Защита от Dos/DDos атак для Windows |
Наши новости:
|
Создание, настройка и продвижение counter-strike 1.6 серверов > > Создание, настройка и продвижение counter-strike 1.6 серверов > Защита Игрового сервера > Защита от Dos/DDos атак для Windows
Важная информация
Перед тем как создать тему или задать вопрос, ознакомьтесь с данной темой, там собраны наиболее распространенные уязвимости и способы устранения.
Так же не поленитесь воспользоваться поиском, вполне возможно, что ваш вопрос уже поднимался на форуме.
При создании новой темы уделите внимание ее названию, оно должно кратко описывать суть вашего вопроса/проблемы. Все вновь созданные темы с названиями "Помогите", "Объясните", "Подскажите" и т.д. будут удалены, а их авторы наказаны.
Так же не поленитесь воспользоваться поиском, вполне возможно, что ваш вопрос уже поднимался на форуме.
При создании новой темы уделите внимание ее названию, оно должно кратко описывать суть вашего вопроса/проблемы. Все вновь созданные темы с названиями "Помогите", "Объясните", "Подскажите" и т.д. будут удалены, а их авторы наказаны.
|
|
JIokoMoTuB
|
25.5.2011, 16:09
Сообщение
|
 
|
Как то друг попросил собрать для него сервер LineAge. В поисках достойных мануалов, я забрел на один сайт и нашел там очень интересную вещь. Статья полностью скопирована оттуда.
Те, кто знаю Linux, понимают, на сколько удобно использовать iptables для создания правил, который будут отражать все атакующие зомби-машины, с помощью этих защит можно огородить не только свой Lineage 2 Java сервер, но и другие серверы. Но к счастью, или к сожалению ( для хакеров ), на Windows'e тоже есть подобная софтина, и называется она - wipfw. Разархивируем данный софт в любую папку, и устанавливаем ( запускаем install.bat ). Отлично, вот и все, софт установлен - стандартные правила записаны. Для изменений правил, Вы можете использовать cmd.exe и команды ipfw, посмотреть их можно здесь Тынц Но согласитесь, не очень удобно записывать правила в команду, если их очень много, поэтому мы будем использовать файл "wipfw.conf", который находится в корне программы - в него записываются стандартные правила, а для того, чтоб они загрузились, нужно запустить "loadrules.cmd", который находится в папке bin. С этого момента, если Вы прочитаете DOC по командам ipfw, Вы уже можете написать хорошую защиту. Но я хочю Вам, как пример, предоставить структуру своего файла "wipfw.conf", что возможно упростит Вашу настройку защиты. Для начала, выложу полностью весь файл, а далее мы будем разбирать каждую строку. И так, "wipfw.conf" выглядит так: Код -f flush add 1 allow tcp from any to any 53 add 2 allow tcp from any 53 to any add 3 allow udp from any to any 53 add 4 allow udp from any 53 to any add 10 allow tcp from 195.16.88.3 to me add 100 allow tcp from me to any add 120 allow tcp from 192.0.0.0/8 to any add 120 skipto 10000 tcp from 2.0.0.0/8 to any add 120 skipto 10000 tcp from 66.0.0.0/8 to any add 120 skipto 10000 tcp from 46.0.0.0/8 to any add 120 skipto 10000 tcp from 62.0.0.0/8 to any add 120 skipto 10000 tcp from 77.0.0.0/8 to any add 120 skipto 10000 tcp from 78.0.0.0/8 to any add 120 skipto 10000 tcp from 79.0.0.0/8 to any add 120 skipto 10000 tcp from 80.0.0.0/8 to any add 120 skipto 10000 tcp from 81.0.0.0/8 to any add 120 skipto 10000 tcp from 82.0.0.0/8 to any add 120 skipto 10000 tcp from 83.0.0.0/8 to any add 120 skipto 10000 tcp from 84.0.0.0/8 to any add 120 skipto 10000 tcp from 85.0.0.0/8 to any add 120 skipto 10000 tcp from 86.0.0.0/8 to any add 120 skipto 10000 tcp from 87.0.0.0/8 to any add 120 skipto 10000 tcp from 88.0.0.0/8 to any add 120 skipto 10000 tcp from 89.0.0.0/8 to any add 120 skipto 10000 tcp from 90.0.0.0/8 to any add 120 skipto 10000 tcp from 91.0.0.0/8 to any add 120 skipto 10000 tcp from 92.0.0.0/8 to any add 120 skipto 10000 tcp from 93.0.0.0/8 to any add 120 skipto 10000 tcp from 94.0.0.0/8 to any add 120 skipto 10000 tcp from 95.0.0.0/8 to any add 120 skipto 10000 tcp from 109.0.0.0/8 to any add 120 skipto 10000 tcp from 178.0.0.0/8 to any add 120 skipto 10000 tcp from 