Правила форума Гаранты форума
Размещение рекламы AMX-X компилятор

Здравствуйте, гость Вход | Регистрация

Наши новости:

14-дек
Добавлена поддержка utf8mb4
24-апр
Telegram группа
10-апр
Обновление PHP
11-апр
Раздача читов

> Важная информация

Перед тем как создать тему или задать вопрос, ознакомьтесь с данной темой, там собраны наиболее распространенные уязвимости и способы устранения.
Так же не поленитесь воспользоваться поиском, вполне возможно, что ваш вопрос уже поднимался на форуме.
При создании новой темы уделите внимание ее названию, оно должно кратко описывать суть вашего вопроса/проблемы. Все вновь созданные темы с названиями "Помогите", "Объясните", "Подскажите" и т.д. будут удалены, а их авторы наказаны.
38 страниц V  « 13 14 15 ... 36 37 »

Флуд с европейских IP (traffic temporary blocked from)

, [DPROTO]: traffic temporary blocked from
Статус пользователя JIokoMoTuB
сообщение 4.8.2012, 11:35
Сообщение #261


Стаж: 17 лет

Сообщений: 2174
Благодарностей: 566
Полезность: 425

Цитата(seekvn @ 4.8.2012, 11:30) *
Это помогает новым Build 5758. Когда выйдет новая версия dproto ?

новый билд?также флудят.


Empower isn't phoenix
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя kyjiak
сообщение 4.8.2012, 11:39
Сообщение #262
Стаж: 15 лет

Сообщений: 5
Благодарностей: 1
Полезность: 0

Цитата(JIokoMoTuB @ 4.8.2012, 11:35) *
новый билд?также флудят.


ДА
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя S0m3Th1nG_AwFul!
сообщение 4.8.2012, 11:40
Сообщение #263
Стаж: 15 лет

Сообщений: 454
Благодарностей: 323
Полезность: 961

Цитата
Для нового билда из плагинов защиты нужны FloodBlocker, Anti CsDeath и Anti Fullupdate Spam 2

Насчёт Anti CsDeath - это 100% враньё, он НЕ нужен ещё со времён 5408 билда. AntiFullUpdate - не знаю, я ни разу так и не смог им на своём серве мало мальски заметных лагов вызвать, назначение же FloodBlocker-а до конца не понятно.
Цитата
Когда выйдет новая версия dproto ?

Судя по тому, что апдейтов уже скоро как 2 года нет (с октября 2010) - видимо никогда.
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
Поблагодарили 1 раз
   + Цитировать сообщение
Статус пользователя jesuspunk
сообщение 4.8.2012, 11:41
Сообщение #264


Стаж: 15 лет

Сообщений: 1120
Благодарностей: 839
Полезность: 816

все таки 53 порт не нужно отключать на нем DNS )

так что мое правило отменяем iptables -D и текст далее начиная с INPUT, и лучше:

Код
iptables -I INPUT -p udp -m multiport --source-port 3074,80,7786,10101,8080,7777,7788,1000,3000,9355,2010 -j DROP
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя Grusha
сообщение 4.8.2012, 11:46
Сообщение #265
Стаж: 17 лет

Сообщений: 8
Благодарностей: 1
Полезность: 0

Хорошо, если Валве переводит на другой протокол, обновляет билд, прочие изменения, то причем тут tf, css, серверы и черт знает какие порты?

Короче валве, что-то сотворил. Скоро будет решение. По-моему, это так тестируется у них новый протокол rofl.gif
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя JIokoMoTuB
сообщение 4.8.2012, 11:48
Сообщение #266


Стаж: 17 лет

Сообщений: 2174
Благодарностей: 566
Полезность: 425

Цитата(jesuspunk @ 4.8.2012, 11:41) *
все таки 53 порт не нужно отключать на нем DNS )

так что мое правило отменяем iptables -D и текст далее начиная с INPUT, и лучше:

Код
iptables -I INPUT -p udp -m multiport --source-port 3074,80,7786,10101,8080,7777,7788,1000,3000,9355,2010 -j DROP

dns умеет tcp юзать


Empower isn't phoenix
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя JJS007
сообщение 4.8.2012, 11:49
Сообщение #267
Стаж: 15 лет

Сообщений: 233
Благодарностей: 52
Полезность: 187

Список портов надо перепроверить. Вполне возможно, что некоторые клиенты могут подключаться с предложенных здесь портов.

