Последние угрозы

Есть

гасим дос атаку:
iptables -A INPUT -p udp -m multiport --dport 27010:27040 -m length --length 51:53 -m conntrack --ctstate NEW -m hashlimit --hashlimit-upto 2/sec --hashlimit-burst 2 --hashlimit-mode srcip,dstip,dstport --hashlimit-name CStrike_new -j ACCEPT


гасим атаку определенного пакета по его содержимому и по его длине:

iptables -A INPUT -p udp -m multiport --dport 27010:27040 -m string --algo kmp --string "HLBrute"-m length --length 32 -j DROP
осталось знать его содержимое и его длину и это без всяких дополнительных модулей



path-o-matic давно все устаревшее, есть xtables-addons

защита есть
для linux правила IPtables помогут)
кто хочет может сам написать правило
как вариант дропать все пакеты по udp размером выше 1300 байт

Legenda,
ок а ты подумал что забитый сервак ,к примеру 32/32 будет какать тупо игроков когда они будут получать более 1300 байтов или отправлять ?)
отсюда будут лосы и может даже ложные баны

вот же *** а я так близко был, у меня 1420 стояло , я бы и сам догадался, если бы половил пакетики, только все лень было

гыг) пусть слоты уменьшат)
я же написал как вариант)

Legenda,
это не вариант например для меня ))

у тебя и так защита есть

Есть и другие варианты)

поделись в личку)
если не жалко)

лично я знаю 3-4 варианта для форточек
без отключения dproto и блокировки no-steama

Дам конечно, но пока поиски безуспешны. Боюсь что это ограничение архитектуры TCP/IP в окнах, и возможности фильтровать пакеты по длине или содержимому нет в принципе.



Если фильтровать все пакеты, то да, скорее всего клиенты будут вылетать с reliable channel overflow
А если только входящие?
Сервер то может и отправляет большие пакеты, но клиенту незачем отправлять столько данных, даже если игроков очень много.



даже еще ближе, совсем чуточку превысил :)

Народ делитесь защитой !!!

кстати сервер все равно иногда падет с ошибкой память не может быть read, кто знает чего надо еще перекрыть? :biggrin:

1. так кому действительно нужно - сам всё придумает)
мне-то без разницы) сколько пакет весит выяснить можно wireshark на винде) кому надо - уже все знает.
да и файрволл не проблема поставить)

2. ага
на 16 байт

Отловил пакеты вашей херни. К вечеру скорее всего сделаю заплатку.

atenx,
давай тут не выкладывать а то зашишены будут и адекватные сервера и всякие школо сервера :)

плюсую

минусую
Скажи для каких целей оставлять бреши в защите? Защиту должны иметь все, иначе просто у кого то будет желание нагадить не понравившемуся проекту. А вот когда защита будет доступна всем, соответственно ей будет пользоваться адекватные люди( кто постоянно следит за своими серверами), а вот те же кто ей не воспользуется и можно будет назвать школо сервера

N1ks0n
Считай это фильтрацией на квалифицированных администраторов и не квалифицированных.

Puma
если у тебя есть защита ,то не значит ,что она другим не нужна.Давай выкладывай,если сделаеш...а то школота уже не знает предела...