Важная информация

Перед тем как создать тему или задать вопрос, ознакомьтесь с данной темой, там собраны наиболее распространенные уязвимости и способы устранения.
Так же не поленитесь воспользоваться поиском, вполне возможно, что ваш вопрос уже поднимался на форуме.
При создании новой темы уделите внимание ее названию, оно должно кратко описывать суть вашего вопроса/проблемы. Все вновь созданные темы с названиями "Помогите", "Объясните", "Подскажите" и т.д. будут удалены, а их авторы наказаны.

A new HLDS exploit which allows sending packets!

Опции

lickshot	29.7.2012, 18:31 Сообщение #1
Стаж: 13 лет Сообщений: 3 Благодарностей: 8 Полезность: 0	Здравствуйте! :D I can't speak Russian, so I will type in English. I am writing to inform you about a new very dangerous exploit in the HLDS engine. Briefly, the exploit allows the attacker to send packets over every hlds server to a predefined destination. This way all HLDS servers make an unstoppable "botnet" which can attack the destination which is chosen. The attack originally started a month and a half ago in Bulgaria, and since then many big server chains are attacked and still no solution is found. The attack is so strong that even Internet Service Providers say that it harms the connection of their users near the hlds server location. Explaination of the attack: We know that the attack is made through the UDP protocol from hundreds of IPs that are real counter strike 1.6 servers (hlds). It comes from the server port, and almost always hits port 27005. The most common length of the packets is 1400, but there are also less packets with different length. However, there is no point in dropping the packets with this length because the whole international and inbound channels are filled and the server still cannot be reached. Also the HEX of the packets contains a part of the server configuration. I've noticed a packet which HEX prints "You have been banned from this server!". This makes me think that some bot connects to a chosen server and makes the server send a UDP packet to the predefined destination. We've managed to log full information of the attack. I have 15 gigabytes of logs with this attack which are made for only 10 minutes. I will attach a short part of my logs, and some other logs from other server administrators who have experienced the same attack. One of the server administrators says: "I am writing to say that I have received the same attack against my machines and since I work as a system administrator in coorporate hosting company, my machines are colocated in the company's server room, with this I want to say that my resources are a lot bigger than my mate @talibana's and I managed to localize the attack or at least I think so. The flood was directed to UDP port 27005, after a while the enourmous flood managed to fill my international channel and I had to work jointly with our ISP, after I asked them to block port 27005 only 4 ip addresses started to show on my machine, 3 of which were Russian and 1 Greek, which didn't make a lot of traffic or big number of packets, just to say they were "listening" to the final point - my IP address. After I have blocked these IPs from the routing machine (Gateway) the flood totally dissapeared." And also: "We talk about a vurnarability in the Engine, which allows the generation of packets from unauthorized people, which are being sent where the 'bad guy' wants." The above "story" was sent to Valve, with a view of finding a solution to the problem. Since the attack reached its peak we can't just wait, watching our servers getting ruined. I post this topic so that more experienced people can say what they think and to figure out what kind of attack it is together so that a fix could be implemented. You can dowload logs and other things at the end of the post. I will update this post with the most recent information about the attack. A small discovery: A system administrator noticed that HLSW is receiving exactly the same packets, as the flooder sends from other HL1 servers to the "victim". This packet cotains information about the server vars and mod information. We think that this is the same packet which can be send to every server to request the info. (A2S_INFO) The question that appears is how the attacker manages to request this information from the infected servers and forward it to a specified ip adress? What we tried ? We tried to stop the international traffic which "solved" the problem with 1400 length packets, but another flood appeared which attacks the server ports (27015/6/7..): Скрытый текст 23:15:21.580748 IP 131.18.165.162.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.580757 IP 140.28.179.105.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.580764 IP 86.144.116.87.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.580771 IP 51.6.34.19.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.580779 IP 39.142.142.176.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.580788 IP 108.113.115.94.