Кому не лень, отснифайте трафф и выложите здесь. Будем сверять порты...

Цитата(jesuspunk @ 4.8.2012, 12:41) *
все таки 53 порт не нужно отключать на нем DNS )
Код
iptables -I INPUT -p udp -m multiport --source-port 3074,80,7786,10101,8080,7777,7788,1000,3000,9355,2010 -j DROP

Не заметил сразу... 53 блочить не надо...

Цитата(JIokoMoTuB @ 4.8.2012, 12:48) *
dns умеет tcp юзать

UDP нужен.

Отредактировал: JJS007, - 4.8.2012, 11:50
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя seekvn
сообщение 4.8.2012, 11:52
Сообщение #268
Стаж: 13 лет

Сообщений: 8
Благодарностей: 1
Полезность: 0

Цитата(S0m3Th1nG_AwFul! @ 4.8.2012, 12:40) *
Судя по тому, что апдейтов уже скоро как 2 года нет (с октября 2010) - видимо никогда.


Это не решение проблемы. Проблема серьезная, потому что трафик идет upload 500 Кб/с. Трассировка восходящего канала и доказал, что он будет русский сервер, что в то время как флудят. Использоваться в качестве botnet.

Отредактировал: seekvn, - 4.8.2012, 11:53
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя mazdan
сообщение 4.8.2012, 11:54
Сообщение #269


Иконка группы

Стаж: 15 лет

Сообщений: 7566
Благодарностей: 5437
Полезность: 1305

i
Уведомление:
Еще раз относительно всех предположений - почитайте пост номер 211 Непосредственно к теме так же относится тема в этом же разделе
reflected DDoS
Wiki на английском


из-за вас тут только что пожарил макароны с сосисками (прям в пластиковой пленке сосиски были).

!
Предупреждение:
Ознакомьтесь с материалами. Это поможет избежать лишнего флуда тут. Никаких решений плагинами не будет. Блокировать трафик только выше. И чем выше тем лучше. Ждите пока дыра станет не актуальна.


!
Предупреждение:
Хватит сообщений "ой, а меня тоже ддосят!" "снова началось" и т.п. Никто вас не ддосит - никому вы не нужны (99%, я в вашем числе) Просто вас пытаются использовать для DDoS атаки. Dproto или последний билд не позволяют этого делать, при этом предпочтительно обновиться. Весь этот флуд должен будет стихать по мере обновления серверов. Предлагаю выкладывать полезное:
1. дампы трафика (хотя вон я выложил XML, никто же и не смотрел, да JJS007)
2. правила для iptables
3. возможные варианты защиты для винды

i
Уведомление:
Под виндой удобно дампить программой Mini Net Tools - можно выставить по размеру пакета, потом в XML экспортировать и в Excel отфильтровать повторяющиеся IP и порты и получить список таким образом.


Отредактировал: mazdan, - 4.8.2012, 12:25


Не пишите мне в ЛС. Пишите на почту. В ЛС я пропускаю сообщения.
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя jesuspunk
сообщение 4.8.2012, 11:54
Сообщение #270


Стаж: 15 лет

Сообщений: 1120
Благодарностей: 839
Полезность: 816

Цитата(Grusha @ 4.8.2012, 11:46) *
Хорошо, если Валве переводит на другой протокол, обновляет билд, прочие изменения, то причем тут tf, css, серверы и черт знает какие порты?

