Защита Counter Strike Сервера

https://github.com/dreamstalker/rehlds/pull/595
https://github.com/dreamstalker/rehlds/pull/596

[ 1] dproto_EF RUN - dproto_i386.so v0.9.391 ini Start Never
[ 3] VoiceTranscoder RUN - vtc.so v2017RC3 ini ANY ANY
[ 4] Cust. Flood Fix RUN - cf_fix_mm_i386.s v1.1 ini Start Never
[ 5] FullupdatePatch RUN - fullupd_patch_mm v1.2 ini Start Never
[ 6] LocalizeBug Fix RUN - localizebugfix_m v2.4 ini Start Never
[ 7] FakeDetector RUN - fakedetector_mm_ v2.1.3 ini Start Never

подключеается fake player и сервер падает

прикрепил tcpdump,возможно как то это ли забанить через iptables?

как я понял это plcore exploit.

(не хочу dproto обновлять до последней версии,все кто подключается на сервер с большом пингом получают ошибку "fake players spamming of protocol violations")

jonaslt, если я про то, то решение: iptables -I INPUT -p udp -m u32 --u32 "26&0xFFFF=0xfeff" -j DROP
Да и вообще все это лечится ReHLDS, но кто знает зачем пишут эти сплоиты и кому еще нужна эта мертвая игра, автор, что выложил этот модуль нулевой в скриптинге, но что-то вроде знает про ддосы—стрессера.

это правило у меня уже стоит)

jonaslt, жди когда на DS ответят или Фаеру напиши.

По hex-string блокируй ffffffff6765746368616c6c656e676520737465616d0a

Myp3uK,

Плохая идея, это закроет возможность подключаться и нормальным игрокам.

jonaslt,
Расшифровка нескольких пакетов.





Все подключающиеся клиенты отправляют подобные пакеты три раза подряд после подключения. Обычный clc_stringcmd пакет, не более. Как временное решение - можно выцепить из пакетов небольшой повторяющийся фрагмент и добавить его в iptables.

hehsander, спасибо

правда ли я понял?

iptables -A INPUT -m string --string 'caatttt; testwait; -150003123; wait; +5000033' --algo kmp -j DROP

?

jonaslt,
Нет, не совсем так. Я приложил расшифрованные пакеты, а фильтровать нужно шифрованные, то есть оригинальные. Вообще, если так посмотреть, то бот каждый раз отправляет три одинаковых пакета. Как временное решение вполне можно скопировать их и добавить в фильтр, плохо от этого никому не будет. Помню, что так ещё hlds fake 1.0 блокировали, и это помогало.

hehsander,
Мне пишешь плохая идея, человеку советуешь это сделать.
Клоун HaX.

Пакет, который ты хочешь фильтровать, является базовым out-of-band пакетом, с помощью которого клиенты 48 протокола получают у сервера уникальный номер, который нужен для подключения к игровому серверу. Он везде одинаковый, от билда к билду клиента не меняется. Если его фильтровать, то ни один клиент не сможет получить этот номер и, следовательно, не сможет подключиться к серверу. Пакеты, которые предлагаю фильтровать я, являются специфичными для бота и обычным клиентом никогда не отправляются. Теперь уйди отсюда, пожалуйста, и не советуй людям чепуху. :)

Фикс для 'нового' сплоита (на самом деле ему уже больше пары лет).

Сплоит: SV_CheckForDuplicateNames
Последствия: Сервер падает. Флуд в консоль сообщениями "\"Can't use keys or values with a "\"

Тестилось на HLDS: 5xxx, 6xxx, 7xxx
Для тех кто использует ReHLDS - нужно обновить билд, а не ставить модуль. (Поддержка намерено вырезана)

Источник - https://neugomon.ru/threads/2801/

Templar, до какой версии билда рехлдс?

csparena, безпонятия,я пока еще не обновлялся уже давно.

Значит ReAuthCheck защищает от него

В этом коммите пофикшено: клик

csparena, reauthcheck не защищает от данного сплоита и не связан никак с ним.

d3m37r4,
Info valid fix
А его как ставить?

Буду у компа
Гляну

csparena, что как ставить? То, на что дал линк Templar, ?

d3m37r4, да