Правила форума Гаранты форума

Размещение рекламы AMX-X компилятор

Здравствуйте, гость Вход | Регистрация

Наши новости:

14-дек	Добавлена поддержка utf8mb4
24-апр	Telegram группа
10-апр	Обновление PHP
11-апр	Раздача читов

Создание, настройка и продвижение counter-strike 1.6 серверов > > Создание, настройка и продвижение counter-strike 1.6 серверов > Linux > iptables vs udp flood

4 страниц

« 2 3 4

iptables vs udp flood

Shur1k_ua	13.10.2012, 9:57 Сообщение #41
Стаж: 14 лет Город: Ровно Сообщений: 1817 Благодарностей: 919 Полезность: 1233	да есть такое... куча какого то кода со всякими знаками, но что то щас флуд пока не вижу.. ближе к ночи остановлю все порты, а то по 27015 почти всё идёт)) но там спокойно... Тогда и выложу ту срань.... а что дальше делать нада... если выловлю пакет с тем содержимим... ? Map Spawn Compiler v 2.0 Карты на 32 слота Snow Maps CS 1.6
	Поблагодарили 0 раз Поблагодарили 0 раз

berq	13.10.2012, 14:18 Сообщение #42
Стаж: 16 лет Сообщений: 181 Благодарностей: 629 Полезность: 3725	удобнее, наверное, трафик захватывать tcpdump-ом в бинарный файл (с опцией -w) как то-так: tcpdump -s 1500 -w dump.pcap udp port 27020 потом этот dump.pcap скачать себе и открыть WireShark-ом
	Поблагодарили 1 раз Поблагодарили 1 раз Shur1k_ua

Shur1k_ua	13.10.2012, 17:08 Сообщение #43
Стаж: 14 лет Город: Ровно Сообщений: 1817 Благодарностей: 919 Полезность: 1233	Цитата(berq @ 13.10.2012, 15:18) удобнее, наверное, трафик захватывать tcpdump-ом в бинарный файл (с опцией -w) как то-так: tcpdump -s 1500 -w dump.pcap udp port 27020 потом этот dump.pcap скачать себе и открыть WireShark-ом ближе к ночи проверю... по поводу той темы высше, откатил всё назад, порты так и остались в предидущих открытых состояниях. Map Spawn Compiler v 2.0 Карты на 32 слота Snow Maps CS 1.6
	Поблагодарили 0 раз Поблагодарили 0 раз

m0rf	13.10.2012, 17:26 Сообщение #44
Стаж: 15 лет Сообщений: 9 Благодарностей: 2 Полезность: 0	Цитата(Shur1k_ua @ 13.10.2012, 1:01) Как перебанить такие пакеты ? UDP (29 bytes) from 95.57.200.33:16954 to 46.38.62.33:27020 on eth0 x x UDP (64 bytes) from 87.103.129.232:4254 to 46.38.57.227:27020 on eth0 x x UDP (64 bytes) from 87.103.129.232:4254 to 46.38.57.227:27021 on eth0 x x UDP (29 bytes) from 95.57.200.33:16956 to 46.38.62.33:27020 on eth0 x x UDP (29 bytes) from 95.57.200.33:16957 to 46.38.62.33:27020 on eth0 UDP (64 bytes) from 87.103.129.232:4254 to 46.38.57.227:27021 on eth0 x x UDP (64 bytes) from 87.103.129.232:4254 to 46.38.57.227:27020 on eth0 x x UDP (64 bytes) from 87.103.129.232:4254 to 46.38.57.227:27020 on eth0 x x UDP (64 bytes) from 87.103.129.232:4254 to 46.38.57.227:27021 on eth0 x x UDP (64 bytes) from 87.103.129.232:4254 to 46.38.57.227:27020 on eth0 x x UDP (64 bytes) from 87.103.129.232:4254 to 46.38.57.227:27020 on eth0 x x UDP (64 bytes) from 87.103.129.232:4254 to 46.38.57.227:27021 on eth0 x x UDP (29 bytes) from 92.113.6.126:27021 to 46.38.62.33:27020 on eth0 ********* Банить каждый ип не резон, их там пару сотен )) мож есть, что попроще ? )) правило какое то.... закрывать порты не смогу... Или всё таки проблему решать на сетевом уровне сервера а не на вдске )) Или как отснифить пакет и узнать его величину и внести в иптаблес )) хелп ) Можно банить таким образом iptables -A INPUT -p udp --sport 4254 --dport 27015 -j DROP Если протокол юдп и обращение на порт 27015 идет с порта 4252, то такой пакет дропается. когда мой сервер активно досили, бан по соурс портам отсек 90% доса. iptables -A INPUT -p udp --sport 80 --dport 27015 -j DROP iptables -A INPUT -p udp --sport 3070 --dport 27015 -j DROP iptables -A INPUT -p udp --sport 5100 --dport 27015 -j DROP iptables -A INPUT -p udp --sport 3074 --dport 27015 -j DROP iptables -A INPUT -p udp --sport 30033 --dport 27015 -j DROP iptables -A INPUT -p udp --sport 8080 --dport 27015 -j DROP iptables -A INPUT -p udp --sport 3 --dport 27015 -j DROP iptables -A INPUT -p udp --sport 53 --dport 27015 -j DROP iptables -A INPUT -p udp --sport 28065 --dport 27015 -j DROP
	Поблагодарили 1 раз Поблагодарили 1 раз Shur1k_ua