Короче валве, что-то сотворил. Скоро будет решение. По-моему, это так тестируется у них новый протокол rofl.gif



valve просто вшила новую систему регистрации на своих мс. там совершенно другие порты и ипы, так же отключила команду setmaster. + закрыла пару дырок. при чем тут tf и css?
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя dehost
сообщение 4.8.2012, 12:08
Сообщение #271


Стаж: 13 лет

Сообщений: 3147
Благодарностей: 1431
Полезность: 486

Код
L 08/04/2012 - 14:01:34: [DPROTO]: traffic temporary blocked from 85.17.169.205 for flooding; PPS=0.000000; WarnLevel=4.453177
L 08/04/2012 - 14:01:34: [DPROTO]: traffic temporary blocked from 90.191.234.69 for flooding; PPS=0.000000; WarnLevel=2.912773
L 08/04/2012 - 14:01:38: [DPROTO]: traffic temporary blocked from 99.103.6.81 for flooding; PPS=11.464058; WarnLevel=19.841438
L 08/04/2012 - 14:01:41: [DPROTO]: traffic temporary blocked from 85.17.169.205 for flooding; PPS=42.295804; WarnLevel=2.945193
L 08/04/2012 - 14:01:46: [DPROTO]: traffic temporary blocked from 99.103.6.81 for flooding; PPS=0.000000; WarnLevel=3.635495
L 08/04/2012 - 14:01:55: [DPROTO]: traffic temporary blocked from 99.103.6.81 for flooding; PPS=50.000000; WarnLevel=2.210937
L 08/04/2012 - 14:01:57: [DPROTO]: traffic temporary blocked from 90.191.234.69 for flooding; PPS=97.000000; WarnLevel=3.233333
L 08/04/2012 - 14:01:57: [DPROTO]: traffic temporary blocked from 85.17.169.205 for flooding; PPS=96.000000; WarnLevel=3.200000
L 08/04/2012 - 14:02:03: [DPROTO]: traffic temporary blocked from 99.103.6.81 for flooding; PPS=5.188178; WarnLevel=7.475275
L 08/04/2012 - 14:02:05: [DPROTO]: traffic temporary blocked from 90.191.234.69 for flooding; PPS=0.000000; WarnLevel=3.941118
L 08/04/2012 - 14:02:05: [DPROTO]: traffic temporary blocked from 85.17.169.205 for flooding; PPS=0.000000; WarnLevel=3.893583
L 08/04/2012 - 14:02:22: [DPROTO]: traffic temporary blocked from 99.103.6.81 for flooding; PPS=0.000000; WarnLevel=3.556524
L 08/04/2012 - 14:02:58: [DPROTO]: traffic temporary blocked from 85.17.169.205 for flooding; PPS=43.854345; WarnLevel=3.062478
L 08/04/2012 - 14:03:21: [DPROTO]: traffic temporary blocked from 85.17.169.205 for flooding; PPS=0.000000; WarnLevel=3.768652
L 08/04/2012 - 14:03:25: [DPROTO]: traffic temporary blocked from 99.103.6.81 for flooding; PPS=68.048821; WarnLevel=15.462181
L 08/04/2012 - 14:03:28: [DPROTO]: traffic temporary blocked from 85.17.169.205 for flooding; PPS=100.000000; WarnLevel=3.333333
L 08/04/2012 - 14:03:33: [DPROTO]: traffic temporary blocked from 99.103.6.81 for flooding; PPS=11.071526; WarnLevel=21.068896
L 08/04/2012 - 14:04:10: [DPROTO]: traffic temporary blocked from 209.112.136.141 for flooding; PPS=53.040142; WarnLevel=3.695338
L 08/04/2012 - 14:04:40: [DPROTO]: traffic temporary blocked from 112.137.162.77 for flooding; PPS=14.770727; WarnLevel=16.927742
L 08/04/2012 - 14:04:42: [DPROTO]: traffic temporary blocked from 209.112.136.141 for flooding; PPS=73.000000; WarnLevel=3.556274

forteam
логов уйма почистил


Золотое правило нравственности:
"Относись к людям так, как хочешь, чтобы относились к тебе."
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя fast_inject
сообщение 4.8.2012, 12:08
Сообщение #272
Стаж: 14 лет