188.0.0.0/8 to any add 120 skipto 10000 tcp from 193.0.0.0/8 to any add 120 skipto 10000 tcp from 194.0.0.0/8 to any add 120 skipto 10000 tcp from 195.0.0.0/8 to any add 120 skipto 10000 tcp from 212.0.0.0/8 to any add 120 skipto 10000 tcp from 213.0.0.0/8 to any add 120 skipto 10000 tcp from 217.0.0.0/8 to any add 120 skipto 10000 tcp from 204.16.252.109 to any add 120 skipto 10000 tcp from 38.99.77.20 to any add 120 skipto 10000 tcp from 74.125.95.93 to any add 120 skipto 10000 tcp from 74.125.127.93 to any add 120 skipto 10000 tcp from 74.125.43.99/16 to any add 120 skipto 10000 tcp from 209.85.135.95/16 to any add 120 skipto 10000 tcp from 64.12.202.116/16 to any # depositfiles add 120 skipto 10000 tcp from 208.88.224.248/24 to any # DynDNS add 120 skipto 10000 tcp from 204.13.248.117/16 to any add 200 skipto 10000 icmp from any to any in icmptype 5,9,13,14,15,16,17 add 500 deny all from any to any add 10000 allow tcp from any to any 80,443,49441,5938,4344,9019,5190 add 10001 allow tcp from any 80,443,49441,5938,4344,9019,5190 to any add 10002 allow tcp from any to me 7777 setup limit src-addr 15 in add 10003 allow tcp from any to me 2106 setup limit src-addr 5 in add 10005 allow tcp from any to any 7777 out add 10006 allow tcp from any to any 2106 out add 10500 deny all from any to any И так, начали. Код -f flush - Удаляем все записи, которые были у меня до этого момента. Код add 1 allow udp from any to any 27015 add 1 allow udp from any 27015 to any - Открываю порты для получения и отправки данных к серверам DNS Код add 10 allow udp from 94.229.237.21 to me - Открываю данному ip ( ip моего хостинга ) все порты и разрешаю передавать мне любую информацию Код add 100 allow udp from me to any - Разрешаю себе передавать информацию любому серверу на всех портах Код add 120 allow udp from 94.0.0.0/8 to any - Разрешаю своим локальным компьютерам передавать информацию любому серверу на всех портах Код add 120 skipto 10000 upd from 2.0.0.0/8 to any add 120 skipto 10000 udp from 66.0.0.0/8 to any add 120 skipto 10000 udp from 46.0.0.0/8 to any add 120 skipto 10000 udp from 62.0.0.0/8 to any add 120 skipto 10000 udp from 77.0.0.0/8 to any add 120 skipto 10000 udp from 78.0.0.0/8 to any add 120 skipto 10000 udp from 79.0.0.0/8 to any add 120 skipto 10000 udp from 80.0.0.0/8 to any add 120 skipto 10000 udp from 81.0.0.0/8 to any add 120 skipto 10000 udp from 82.0.0.0/8 to any add 120 skipto 10000 udp from 83.0.0.0/8 to any add 120 skipto 10000 udp from 84.0.0.0/8 to any add 120 skipto 10000 udp from 85.0.0.0/8 to any add 120 skipto 10000 udp from 86.0.0.0/8 to any add 120 skipto 10000 udp from 87.0.0.0/8 to any add 120 skipto 10000 udp from 88.0.0.0/8 to any add 120 skipto 10000 udp from 89.0.0.0/8 to any add 120 skipto 10000 udp from 90.0.0.0/8 to any add 120 skipto 10000 udp from 91.0.0.0/8 to any add 120 skipto 10000 udp from 92.0.0.0/8 to any add 120 skipto 10000 udp from 93.0.0.0/8 to any add 120 skipto 10000 udp from 94.0.0.0/8 to any add 120 skipto 10000 udp from 95.0.0.0/8 to any add 120 skipto 10000 udp from 109.0.0.0/8 to any add 120 skipto 10000 udp from 178.0.0.0/8 to any add 120 skipto 10000 udp from 188.0.0.0/8 to any add 120 skipto 10000 udp from 193.0.0.0/8 to any add 120 skipto 10000 udp from 194.0.0.0/8 to any add 120 skipto 10000 udp from 195.0.0.0/8 to any add 120 skipto 10000 udp from 212.0.0.0/8 to any add 120 skipto 10000 udp from 213.0.0.0/8 to any add 120 skipto 10000 udp from 217.0.0.0/8 to any - Все СНГ пользователи ( т.