Shur1k_ua	13.10.2012, 21:10 Сообщение #45
Стаж: 14 лет Город: Ровно Сообщений: 1817 Благодарностей: 919 Полезность: 1233	Цитата(m0rf @ 13.10.2012, 18:26) Можно банить таким образом iptables -A INPUT -p udp --sport 4254 --dport 27015 -j DROP Если протокол юдп и обращение на порт 27015 идет с порта 4252, то такой пакет дропается. когда мой сервер активно досили, бан по соурс портам отсек 90% доса. iptables -A INPUT -p udp --sport 80 --dport 27015 -j DROP iptables -A INPUT -p udp --sport 3070 --dport 27015 -j DROP iptables -A INPUT -p udp --sport 5100 --dport 27015 -j DROP iptables -A INPUT -p udp --sport 3074 --dport 27015 -j DROP iptables -A INPUT -p udp --sport 30033 --dport 27015 -j DROP iptables -A INPUT -p udp --sport 8080 --dport 27015 -j DROP iptables -A INPUT -p udp --sport 3 --dport 27015 -j DROP iptables -A INPUT -p udp --sport 53 --dport 27015 -j DROP iptables -A INPUT -p udp --sport 28065 --dport 27015 -j DROP оу... да там не один порт ))) ща посортирую се )) Map Spawn Compiler v 2.0 Карты на 32 слота Snow Maps CS 1.6
	Поблагодарили 0 раз Поблагодарили 0 раз

Shur1k_ua	15.10.2012, 0:39 Сообщение #46
Стаж: 14 лет Город: Ровно Сообщений: 1817 Благодарностей: 919 Полезность: 1233	Цитата(berq @ 13.10.2012, 15:18) удобнее, наверное, трафик захватывать tcpdump-ом в бинарный файл (с опцией -w) как то-так: tcpdump -s 1500 -w dump.pcap udp port 27020 потом этот dump.pcap скачать себе и открыть WireShark-ом А что дальше делать ? там куча ип адресов, и один и тот же ип адрес, отправляет пакеты размером 29 байт с разных портов. Map Spawn Compiler v 2.0 Карты на 32 слота Snow Maps CS 1.6
	Поблагодарили 0 раз Поблагодарили 0 раз

330863	15.10.2012, 5:37 Сообщение #47
Стаж: 16 лет Сообщений: 4358 Благодарностей: 1079 Полезность: 497	Shur1k_ua, тыкай содержание и создай правило против пакетов с таким содержанием
	Поблагодарили 0 раз Поблагодарили 0 раз

vladsol	15.10.2012, 8:29 Сообщение #48
Стаж: 17 лет Сообщений: 588 Благодарностей: 87 Полезность: 161	330863, Там не всё содержимое пакета будет одинаково... Shur1k_ua, Кинули б дампик сюда... Отредактировал: vladsol, - 15.10.2012, 8:30
	Поблагодарили 0 раз Поблагодарили 0 раз

3aB}{o3	15.10.2012, 9:45 Сообщение #49
Стаж: 18 лет Сообщений: 2145 Благодарностей: 825 Полезность: 521	Смотри это все в сноске Data (число butes)
	Поблагодарили 0 раз Поблагодарили 0 раз

Shur1k_ua	15.10.2012, 13:56 Сообщение #50
Стаж: 14 лет Город: Ровно Сообщений: 1817 Благодарностей: 919 Полезность: 1233	мда уж..... как я уже писал, оказывается атаке подвергаются 2 порта, 27010 и 27011 (мс) лупят каким то ботнетом. dump.zip ( 778,6 килобайт ) Кол-во скачиваний: 8 Я так понял мне нада смотреть на это значение: Map Spawn Compiler v 2.0 Карты на 32 слота Snow Maps CS 1.6
	Поблагодарили 0 раз Поблагодарили 0 раз

vladsol	15.10.2012, 18:36 Сообщение #51
Стаж: 17 лет Сообщений: 588 Благодарностей: 87 Полезность: 161	Если значение будет меняться, то хрен отфильтруешь %) Ну а ежели еще и сильно канал забит (что тоже вероятно, т.к., пакетик не несет никакой смысловой нагрузки), то это всё до одного места :) Отредактировал: vladsol, - 15.10.2012, 19:17
	Поблагодарили 0 раз Поблагодарили 0 раз