Сообщений: 48
Благодарностей: 13
Полезность: < 0

iptables

Код
[0:0] -A INPUT -s 66.197.187.133/32 -j DROP
[0:0] -A INPUT -s 109.17.51.222/32 -j DROP
[0:0] -A INPUT -s 96.245.189.12/32 -j DROP
[0:0] -A INPUT -s 184.39.248.151/32 -j DROP
[0:0] -A INPUT -s 24.67.101.119/32 -j DROP
[0:0] -A INPUT -s 68.81.23.232/32 -j DROP
[0:0] -A INPUT -s 95.49.104.82/32 -j DROP
[0:0] -A INPUT -s 178.33.114.104/32 -j DROP
[0:0] -A INPUT -s 108.162.199.163/32 -j DROP
[0:0] -A INPUT -s 84.29.209.69/32 -j DROP
[0:0] -A INPUT -s 98.116.75.115/32 -j DROP
[0:0] -A INPUT -s 98.206.93.122/32 -j DROP
[2323:76659] -A INPUT -s 100.1.83.93/32 -j DROP
[0:0] -A INPUT -s 70.104.132.187/32 -j DROP
[0:0] -A INPUT -s 78.20.38.8/32 -j DROP
[0:0] -A INPUT -s 194.0.247.216/32 -j DROP
[0:0] -A INPUT -s 76.17.108.125/32 -j DROP
[504:16632] -A INPUT -s 67.181.204.19/32 -j DROP
[0:0] -A INPUT -s 91.121.150.223/32 -j DROP
[0:0] -A INPUT -s 108.247.114.148/32 -j DROP
[0:0] -A INPUT -s 99.249.202.192/32 -j DROP
[0:0] -A INPUT -s 24.226.204.28/32 -j DROP
[719:23727] -A INPUT -s 69.121.134.117/32 -j DROP
[0:0] -A INPUT -s 66.31.130.179/32 -j DROP
[0:0] -A INPUT -s 108.241.49.100/32 -j DROP
[0:0] -A INPUT -s 2.28.154.132/32 -j DROP
[0:0] -A INPUT -s 216.113.201.180/32 -j DROP
[0:0] -A INPUT -s 142.196.121.76/32 -j DROP
[603:19899] -A INPUT -s 77.189.188.102/32 -j DROP
[0:0] -A INPUT -s 92.229.18.117/32 -j DROP
[25607:845031] -A INPUT -s 110.159.254.46/32 -j DROP
[100:3300] -A INPUT -s 78.129.76.127/32 -j DROP
[0:0] -A INPUT -s 199.167.198.213/32 -j DROP
[0:0] -A INPUT -s 95.89.222.203/32 -j DROP
[10222:337326] -A INPUT -s 74.91.27.14/32 -j DROP
[632:20856] -A INPUT -s 120.28.247.64/32 -j DROP
[347:11451] -A INPUT -s 92.131.101.159/32 -j DROP
[691:22803] -A INPUT -s 173.49.51.145/32 -j DROP
[1026:33858] -A INPUT -s 90.34.120.158/32 -j DROP
[659:21747] -A INPUT -s 90.163.83.133/32 -j DROP
[1104:36432] -A INPUT -s 109.10.228.35/32 -j DROP
[34740:1146420] -A INPUT -s 175.136.115.233/32 -j DROP
[3184:105072] -A INPUT -s 97.83.78.136/32 -j DROP
[224:7392] -A INPUT -s 74.125.227.123/32 -j DROP
[1193:42084] -A INPUT -s 112.137.162.76/32 -j DROP
[300:9900] -A INPUT -s 174.71.126.185/32 -j DROP
[273:9009] -A INPUT -s 199.48.147.37/32 -j DROP
[1356:44748] -A INPUT -s 98.194.35.250/32 -j DROP
[374:12342] -A INPUT -s 86.185.136.127/32 -j DROP
[6189:204237] -A INPUT -s 98.209.220.146/32 -j DROP
[147:4851] -A INPUT -s 86.75.143.49/32 -j DROP
[1292:42636] -A INPUT -s 68.37.51.128/32 -j DROP
[1142:37686] -A INPUT -s 204.186.114.91/32 -j DROP
[545:17985] -A INPUT -s 90.58.64.102/32 -j DROP
[217:7161] -A INPUT -s 90.13.217.99/32 -j DROP