е - здесь IP всей СНГ ) перебрасываются на правило №10000 Код add 120 skipto 10000 udp from 204.16.252.109 to any add 120 skipto 10000 udp from 38.99.77.20 to any add 120 skipto 10000 udp from 74.125.95.93 to any add 120 skipto 10000 udp from 74.125.127.93 to any add 120 skipto 10000 udp from 74.125.43.99/16 to any add 120 skipto 10000 udp from 209.85.135.95/16 to any add 120 skipto 10000 udp from 64.12.202.116/16 to any add 120 skipto 10000 udp from 208.88.224.248/24 to any add 120 skipto 10000 udp from 204.13.248.117/16 to any - Дополнительные серверы, которые подключаясь ко мне будут перебрасываться на правило №10000 - За зоной СНГ ( Здесь google, depositfiles, imageshacke, youtube ) Код add 200 skipto 10000 icmp from any to any in icmptype 5,9,13,14,15,16,17 - Закрываем порты от сканирование ( делаем невидимыми ) Код add 500 deny all from any to any - Отклоняем все пакеты, что дошли к данному правилу. ( Запретить все что сюда дошло ) Код add 10000 allow udp from any to any 80,443,49441,5938,4344,9019,5190,27015 add 10001 allow udp from any 80,443,49441,5938,4344,9019,5190,27015 to any - Открываем нужные мне порты для использования, здесь http, skype, icq Код add 10002 allow tcp from any to me 7777 setup limit src-addr 15 in add 10003 allow tcp from any to me 2106 setup limit src-addr 5 in - Открываю порт 27015 или другой для подсоединения ко мне, с максимальным числом подсоединение с одного IP 5 Код add 10004 allow tcp from any to any 27015 out Вот и все, также хочу сказать, что все правила выполняются в последовательности их номеров, это очень важно! Если Вы сначала поставите правило, которые будет запрещать это, а после добавите правило для разрешения подключений, оно будет нерабочим. - Разрешают доступ к себе только странам СНГ и нужным нам серверам ( А зачем нам Великобритания или Африка? Не думаю что потенциальный игроки там будут, но вот бот-машины там точно есть ). - Закрываем все порты, исключая нужные нам и игровые порты. - Устанавливаем ограничение на подключение к игровым портам с 1 IP. Функция deny - сбрасывает пакет. Функция skipto [number] - перебрасывает пакет на указанное правило, если его нет, идет дальше по списку ( выше по номеру ). Функция allow - пропуска пакет. Для добавления правил через cmd, в начало нужно добавлять ipfw. Для очистки всех правил, наберите в cmd - ipfw -f flush Для просмотра всех правил, наберите в cmd - ipfw list Команда в cmd для блокировки конкретного ip: ipfw add 10 deny tcp from 10.10.10.10 to any (ip 10.10.10.10 будет заблокирован) Команда в cmd для блокировки под-сети пользователя: ipfw add 10 deny tcp from 10.10.10.10/24 to any (ip 10.10.10.0 - 10.10.10.255 будут заблокированы) ipfw add 10 deny tcp from 10.10.10.10/16 to any (ip 10.10.0.0 - 10.10.255.255 будут заблокированы) Соблюдаем права. Статья взята отсюда http://kos-master.ru/other/instructions/25...a-windowsa.html и чуть чуть подправлена дял сервера cs. Данные для знающих людей. Попрошу также знающих людей допилить статью =) Я думаю эти данные кому нибудь прогодятся. Для Windows x86 
wipfw.rar ( 58,8 килобайт )
Кол-во скачиваний: 84Для Windows x64
wipfw_x64.rar ( 64,03 килобайт )
Кол-во скачиваний: 194 Empower isn't phoenix
|
   |
 Поблагодарили 10 раз
|
Поблагодарили 
|
coolman
|
26.5.2011, 5:45
Сообщение
|
|
я хоть не юзал wipfw, но ни какой защиты я не вижу, простые правила и все. Открыли закрыли порты это разве защита?
|
|
|
|
cs-portal
|
26.5.2011, 10:45
Сообщение
|
|
|
от ipfw есть BSODы?
в netlimiterесть ограничения по пакетам но идут постоянные BSODы.... |
|
|
|
|
comshat
|
26.5.2011, 20:42
Сообщение
|
|
Довольно кривая и древняя штука. Версия 0.32бета последняя, если не ошибаюсь. Оф:
http://wipfw.sourceforge.net/ Были и тут темы на форуме: https://c-s.net.ua/forum/topic25970.html?vi...st&p=186585 |
|
|
|
|
cs-portal
|
5.6.2011, 4:44
Сообщение
|
|
|
и какой фаервол у тебя счас стоит?
|
|
|
|
Меценат|
cs-portal
|
23.6.2011, 1:58
Сообщение
|
|
|
да
 давай поддошу глянем нагрузку на проц
Отредактировал: cs-portal, - 23.6.2011, 1:59
|
|
|
|
|
cs-portal
|
23.6.2011, 19:54
Сообщение
|
|
|
сервер точно не чихнет так как максимум нагрузка будет +10 на проц.
а где расположен твой сервер |
|
|
|
|
cs-portal
|
30.6.2011, 10:55
Сообщение
|
|
|
да на бан начхать так как канал все равно будет забит....
|
|
|
|
|
Michee
|
31.5.2014, 8:20
Сообщение
|
|
|
JIokoMoTuB,
тут? скайп зайди. я по делу Legenda, здравствуй! есть скайп?! если есть дай. я по делу поговорю |
|
|
|
  |
0 пользователей и 1 гостей читают эту тему:
Powered By Invision Power Board
© 2005-2026
Counter Strike Support Community
Counter Strike Support Community