Dos атаки и т.д.

нет
http://amx-x.ru/viewtopic.php?f=11&t=1406#p13885

Руки поотрывать бы тем, кто занимается этой хренью.

Racoon,
прикалист ,а на другой сайт другого жанра кто пишет мол ломать сервы и рассказывает баги с сервами xD ?)))

nazar5111994, udp флуд никак не остановишь, если ты не имеешь доступа к управлению iptables . полагаю что на хостинге ты врятли это имеешь. а так нужно сделать чашку на каждый конект и если она переполняется, то дропать пакеты. таки образом большое кол-во пакетов тебе не прилетит просто напросто. а только то, что сможет нормально обрабатывать твой кс сервак (обычно это около 150 -200 пакетов в секунду). но даже при это пинг подпрыгнет наверняка, но сервер не упадёт и клиентов не дропнет. да в принципе если подобрать кол-во пакетов в чашке, то можно даже играть вполне нормально.

ты загнул до безобразия, какие 100-200? , а кто мешает сделать так:
http://games.vipeburg.info/index.php?/topi...82%D0%B0%D0%BA/

coolman, ну и чего? 101 пакет у них там. непонятно откуда взятый параметр в принципе.. хотя я догадываюсь, что они опираются на рейты сервер.кфг ... дело каждого. я не девал решение, я описывал способ.

к тому же у них в этих 3х строчках, как мне кажется, есть недочёты, с точки зрения, а нафиг нужна лишняя проверка.
1. нафига проверять размер пакета?
2. --ctstate - что это за параметры? ну судя по аргументам я понимаю, но это что, фильтр ламеров или какой то аддон дополнительный в iptables ?
3. зачем нагружать выборкой режимов работы limit`а (--hashlimit-mode) если выбраны все режимы проверки? либо уж ничего, либо какие то разумные, интересующие iptables, параметры... типа srcip что ли... даже всё остальное не очень важно, ибо этого достаточно.
------
4. фильтруются все новые пакеты которые пришли после первого в туже самую секунду (если я правильно понимаю правила). причём работают все 4 режима работы limit`а... зачем это? можно же время дать скажем 5-10 секунд - в разы эффективней будет.
5. последнее правило тоже влияет на производительность! Нужна пометка, что правильнее опираться на общую политику набора правил iptables. если политика такая, что всё дропается, а что то конкретное разрешается (iptables -P INPUT/OUTPUT/FORWARD -j DROP), то последнее правило вообще не нужно. Если же наоборот, то добавляется вот эта строчка.


мои вопросы не требуют ответов. они риторические. и я собстно к тому, что если вы, coolman,, ну не очень понимаете что там происходит и смотрите наборы правил у других, то не надо остальных тыкать в этом. все эти фокусы уже видели, особенно владельцы http серверов и других сервисок, на которые совершаются атаки флуда пакетами с целью пожирания ресурсов сервера.

coolman, без обид, ОК? мы прост с этим уже лавно разобрались и я лишний раз решил всем напомнить, что такие решения существуют где то в начале этой темы.

в том то и дело что существуют изначально не верные правила, поэтому они и не помогают, а написал реально работающий скрипт от дос наводнения, и выдал пример, а не развернутый ответ, ибо нужны исключения и дополнения в него включать,например для css.setti.info и вообще этот пример новичкам, как и что, например та же цепочка импут должна дропаться, исходящие самим писать, более развернуто буду обсуждать на форуме по ссылке, оставленной ранее.

я не против что бы мой скрипт использовали для защиты своих серверов от досов, для того его и выложил в паблик, но добро я не давал его копировать, темболее изначально не полное содержание темы, что затуманивает понятие защиты от дос, прошу убрать эту часть кода из своего поста.

Во первых был написан код чисто в целях ознакомления, не более
Да и на тот момент это был весь твой код, и ты даже не заикнулся о том что это "не полное содержание темы, что затуманивает понятие защиты от дос" как же так?

Ок.

Не нужно преувеличивать и перекручивать информацию. Баги с серверами и плагинами легко прикрываются. О них должен знать каждый нормальный админ, чтобы уметь защитить свой сервер. От ДДОС атак нормальной защиты нету + это уже не баг, а злоумышленная атака Да и вообще, если я и владею какой либо информацией относительно взлома, ддоса и.т.п., это не означает, что я её активно использую (т.е. ломаю и ддошу серверы сутками, как это делают некоторые).