[1223:40359] -A INPUT -s 70.26.237.114/32 -j DROP
[41619:1373427] -A INPUT -s 66.7.210.223/32 -j DROP
[4709:155397] -A INPUT -s 24.15.81.233/32 -j DROP
[0:0] -A INPUT -s 77.164.113.1/32 -j DROP
[828:27324] -A INPUT -s 209.222.61.166/32 -j DROP
[0:0] -A INPUT -s 72.93.116.96/32 -j DROP
[59:1947] -A INPUT -s 82.242.100.78/32 -j DROP
[1232:40656] -A INPUT -s 80.212.74.213/32 -j DROP
[746:24618] -A INPUT -s 74.198.165.116/32 -j DROP
[730:24090] -A INPUT -s 71.114.128.254/32 -j DROP
[500:16500] -A INPUT -s 98.161.58.159/32 -j DROP
[0:0] -A INPUT -s 83.196.27.203/32 -j DROP
[0:0] -A INPUT -s 108.50.150.229/32 -j DROP
[0:0] -A INPUT -s 75.30.192.212/32 -j DROP
[950:31350] -A INPUT -s 2.27.40.109/32 -j DROP
[400:13200] -A INPUT -s 109.154.140.112/32 -j DROP
[24067:794211] -A INPUT -s 77.240.118.92/32 -j DROP
[3388:111804] -A INPUT -s 50.138.99.137/32 -j DROP
[395:13035] -A INPUT -s 78.35.185.54/32 -j DROP
[4454:146982] -A INPUT -s 81.157.125.95/32 -j DROP
[0:0] -A INPUT -s 71.93.237.86/32 -j DROP
[1679:55407] -A INPUT -s 108.86.71.26/32 -j DROP
[252:8316] -A INPUT -s 83.193.138.43/32 -j DROP
[3827:126291] -A INPUT -s 91.121.97.26/32 -j DROP
[4482:147906] -A INPUT -s 72.20.52.181/32 -j DROP
[0:0] -A INPUT -s 79.237.169.175/32 -j DROP
[149:4917] -A INPUT -s 109.215.156.86/32 -j DROP
[1800:59400] -A INPUT -s 24.187.138.46/32 -j DROP
[0:0] -A INPUT -s 76.221.65.254/32 -j DROP
[986:32538] -A INPUT -s 173.26.181.85/32 -j DROP
[400:13200] -A INPUT -s 86.171.8.183/32 -j DROP
[0:0] -A INPUT -s 87.113.7.112/32 -j DROP
[7430:245190] -A INPUT -s 93.31.6.46/32 -j DROP
[197:6501] -A INPUT -s 99.252.114.109/32 -j DROP
[1356:44748] -A INPUT -s 68.4.99.135/32 -j DROP
[0:0] -A INPUT -s 67.140.251.145/32 -j DROP
[3733:123189] -A INPUT -s 98.17.75.249/32 -j DROP
[719:23727] -A INPUT -s 216.186.186.150/32 -j DROP
[500:16500] -A INPUT -s 156.34.188.26/32 -j DROP
[522:17226] -A INPUT -s 81.104.85.234/32 -j DROP
[1:576] -A INPUT -s 67.240.151.118/32 -j DROP
[2367:78111] -A INPUT -s 184.146.85.17/32 -j DROP
[5732:189156] -A INPUT -s 64.37.54.31/32 -j DROP
[2708:89364] -A INPUT -s 94.23.2.178/32 -j DROP
[2130:70290] -A INPUT -s 98.20.117.32/32 -j DROP
[605:19965] -A INPUT -s 209.105.207.98/32 -j DROP
[8450:278850] -A INPUT -s 99.249.210.117/32 -j DROP
[306:10098] -A INPUT -s 98.231.201.71/32 -j DROP
[1571:51843] -A INPUT -s 76.25.76.144/32 -j DROP
[422:13926] -A INPUT -s 81.96.160.204/32 -j DROP
[1800:59400] -A INPUT -s 72.227.116.254/32 -j DROP
[0:0] -A INPUT -s 67.80.64.175/32 -j DROP
[44355:1463715] -A INPUT -s 67.23.234.101/32 -j DROP
[0:0] -A INPUT -s 98.196.202.12/32 -j DROP