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.580795 IP 4.165.22.63.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.580803 IP 52.27.51.13.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.580822 IP 89.190.213.199.27016 > 42.169.68.79.27005: UDP, length 6 23:15:21.580838 IP 89.190.213.199.27016 > 23.128.124.169.27005: UDP, length 6 23:15:21.580852 IP 89.190.213.199.27016 > 189.15.58.78.27005: UDP, length 6 23:15:21.580881 IP 89.190.213.199.27016 > 100.111.36.164.27005: UDP, length 6 23:15:21.580914 IP 89.190.213.199.27016 > 57.0.119.13.27005: UDP, length 6 23:15:21.580943 IP 89.190.213.199.27016 > 128.177.132.19.27005: UDP, length 6 23:15:21.580964 IP 89.190.213.199.27016 > 43.97.66.77.27005: UDP, length 6 23:15:21.580980 IP 89.190.213.199.27016 > 107.103.73.193.27005: UDP, length 6 23:15:21.580996 IP 89.190.213.199.27016 > 70.43.17.61.27005: UDP, length 6 23:15:21.581017 IP 199.58.45.162.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.581026 IP 161.74.84.163.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.581034 IP 165.139.189.16.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.581043 IP 38.121.182.15.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.585199 IP 89.190.213.199.27016 > 61.51.120.78.27005: UDP, length 6 23:15:21.585221 IP 89.190.213.199.27016 > 110.70.51.117.27005: UDP, length 6 23:15:21.585237 IP 89.190.213.199.27016 > 60.83.114.88.27005: UDP, length 6 23:15:21.585249 IP 89.190.213.199.27016 > 190.199.37.153.27005: UDP, length 6 23:15:21.585260 IP 89.190.213.199.27016 > 148.176.163.12.27005: UDP, length 6 23:15:21.585273 IP 89.190.213.199.27016 > 131.70.159.133.27005: UDP, length 6 23:15:21.585285 IP 89.190.213.199.27016 > 175.26.70.136.27005: UDP, length 6 23:15:21.585297 IP 89.190.213.199.27016 > 30.76.145.89.27005: UDP, length 6 23:15:21.585313 IP 89.190.213.199.27016 > 34.174.134.192.27005: UDP, length 6 23:15:21.585325 IP 89.190.213.199.27016 > 52.195.29.13.27005: UDP, length 6 23:15:21.585337 IP 89.190.213.199.27016 > 11.93.183.109.27005: UDP, length 6 23:15:21.585351 IP 89.190.213.199.27016 > 109.184.100.81.27005: UDP, length 6 23:15:21.585363 IP 89.190.213.199.27016 > 157.113.119.72.27005: UDP, length 6 23:15:21.585374 IP 89.190.213.199.27016 > 198.17.136.122.27005: UDP, length 6 23:15:21.585386 IP 89.190.213.199.27016 > 80.90.122.25.27005: UDP, length 6 23:15:21.585393 IP 176.84.161.21.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.585402 IP 165.20.190.63.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.585411 IP 109.46.19.2.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.585418 IP 147.146.194.141.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.585428 IP 20.172.24.75.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.585436 IP 116.79.1.61.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.585445 IP 2.191.194.130.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.585454 IP 17.150.87.110.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.585498 IP 89.190.213.199.27016 > 36.28.0.160.27005: UDP, length 6 23:15:21.585528 IP 141.78.189.160.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.585538 IP 6.30.30.81.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.585551 IP 99.59.7.169.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.585560 IP 126.177.72.61.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.585568 IP 136.124.80.121.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.585577 IP 82.174.180.172.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.585585 IP 39.133.147.48.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.585593 IP 140.30.67.39.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.585609 IP 89.190.213.199.27016 > 134.119.173.88.27005: UDP, length 6 23:15:21.585628 IP 89.190.213.199.27016 > 186.182.182.169.27005: UDP, length 6 23:15:21.585645 IP 89.190.213.199.27016 > 110.127.13.108.27005: UDP, length 6 23:15:21.585663 IP 89.190.213.199.27016 > 63.13.190.58.27005: UDP, length 6 23:15:21.585681 IP 89.190.213.199.27016 > 60.23.188.145.27005: UDP, length 6 23:15:21.585699 IP 89.190.213.199.27016 > 53.44.166.85.27005: UDP, length 6 23:15:21.585717 IP 89.190.213.199.27016 > 13.161.156.48.27005: UDP, length 6 23:15:21.585733 IP 89.190.213.199.27016 > 185.108.94.44.27005: UDP, length 6 23:15:21.585749 IP 89.190.213.199.27016 > 140.45.65.167.27005: UDP, length 6 23:15:21.585759 IP 18.84.98.114.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.585769 IP 116.67.111.25.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.585779 IP 138.171.28.107.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.585788 IP 115.141.126.79.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.585796 IP 155.63.109.136.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.585807 IP 12.59.146.163.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.585817 IP 168.8.188.67.