Можно поделиться данной информацией с нормальными админами?, например какие строчки string можно блочить в iptables или hex-string, а какие ограничить скоростью поступления?

coolman, боюсь что с таким потоком пакетов, который кс клиент фигачит на сервер, использовать стринг будет очень накладно, т.к. проверяется весь пакет... но даже если ограничить в проверке область, всё равно там пакеты такого размера, что оно роли не сыграет. это я так думаю... да и к тому же пакет может прийти разбитый на 5-10 частей... целой строки можно и не увидеть.

реально можно защититься "чашкой"! но это тоже всё относительно... сервер всё равно будет зафлуживаться пакетами, хоть и маленьким потоком. потому что разрешить придётся больше чем может себе позволить себе среднестатистический клиент, или это скажется на комфорте его игры. (на серверах с низкими рейтами я думаю это будет как основной способ защиты).
беда в том, что это udp и это игра, где важна малейшая задержка ...

Ни понимаю о чем вы постоянно говорите, у меня весь фарвол напичкан ограничениями, да и в сам dproto я думаю много чего напичкано.
Ну дак естественно куда че не сделай везде нагрузка будет, можно сразу вырубить сервер и спать спокойно :)
Да были личности, которые сервер обещали положить, и ни каких проблем я не испытывал ни до ни после, канал да, можно забить, сервер я думаю уже сложнее, если более мение нормально настроить.
Да если даже и задосят и че, у меня не коммерческий проект, ну полагает пару дней, потом вернется все в свое нормальное русло, серьезным ботнетом ни кто не будет ддосить, да темболее долго, и на это деньги нужны, и какую-то выгоду от проделанной пакости.
В Интернете нашел только это:
iptables -A IMPUT -p udp -m multiport --dport 26000:30000 -m string --algo kmp --string "\D.^D T.DT.DV" -j DROP
но у меня ни разу не отработало.

coolman, не знаю где ты это нашёл, но наверное это было стырено прям отсюда в момент, когда появился первый сплойт для завала сервера, а потом сразу второй. эту строчку я (или corax выкладывали тут, не помню кто постил, но разбирали пакеты вместе)... оно есесно не работает и от этого практически сразу вышла очередная версия dproto ;)
само по себе dproto не спасёт от дос`а. он (сервер/дпрото) принимает все пакеты и только потом отрабатывает. а нужно их до того как они до сервера долетят, перехватить.

ты вдаёшь в крайности. можно выключить конечно, но правила фаервола писать надо из попуждения сделать как можно меньшую задержку информации в цепочках. можно сделать какую то громоздкую проверку, но она должна быть максимально быстра.
кстати, такие правила для iptables можно найти где то пораньше в этой теме! только значения там нужно регулировать руками под свои рейты сервера и предполагаемые (максимальные) рейты клиентов, что бы они не чувствовали дискомфорта... дело фантазии вобщем. и чего там такого уникального было в правилах, что ты их попросил убрать и не копировать? циферки таймингов и каунт пакетов? а собственно больше там и нечего, а => это просто юношеский максимализм какой то.
это я так... лирика. жлобство ни один ресурс в сети ещё не раскрутило )

где то писали правила для rh firewall (я так понимаю ред хет )
а как просто чашку прописать в стандартніх iptables

не совсем..
rh firewall это всеголишь алиас для цепочек -A INPUT и -A FORWARD
который задается правилом:

Так как проце прописать одно правило, котрое будет обрабатываться сразу для 2х цепочек, чем расписывать правила отдельно для каждой цепи.

Поверь, есть долб***ы, которые могут каждый день ддосить. У меня проект тоже не коммерческий, толку от ддоса особого не вижу. Типа насолить гл. админу...

c0rax, а на он нужен этот алиас, если можно создать цепочку с правилами и указывать её в качестве цели. или это что то другое?

все мои сервера есть в списке :biggrin: , есть че из новых уязвимостей? можете меня протестить? А то давно серваки не падали, вот думаю либо нет уязвимостей, либо я в защите перестарался :biggrin:
хотя не, я пошутил, а то еще забьют канал падонки :biggrin: