Защита Counter Strike Сервера

У меня всё ОК, интересно как это обрабатывают клиенты, которые раздают на раскрутках, если у них виснет, то пускай фиксят, хоть что-то полезное сделают.

В тот раз было A2S_RULES, там вроде Challenge не проверялся, сейчас всё норм с ним.

Зашита от Hlds Amplification Attack
(описание: когда атакующий шлет серверу запрос на получение статуса от сервера, он подменяет IP в IPv4 (ip spoofing) и твой сервер отсылает весь статус на указаный подменный IP жертвы, тоесть твой сервер Досит жертву)

Решение ограничить количество запросов на 5 в 1 минуту. После банить на 1 мин.



Что происходит если не защитится от данной угрозы:

1. Вы досите невинный сервер.
2. У вашего сервера забивается канал.
3. У ваших игроков появляются лаги.
4. Ваш сервер забивает все socket file descriptors и новые клиенты не смогут с вами соеденится, включая вас по ssh.

сделал кварами
conless_rate 5 - число пакетов до бана в промежуток conless_time. Пакеты не считаю динамически, а время обновляется.
conless_time 2 - перерыв между пакетами для сброса счетчика (стоит 1)
conless_bantime 120 - сколько не отвечать на плохой айпи (сек)
conless_debug 1 - дебаг логи

Пока так вот, можно будет потом чуть похитрее логику прилепить будет работать только с A2S_RULES и A2S_INFO + имеет белый список для легитимных клиентов (строит сама)
Может есть идеи как считать иначе?
HLSW улетает в бан довольно лихо :)
Orpheu + okapi
waza123, HLSW шлет больше пакетов гораздо

mazdan, A2S_RULES зачем?

[WPMG]PRoSToTeM@, раньше было, может кто не обновился, будет в плюс же

Почему без исходника?

Их проблемы ИМХО.

покажи .sma

через amxx plugin можно трафик контролировать? незнал, думал это посилам только metamod модулям

waza123, я не навязываю - не хотите не ставьте.
Могу показать администрации, они заапрувят.
тем более ни к чему sma
[WPMG]PRoSToTeM@, с чего это будут их проблемы, это проблемы тех кого DDoS-ят в основном, кроме того мой клиент не шлет вроде запрос правил. Мониторинги небось только шлют

А если так сделать, защитится получится?

-А INPUT -p udp -m udp -m string --hex-string "|FFFFFFFF54|" --algo kmp -j DROP

слишком круто.

Ну, а с чего им тогда ставить твой плагин, если им даже на флуд рулесами пофиг?

PREDATOREX, не пойдет, мне кажется, клиент то тоже шлет при обновлении в избранном. Хотя моему стиму не мешает это никак, может, конечно, я криво плагин написал или это дпрото отвечает вместо сервера :D

[WPMG]PRoSToTeM@, а чем это может помешать что там есть на них проверка?

A2S_INFO Hybrid Answer Amplification Attack


Просто это лишнее.


Дпрото и отвечает заместо сервера.

[WPMG]PRoSToTeM@, ну он все равно инициируется же сервером, а не пакетом, я надеюсь
Тоска, dproto да, в стиме без dproto перестало показывать, а вот пиратка все равно показывает. рановато я логи убрал
Ну можно через addip тогда банить, например, я хотел приличнее сделать просто :)
у меня стим вообще без dproto никого не показывает =\ даже без плагина.

Всё. разобрался. Нормально работает, проверил с сайта просто - в бан листе банан после бана, что есть дпрото, что нет - не важно.

UPD; нет, не разобрался - через раз как-то. Ушел играться дальше

Зашита от Hlds Amplification Attack методами iptables (linux)

А почему не так?

iptables -A INPUT -p udp -m multiport --ports 27015:27099 -m string --algo kmp --hex-string "|FF FF FF FF 54|" -m recent --name hlds --update --seconds 60 --hitcount 5 -j REJECT
iptables -A INPUT -p udp -m multiport --ports 27015:27099 -m string --algo kmp --hex-string "|FF FF FF FF 54|" -m recent --name hlds --set -j ACCEPT

Кулдаун имеет несколько иной смысл, но со спуфингом не связан.