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.585855 IP 89.190.213.199.27016 > 100.101.94.25.27005: UDP, length 6 23:15:21.585873 IP 89.190.213.199.27016 > 170.102.163.113.27005: UDP, length 6 23:15:21.585892 IP 89.190.213.199.27016 > 21.188.91.158.27005: UDP, length 6 23:15:21.585910 IP 89.190.213.199.27016 > 199.97.49.36.27005: UDP, length 6 23:15:21.585923 IP 89.190.213.199.27016 > 41.41.82.140.27005: UDP, length 6 23:15:21.585937 IP 89.190.213.199.27016 > 176.24.126.155.27005: UDP, length 6 23:15:21.585950 IP 89.190.213.199.27016 > 11.71.194.157.27005: UDP, length 6 23:15:21.585964 IP 89.190.213.199.27016 > 72.197.87.2.27005: UDP, length 6 23:15:21.585977 IP 89.190.213.199.27016 > 49.39.157.153.27005: UDP, length 6 23:15:21.585996 IP 125.85.153.129.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.586007 IP 150.166.25.115.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.586017 IP 123.33.4.88.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.586027 IP 84.189.197.5.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.586036 IP 148.92.169.113.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.586046 IP 105.168.38.2.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.586055 IP 147.128.54.187.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.586069 IP 89.190.213.199.27016 > 113.101.184.163.27005: UDP, length 6 23:15:21.586086 IP 89.190.213.199.27016 > 69.162.159.102.27005: UDP, length 6 23:15:21.586100 IP 89.190.213.199.27016 > 157.167.164.116.27005: UDP, length 6 23:15:21.586117 IP 174.175.144.92.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.586127 IP 13.19.43.179.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.586136 IP 100.162.17.137.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.586147 IP 34.58.101.181.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.586156 IP 165.55.121.132.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.586165 IP 94.146.72.137.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.586174 IP 65.82.126.88.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.586185 IP 34.8.156.12.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.586201 IP 89.190.213.199.27016 > 84.86.85.81.27005: UDP, length 6 23:15:21.586221 IP 89.190.213.199.27016 > 87.97.172.54.27005: UDP, length 6 23:15:21.586239 IP 89.190.213.199.27016 > 185.8.179.146.27005: UDP, length 6 23:15:21.586256 IP 89.190.213.199.27016 > 164.151.47.73.27005: UDP, length 6 23:15:21.586274 IP 89.190.213.199.27016 > 55.21.132.18.27005: UDP, length 6 23:15:21.586292 IP 89.190.213.199.27016 > 79.131.142.98.27005: UDP, length 6 23:15:21.586310 IP 89.190.213.199.27016 > 98.81.189.165.27005: UDP, length 6 23:15:21.586328 IP 89.190.213.199.27016 > 135.164.4.127.27005: UDP, length 6 23:15:21.586345 IP 89.190.213.199.27016 > 74.162.186.129.27005: UDP, length 6 23:15:21.586368 IP 89.190.213.199.27016 > 35.17.8.33.27005: UDP, length 6 23:15:21.586382 IP 99.169.143.38.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.586394 IP 67.32.43.12.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.586403 IP 24.40.49.80.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.586415 IP 156.116.10.70.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.586424 IP 31.8.75.111.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.586432 IP 177.20.84.199.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.586444 IP 75.30.58.161.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.586453 IP 25.16.12.30.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.586462 IP 178.16.115.13.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.586479 IP 89.190.213.199.27016 > 71.13.100.55.27005: UDP, length 6 23:15:21.586497 IP 89.190.213.199.27016 > 61.78.17.57.27005: UDP, length 6 23:15:21.586515 IP 89.190.213.199.27016 > 100.90.49.177.27005: UDP, length 6 23:15:21.586530 IP 188.12.59.106.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.586541 IP 176.11.9.50.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.586551 IP 179.59.35.6.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.586560 IP 157.130.65.169.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.586571 IP 55.184.104.16.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.586581 IP 100.62.181.106.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.586589 IP 119.133.134.114.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.586598 IP 151.73.0.157.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.586617 IP 89.190.213.199.27016 > 199.63.126.157.27005: UDP, length 6 23:15:21.586636 IP 89.190.213.199.27016 > 56.33.58.47.27005: UDP, length 6 23:15:21.586654 IP 89.190.213.199.27016 > 19.80.90.187.27005: UDP, length 6 23:15:21.586671 IP 89.190.213.199.27016 > 47.164.15.195.27005: UDP, length 6 23:15:21.586689 IP 89.190.213.199.27016 > 72.104.127.87.27005: UDP, length 6 23:15:21.586706 IP 89.190.213.199.27016 > 35.56.99.87.27005: UDP, length 6 23:15:21.586722 IP 192.144.124.43.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.586732 IP 79.26.25.76.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.586743 IP 107.121.19.40.