330863	15.10.2012, 19:50 Сообщение #52
Стаж: 16 лет Сообщений: 4358 Благодарностей: 1079 Полезность: 497	Shur1k_ua, держишь мастер, молодец, мучейся:D
	Поблагодарили 1 раз Поблагодарили 1 раз Shur1k_ua

Shur1k_ua	16.10.2012, 6:57 Сообщение #53
Стаж: 14 лет Город: Ровно Сообщений: 1817 Благодарностей: 919 Полезность: 1233	Цитата(330863 @ 15.10.2012, 19:50) Shur1k_ua, держишь мастер, молодец, мучейся:D =) та всё ))) отфильтровали пакеты Map Spawn Compiler v 2.0 Карты на 32 слота Snow Maps CS 1.6
	Поблагодарили 0 раз Поблагодарили 0 раз

Shur1k_ua	16.10.2012, 12:21 Сообщение #54
Стаж: 14 лет Город: Ровно Сообщений: 1817 Благодарностей: 919 Полезность: 1233	а самое интересное то, что пропали надписи дпрото об атаке на сервер =) я про европейский флуд )) Map Spawn Compiler v 2.0 Карты на 32 слота Snow Maps CS 1.6
	Поблагодарили 0 раз Поблагодарили 0 раз

330863	16.10.2012, 16:32 Сообщение #55
Стаж: 16 лет Сообщений: 4358 Благодарностей: 1079 Полезность: 497	Shur1k_ua, глупость №2 блочить мелкие пакеты
	Поблагодарили 0 раз Поблагодарили 0 раз

нуб2	21.10.2012, 20:34 Сообщение #56
Стаж: 14 лет Сообщений: 2367 Благодарностей: 1209 Полезность: 1014	330863, да ладно, может там 10гбитные интоловые сетевухи и камни 2690) Никто не боится прерываний)
	Поблагодарили 0 раз Поблагодарили 0 раз

vladsol	21.10.2012, 20:42 Сообщение #57
Стаж: 17 лет Сообщений: 588 Благодарностей: 87 Полезность: 161	нуб2, Полагаю, он о том, что это могут быть полезные данные :) Оффтоп Насчет прерываний - по приходу ethernet-кадра, И(ИЛИ) по заполнению буфера приема они все равно будут возникать, независимо от файрвола :) Отредактировал: vladsol, - 21.10.2012, 20:44
	Поблагодарили 0 раз Поблагодарили 0 раз

нуб2	21.10.2012, 23:01 Сообщение #58
Стаж: 14 лет Сообщений: 2367 Благодарностей: 1209 Полезность: 1014	vladsol, Ну я имею ввиду айпитеблс и прерывания связанные с ним. Как показала практика нат сервер с 10к юзерами от ойпитейблз завешивает железяку....секунд за 5) причем железо очень серьезное :) А те прерывания, о которых ты - ну просто смешные - там сетевуха без проца справится.
	Поблагодарили 0 раз Поблагодарили 0 раз

vladsol	21.10.2012, 23:06 Сообщение #59
Стаж: 17 лет Сообщений: 588 Благодарностей: 87 Полезность: 161	нуб2, Ну, с такой нагрузкой можно и нормальный роутер купить... ;) Отредактировал: vladsol, - 21.10.2012, 23:09
	Поблагодарили 0 раз Поблагодарили 0 раз

c0rax	22.10.2012, 8:00 Сообщение #60
Стаж: 18 лет Сообщений: 1077 Благодарностей: 530 Полезность: 884	Цитата(vladsol @ 22.10.2012, 0:06) нуб2, роутер купить Жжешь... Лучше уже тогда нормальный управляемый свич/шлюзик, с плюшками типа NAT, ARP Proxy, TrafCtrl e.t.c. Ну и дальше рулить уже ним. Но никак не роутер, по определению Отредактировал: c0rax, - 22.10.2012, 8:01
	Поблагодарили 0 раз Поблагодарили 0 раз

« Предыдущая тема · Linux · Следующая тема »

4 страниц

« 2 3 4

Тема закрыта

Начать новую тему

0 пользователей и 2 гостей читают эту тему:

Режим отображения: Стандартный · Переключить на: Линейный · Переключить на: Древовидный

Сообщить другу · Версия для печати

Powered By Invision Power Board © 2005-2026
Counter Strike Support Community