckets, 134 global count).
    IP rate limiting client IP:7130 at 314 hits (90 buckets, 153 global count).
    IP rate limiting client IP:7130 at 316 hits (82 buckets, 48 global count).
    IP rate limiting client IP:7130 at 310 hits (83 buckets, 152 global count).
    IP rate limiting client IP:7130 at 315 hits (81 buckets, 72 global count).
    IP rate limiting client IP:7130 at 316 hits (88 buckets, 54 global count).
    IP rate limiting client IP:7130 at 317 hits (78 buckets, 58 global count).
    IP rate limiting client IP:7130 at 313 hits (97 buckets, 92 global count).
    IP rate limiting client IP:7130 at 313 hits (74 buckets, 116 global count).
    IP rate limiting client IP:7130 at 316 hits (88 buckets, 72 global count).
    IP rate limiting client IP:7130 at 315 hits (81 buckets, 70 global count).
    IP rate limiting client IP:7130 at 311 hits (85 buckets, 194 global count).
    IP rate limiting client IP:7130 at 323 hits (88 buckets, 74 global count).
    IP rate limiting client IP:7130 at 318 hits (80 buckets, 72 global count).
    IP rate limiting client IP:7130 at 325 hits (85 buckets, 78 global count).
    IP rate limiting client IP:7130 at 320 hits (78 buckets, 62 global count).
    IP rate limiting client IP:7130 at 323 hits (79 buckets, 70 global count).
    IP rate limiting client IP:7130 at 323 hits (74 buckets, 58 global count).
    IP rate limiting client IP:7130 at 327 hits (76 buckets, 56 global count).
    IP rate limiting client IP:7130 at 321 hits (87 buckets, 82 global count).
    IP rate limiting client IP:7130 at 322 hits (75 buckets, 50 global count).
     
  20. l.st

    l.st

    Сообщения:
    112
    Симпатии:
    15
    Людям говна не советуй.
    --- Добавлено позже ---
    Блин, мужики, ну вы чего, я же говорю, что я пробивал каждый адрес, это ИГРОВОЙ СЕРВЕР оказывался.

    Так вот представь у парня на дешёвом хостинге кондебаг запишет в файл все вот такие царапки. И самое главное зачем ему это? У него нет доступа к установке модулей на ось типа f2b и правке ipt.

    Я захожу на сервер, потому что у меня hashlimit на 6 часов фильтрует таких товарищей.
    --- Добавлено позже ---
    А вот у меня при изменении переменных упал онлайн, поэтому я в ипт фиксил.
     
    Последнее редактирование: 26 мар 2016