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.586753 IP 22.173.134.144.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.586763 IP 174.148.70.91.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.586775 IP 199.56.56.92.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.586797 IP 89.190.213.199.27016 > 59.95.188.118.27005: UDP, length 6 23:15:21.586813 IP 89.190.213.199.27016 > 100.189.160.139.27005: UDP, length 6 23:15:21.586828 IP 89.190.213.199.27016 > 195.13.110.190.27005: UDP, length 6 23:15:21.586843 IP 89.190.213.199.27016 > 88.128.127.193.27005: UDP, length 6 23:15:21.586859 IP 89.190.213.199.27016 > 77.130.52.58.27005: UDP, length 6 23:15:21.586875 IP 89.190.213.199.27016 > 37.177.60.116.27005: UDP, length 6 23:15:21.586891 IP 89.190.213.199.27016 > 66.50.23.90.27005: UDP, length 6 23:15:21.586907 IP 89.190.213.199.27016 > 56.0.153.195.27005: UDP, length 6 23:15:21.586923 IP 89.190.213.199.27016 > 102.78.90.77.27005: UDP, length 6 23:15:21.586939 IP 89.190.213.199.27016 > 74.36.184.80.27005: UDP, length 6 23:15:21.586955 IP 89.190.213.199.27016 > 99.2.89.115.27005: UDP, length 6 23:15:21.586971 IP 89.190.213.199.27016 > 48.9.36.119.27005: UDP, length 6 23:15:21.586992 IP 181.150.12.57.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.587001 IP 25.43.186.104.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.587010 IP 87.71.185.86.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.587019 IP 2.123.91.150.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.587028 IP 91.166.127.49.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.587037 IP 55.67.2.192.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.587045 IP 89.188.31.11.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.587054 IP 170.193.50.25.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.587061 IP 147.131.70.197.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.587077 IP 89.190.213.199.27016 > 83.161.188.67.27005: UDP, length 6 23:15:21.587094 IP 89.190.213.199.27016 > 178.7.119.31.27005: UDP, length 6 23:15:21.587114 IP 119.137.145.161.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.587123 IP 73.111.34.151.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.587132 IP 67.24.97.26.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.587140 IP 13.87.67.85.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.587152 IP 64.9.103.69.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.587160 IP 177.172.164.72.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.587184 IP 58.16.112.94.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.590552 IP 141.190.190.79.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.590568 IP 159.102.0.178.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.590577 IP 36.93.171.117.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.590587 IP 178.185.129.119.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.590596 IP 119.118.143.192.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.590604 IP 16.1.124.98.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.590612 IP 187.179.45.115.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.590620 IP 189.54.34.142.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.590628 IP 114.124.40.165.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.590636 IP 121.169.134.118.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.590644 IP 78.19.46.58.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.590651 IP 141.80.194.89.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.590667 IP 89.190.213.199.27016 > 104.92.120.74.27005: UDP, length 6 23:15:21.590684 IP 89.190.213.199.27016 > 161.7.84.187.27005: UDP, length 6 23:15:21.590700 IP 89.190.213.199.27016 > 143.62.165.151.27005: UDP, length 6 23:15:21.590717 IP 89.190.213.199.27016 > 108.117.139.31.27005: UDP, length 6 23:15:21.590731 IP 133.97.180.194.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.590739 IP 108.49.99.181.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.590748 IP 28.151.2.93.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.590767 IP 91.187.191.1.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.590776 IP 171.0.59.95.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.590783 IP 69.133.186.119.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.590800 IP 89.190.213.199.27016 > 76.59.156.74.27005: UDP, length 6 23:15:21.590817 IP 89.190.213.199.27016 > 52.111.136.175.27005: UDP, length 6 23:15:21.590834 IP 89.190.213.199.27016 > 196.154.172.59.27005: UDP, length 6 23:15:21.590855 IP 89.190.213.199.27016 > 159.41.74.153.27005: UDP, length 6 23:15:21.590868 IP 89.190.213.199.27016 > 60.134.35.6.27005: UDP, length 6 23:15:21.590882 IP 89.190.213.199.27016 > 95.62.3.45.27005: UDP, length 6 23:15:21.590895 IP 89.190.213.199.27016 > 159.172.121.117.27005: UDP, length 6 23:15:21.590903 IP 101.101.31.116.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.590912 IP 81.128.180.77.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.590922 IP 164.17.4.179.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.590932 IP 171.167.48.188.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.590943 IP 59.144.82.161.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.590967 IP 89.190.213.199.27016 > 45.55.132.160.27005: UDP, length 6 23:15:21.590985 IP 89.190.213.199.27016 > 114.73.183.199.27005: UDP, length 6 23:15:21.591002 IP 89.190.213.199.27016 > 138.60.19.128.27005: UDP, length 6 23:15:21.591020 IP 89.190.213.199.27016 > 188.187.149.60.27005: UDP, length 6 23:15:21.591042 IP 89.190.213.199.27016 > 56.77.74.152.27005: UDP, length 6 23:15:21.591061 IP 89.190.213.199.27016 > 192.63.88.105.27005: UDP, length 6 23:15:21.591078 IP 89.190.213.199.27016 > 157.181.103.69.27005: UDP, length 6 23:15:21.591095 IP 89.190.213.199.27016 > 197.145.148.142.27005: UDP, length 6 23:15:21.591113 IP 89.190.213.199.27016 > 57.164.0.180.27005: UDP, length 6 23:15:21.591131 IP 89.190.213.199.27016 > 128.31.146.13.27005: UDP, length 6 23:15:21.591152 IP 89.190.213.199.27016 > 8.10.151.42.27005: UDP, length 6 23:15:21.591155 IP 52.123.44.189.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.591165 IP 59.195.5.182.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.591173 IP 8.22.18.30.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.591183 IP 49.52.76.37.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.591192 IP 89.182.166.108.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.591202 IP 90.126.12.151.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.591214 IP 70.68.34.111.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.591221 IP 155.100.189.48.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.591248 IP 89.190.213.199.27016 > 14.150.47.163.27005: UDP, length 6 23:15:21.591266 IP 89.190.213.199.27016 > 24.144.110.115.27005: UDP, length 6 23:15:21.591283 IP 89.190.213.199.27016 > 168.128.15.91.27005: UDP, length 6 23:15:21.591302 IP 89.190.213.199.27016 > 30.115.142.136.27005: UDP, length 6 23:15:21.591319 IP 89.190.213.199.27016 > 3.33.20.127.27005: UDP, length 6 23:15:21.591332 IP 97.33.182.0.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.591343 IP 88.80.104.178.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.591352 IP 34.150.188.81.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.591361 IP 189.75.1.40.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.591369 IP 114.32.104.161.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.591377 IP 71.70.107.183.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.591397 IP 150.197.34.96.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.591409 IP 57.85.108.33.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.591433 IP 89.190.213.199.27016 > 141.9.21.140.27005: UDP, length 6 23:15:21.591456 IP 89.190.213.199.27016 > 63.116.24.104.27005: UDP, length 6 23:15:21.591473 IP 89.190.213.199.27016 > 16.51.153.186.27005: UDP, length 6 23:15:21.591487 IP 89.190.213.199.27016 > 158.31.173.71.27005: UDP, length 6 23:15:21.591499 IP 89.190.213.199.27016 > 33.131.146.143.27005: UDP, length 6 23:15:21.591512 IP 89.190.213.199.27016 > 15.105.74.84.27005: UDP, length 6 23:15:21.591526 IP 89.190.213.199.27016 > 11.164.103.154.27005: UDP, length 6 23:15:21.591543 IP 89.190.213.199.27016 > 117.102.154.108.27005: UDP, length 6 23:15:21.591557 IP 89.190.213.199.27016 > 184.50.31.146.27005: UDP, length 6 23:15:21.591571 IP 174.35.56.95.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.591581 IP 30.7.18.76.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.591591 IP 56.41.175.161.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.591600 IP 100.61.55.139.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.591608 IP 81.20.112.2.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.591615 IP 196.173.63.65.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.591624 IP 56.44.150.172.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.591632 IP 87.79.153.118.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.591652 IP 89.190.213.199.27016 > 140.132.96.55.27005: UDP, length 6 23:15:21.591679 IP 89.190.213.199.27016 > 170.186.59.29.27005: UDP, length 6 23:15:21.591716 IP 58.57.92.171.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.591726 IP 22.12.55.17.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.591736 IP 132.33.189.43.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.591746 IP 32.121.102.23.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.591757 IP 113.191.177.103.27005 > 89.190.213.199.27016: UDP, length 7 23:15:21.591772 IP 152.177.7.47.27005 > 89.190.213.199.27016: UDP, length 7 Logs and pics: A very short part of the flood attack (40 mb) - http://www.multiupload.nl/7ECR925FM2 Traffic extreme: http://desmond.imageshack.us/Himg228/scale...amp;res=landing I really hope that here we will find solution! If you have any questions I will tell you what you want.
	Поблагодарили 7 раз Поблагодарили 7 раз _Skyline, iLLuSioN, JIokoMoTuB, MaximumEnergy, mazdan, omg@cyfan, Саша

cs-portal	29.7.2012, 19:27 Сообщение #2
Стаж: 16 лет Сообщений: 8181 Благодарностей: 2709 Полезность: 0	not interesting. some modified packets from many IP adresses. so what ? any kid can do such attack
	Поблагодарили 0 раз Поблагодарили 0 раз

mazdan	29.7.2012, 19:38 Сообщение #3
Стаж: 15 лет Сообщений: 7566 Благодарностей: 5437 Полезность: 1305	Цитата(cs-portal @ 29.7.2012, 21:27) not interesting. some modified packets from many IP adresses. so what ? any kid can do such attack не о том речь совсем :) Ну да ладно To fix it is need fix all servers, but is to hard :) May be Valve make some fix soon, but most administrators suppose that old build is more stable than new, and they prefer version 4883 :) Отредактировал: mazdan, - 29.7.2012, 19:55 Не пишите мне в ЛС. Пишите на почту. В ЛС я пропускаю сообщения.
	Поблагодарили 0 раз Поблагодарили 0 раз

ArhangeL	29.7.2012, 20:52 Сообщение #4
Стаж: 17 лет Сообщений: 1170 Благодарностей: 720 Полезность: 1076	simple spoof attack, so what? length of packets might be controllable by "ip tables" on linux. we need to research size of base clients packets and problem was resolved. :) also size of packets implemented in sdk. ip tables might be control the structure of packets(i think so) it's so also implemented in sdk. i'm so old knowns about spoofing by A2S_INFO structure sent. also it could be fixed by metamod plugins and linux firewall. this structuree might be sends to the server by any socket whith owner is need to known info about server. like monitorings, master-servers and game clients. this spoofing can't controllable and fixed by valve, onlly by firewall. Отредактировал: ArhangeL, - 29.7.2012, 21:15
	Поблагодарили 0 раз Поблагодарили 0 раз

Это не я	29.7.2012, 21:14 Сообщение #5
Стаж: 13 лет Сообщений: 3 Благодарностей: 9 Полезность: 0	Цитата(ArhangeL @ 29.7.2012, 22:52) simple spoof attack, so what? length of packets might be controllable by "ip tables" on linux. we need to research size of base clients packets and problem was resolved. :) also size of packets implemented in sdk. ip tables might be control the structure of packets(i think so) it's so also implemented in sdk. Не поможет это от такого ботнета. Раньше уже были подобные атаки.
	Поблагодарили 0 раз Поблагодарили 0 раз

ArhangeL	29.7.2012, 21:19 Сообщение #6
Стаж: 17 лет Сообщений: 1170 Благодарностей: 720 Полезность: 1076	Цитата(Это не я @ 29.7.2012, 22:14) Не поможет это от такого ботнета. Раньше уже были подобные атаки. метамод плагином решается, при правильном подходе к фильтрации трафика и освобождения канала сервера. экзэмплы приводить не надо, сами доголаетесь о чем я.
	Поблагодарили 0 раз Поблагодарили 0 раз

lickshot	29.7.2012, 21:38 Сообщение #7
Стаж: 13 лет Сообщений: 3 Благодарностей: 8 Полезность: 0	Цитата(cs-portal @ 29.7.2012, 20:27) not interesting. some modified packets from many IP adresses. so what ? any kid can do such attack It is not so simple as you think. It reaches 1Gbit, and my friend experienced the same attack with 1.5Gbit traffic. I don't think that every kid (or server administrator) has such resources. Цитата(ArhangeL @ 29.7.2012, 21:52) simple spoof attack, so what? length of packets might be controllable by "ip tables" on linux. we need to research size of base clients packets and problem was resolved. :) also size of packets implemented in sdk. ip tables might be control the structure of packets(i think so) it's so also implemented in sdk. i'm so old knowns about spoofing by A2S_INFO structure sent. also it could be fixed by metamod plugins and linux firewall. this structuree might be sends to the server by any socket whith owner is need to known info about server. like monitorings, master-servers and game clients. this spoofing can't controllable and fixed by valve, onlly by firewall. I've already tried to filter the packets with iptables by length and by string - nothing helps. My udp channels just get filled. Can you give me the metamod plugin or some iptables rules please? I will test any suggestions you guys give me because I don't know what even to do anymore. Second week 24/7 attacks .
	Поблагодарили 0 раз Поблагодарили 0 раз

Это не я	29.7.2012, 21:53 Сообщение #8
Стаж: 13 лет Сообщений: 3 Благодарностей: 9 Полезность: 0	Цитата(ArhangeL @ 29.7.2012, 23:19) метамод плагином решается, при правильном подходе к фильтрации трафика и освобождения канала сервера. экзэмплы приводить не надо, сами доголаетесь о чем я. По-моему мы о разных вещах говорим. Но основанных на одном и том же принципе.
	Поблагодарили 0 раз Поблагодарили 0 раз

cs-portal	29.7.2012, 21:57 Сообщение #9
Стаж: 16 лет Сообщений: 8181 Благодарностей: 2709 Полезность: 0	Iptables cant help you or any metamod plugin cant if your internet filled up
	Поблагодарили 0 раз Поблагодарили 0 раз

mazdan	29.7.2012, 22:04 Сообщение #10
Стаж: 15 лет Сообщений: 7566 Благодарностей: 5437 Полезность: 1305	Цитата(ArhangeL @ 29.7.2012, 23:19) метамод плагином решается, при правильном подходе к фильтрации трафика и освобождения канала сервера. экзэмплы приводить не надо, сами доголаетесь о чем я. только его надо на все сервера ставить Не пишите мне в ЛС. Пишите на почту. В ЛС я пропускаю сообщения.
	Поблагодарили 0 раз Поблагодарили 0 раз

cs-portal	29.7.2012, 23:16 Сообщение #11
Стаж: 16 лет Сообщений: 8181 Благодарностей: 2709 Полезность: 0	если метамод стоит на ВСЕХ серверах то и плагин к нему на ВСЕ сервера не проблема поставить только без бекдора) желательно
	Поблагодарили 0 раз Поблагодарили 0 раз

ArhangeL	29.7.2012, 23:37 Сообщение #12
Стаж: 17 лет Сообщений: 1170 Благодарностей: 720 Полезность: 1076	Цитата(cs-portal @ 29.7.2012, 22:57) Iptables cant help you or any metamod plugin cant if your internet filled up and why would it? dproto well filtered the traffic. all whatvyou need is a consider time between requests to the server, in methamod plugin you can control time whith each identical packets, because you need skip traffic in time while server executes changelevel command(when many already existing players (re)connect to the server) also you need control requests from master-server or monitoring scripts... so many aspects, in another events you need to break down the traffic whith recived so fast. these situations can't be control by firewalls, only by inner features whith implemented as sdk.
	Поблагодарили 0 раз Поблагодарили 0 раз

coolman	30.7.2012, 9:13 Сообщение #13
Стаж: 19 лет Город: Екатеринбург Сообщений: 1220 Благодарностей: 218 Полезность: 149	Не хило так то 600 мегабит? Тоесть гигабитный канал? Я бы отфильтровал и не парился бы
	Поблагодарили 0 раз Поблагодарили 0 раз

cs-portal	31.7.2012, 23:33 Сообщение #14
Стаж: 16 лет Сообщений: 8181 Благодарностей: 2709 Полезность: 0	Цитата(coolman @ 30.7.2012, 10:13) Не хило так то 600 мегабит? Тоесть гигабитный канал? Я бы отфильтровал и не парился бы он же написал it reaches 1gb достигает а то и выше временами
	Поблагодарили 0 раз Поблагодарили 0 раз

lickshot	1.8.2012, 12:15 Сообщение #15
Стаж: 13 лет Сообщений: 3 Благодарностей: 8 Полезность: 0	Hey guys Valve has made a test fix for this flood which is included in the yesterday's HLDS platform update. Big thanks to Alfred Reynolds. He said that it will take some time for everyone to update their platforms. So please update your platforms! Alse the update fixes another exploit which allows downloading of server files. Spread the news!
	Поблагодарили 0 раз Поблагодарили 0 раз

Affl	1.8.2012, 12:25 Сообщение #16
Стаж: 15 лет Сообщений: 1573 Благодарностей: 1182 Полезность: 1042	А что делать тем кто не хочет обновляться? WAR3FT Пивка для Рывка 202 lvl
	Поблагодарили 0 раз Поблагодарили 0 раз

S0m3Th1nG_AwFul!	1.8.2012, 13:03 Сообщение #17
Стаж: 15 лет Сообщений: 454 Благодарностей: 323 Полезность: 961	Цитата([D`n`B TeaM]Affl @ 1.8.2012, 14:25) А что делать тем кто не хочет обновляться? Запасаться гигабитными каналами :) или просить людей с какого-нибудь ДС.ру написать для тебя соответствующий metamod-плагин. Отредактировал: S0m3Th1nG_AwFul!, - 1.8.2012, 13:04
	Поблагодарили 0 раз Поблагодарили 0 раз

mazdan	1.8.2012, 13:10 Сообщение #18
Стаж: 15 лет Сообщений: 7566 Благодарностей: 5437 Полезность: 1305	Цитата(S0m3Th1nG_AwFul! @ 1.8.2012, 15:03) Запасаться гигабитными каналами :) или просить людей с какого-нибудь ДС.ру написать для тебя соответствующий metamod-плагин. какая связь между гигабитным каналом и обновлением сервера? Я если обновлю сервер у меня канал станет в гигабит шириной? было бы неплохо. Обновление сервера не влияет на защищенность этого самого сервера. Обновление всех серверов влияет. Ну вот cs-portal сказал же Цитата если метамод стоит на ВСЕХ серверах то и плагин к нему на ВСЕ сервера не проблема поставить только без бекдора) желательно так в чем проблема - обновиться не сложнее. Не пишите мне в ЛС. Пишите на почту. В ЛС я пропускаю сообщения.
	Поблагодарили 0 раз Поблагодарили 0 раз

S0m3Th1nG_AwFul!	1.8.2012, 15:46 Сообщение #19
Стаж: 15 лет Сообщений: 454 Благодарностей: 323 Полезность: 961	mazdan, почему обязательно на все сервера? Просто те, кто не обновится, будут и дальше являться потенциальными зомби-машинами для ботнета, которым будут забивать флудом исходящий канал (это к замечанию о гигабитном канале). А те, кто обновится - уже нет. Или я что-то не так понимаю в сути атаки/уязвимости? Отредактировал: S0m3Th1nG_AwFul!, - 1.8.2012, 16:11
	Поблагодарили 0 раз Поблагодарили 0 раз

mazdan	1.8.2012, 17:00 Сообщение #20
Стаж: 15 лет Сообщений: 7566 Благодарностей: 5437 Полезность: 1305	Даже если не обновятся 3-4 тысячи серверов - это вполне неплохой ботнет. Я имею ввиду следующее. Я обновился, а 20К серверов не обновились. Профит -> я не часть ботнета. Я не обновился, 20К серверов не обновились. Профит -> сижу на билде который считаю стабильным, не скачиваю лишние 10 мегабайт и не делаю ничего. Или просто не обновился потому что не знаю про обновления или мой хостер не обновляет билды. Канал даже в 1 мбит никто не забьет этим флудом. Сервер не отвечает чаще чем раз во сколько-то (иначе дпрото блокирует). Т.е. они не забьют мой канал. Просто свой пакет увеличат в 10-20 раз, мой сервер вышлет эти пакеты и мне как-то пофиг, потому что это будет происходить не так часто ибо мой сервер один из многих =) А пакетов таких он шлет кучу. Ну будет слать кучу + 1. А тот кого ДДоСят будет получать просто от моего сервера 1 пакетик в секунду, например. И еще столько же пакетиков от 20.000 серверов. С миру по нитке как говорится :) В итоге получаем 20К пакетов в секунду. Что и получает сервер человека, который не важно обновился или нет. Ну и под всеми я подразумеваю не 100%, а хотя бы 90. Сейчас кого не спроси - половина почти сидит на 4* билде. Иначе им не нужен был бы к примеру antidl.amxx, jos фиксы и т.д. Согласитесь, таких серверов приличное количество. А если еще учесть что на новом билде не работает команда setmaster add, то желающих перейти на него не становится больше. Может я, конечно, ошибаюсь про блокировку частых запросов, но насколько я помню она заблокирована на каком-то уровне. Иначе да, забивали бы исходящий канал моего сервера, пока я тупо бы не запретил орфеем ответы чаще чем в 1 секунду. А в случае ТС забит входящий канал пакетами с этой зомби сети и не важно какая у него версия сервера последняя или нет. Надеюсь я донес, почему я сказал сразу про то что мне не нужен гигабитный канал, если я не обновлюсь. Не пишите мне в ЛС. Пишите на почту. В ЛС я пропускаю сообщения.
	Поблагодарили 1 раз Поблагодарили 1 раз S0m3Th1nG_AwFul!

« Предыдущая тема · Защита Игрового сервера · Следующая тема »

0 пользователей и 1 гостей читают эту тему:

Наши новости:

Важная информация

A new HLDS exploit which allows sending packets!