[643:21219] -A INPUT -s 124.188.193.201/32 -j DROP
[500:16500] -A INPUT -s 67.140.241.44/32 -j DROP
[1516:50028] -A INPUT -s 64.109.93.198/32 -j DROP
[1093:36069] -A INPUT -s 70.251.94.91/32 -j DROP
[0:0] -A INPUT -s 207.97.206.199/32 -j DROP
[7272:239976] -A INPUT -s 130.216.30.117/32 -j DROP
[0:0] -A INPUT -s 86.41.186.121/32 -j DROP
[0:0] -A INPUT -s 83.54.42.107/32 -j DROP
[431:14223] -A INPUT -s 61.9.194.49/32 -j DROP
[0:0] -A INPUT -s 71.218.48.100/32 -j DROP
[429:14157] -A INPUT -s 199.255.210.75/32 -j DROP
[143:4719] -A INPUT -s 99.46.22.33/32 -j DROP
[0:0] -A INPUT -s 63.142.117.207/32 -j DROP
[1800:59400] -A INPUT -s 74.190.215.126/32 -j DROP
[300:9900] -A INPUT -s 74.100.180.87/32 -j DROP
[810:28359] -A INPUT -s 213.163.68.175/32 -j DROP
[0:0] -A INPUT -s 72.167.131.49/32 -j DROP
[0:0] -A INPUT -s 204.237.102.160/32 -j DROP
[2520:83160] -A INPUT -s 216.36.9.212/32 -j DROP
[379:12507] -A INPUT -s 50.129.125.53/32 -j DROP
[0:0] -A INPUT -s 78.237.218.129/32 -j DROP
[11717:386661] -A INPUT -s 70.254.224.177/32 -j DROP
[0:0] -A INPUT -s 174.121.3.162/32 -j DROP
[197:6501] -A INPUT -s 86.161.190.108/32 -j DROP
[0:0] -A INPUT -s 209.104.121.95/32 -j DROP
[1059:34947] -A INPUT -s 88.161.173.70/32 -j DROP
[342:11286] -A INPUT -s 71.80.26.64/32 -j DROP
[11956:394548] -A INPUT -s 184.5.44.160/32 -j DROP
[222:7326] -A INPUT -s 75.28.58.91/32 -j DROP
[705:23265] -A INPUT -s 108.242.243.14/32 -j DROP
[549:18117] -A INPUT -s 67.246.46.78/32 -j DROP
[244:33573] -A INPUT -s 182.50.154.13/32 -j DROP
[1221:40293] -A INPUT -s 68.38.146.12/32 -j DROP
[0:0] -A INPUT -s 95.141.29.54/32 -j DROP
[345:11385] -A INPUT -s 24.139.56.82/32 -j DROP
[3374:111342] -A INPUT -s 184.56.47.239/32 -j DROP
[0:0] -A INPUT -s 77.67.73.254/32 -j DROP
[800:26400] -A INPUT -s 174.91.123.165/32 -j DROP
[734:24222] -A INPUT -s 75.0.68.34/32 -j DROP
[125:4125] -A INPUT -s 86.12.192.112/32 -j DROP
[100:3300] -A INPUT -s 96.186.82.111/32 -j DROP
[232:7656] -A INPUT -s 24.241.253.202/32 -j DROP
[283:9339] -A INPUT -s 67.246.162.175/32 -j DROP
[494:16302] -A INPUT -s 108.59.10.159/32 -j DROP
[1700:56100] -A INPUT -s 83.90.79.130/32 -j DROP
[4993:164769] -A INPUT -s 76.225.141.252/32 -j DROP
[0:0] -A INPUT -s 68.59.111.97/32 -j DROP
[248:8184] -A INPUT -s 176.45.103.137/32 -j DROP
[1038:34254] -A INPUT -s 98.222.245.124/32 -j DROP
[623:20559] -A INPUT -s 178.73.210.144/32 -j DROP
[946:31218] -A INPUT -s 115.70.74.21/32 -j DROP
[1185:39105] -A INPUT -s 207.210.0.249/32 -j DROP
[3176:104808] -A INPUT -s 209.243.5.128/32 -j DROP
[3666:120978] -A INPUT -s 76.99.100.249/32 -j DROP
[1143:37719] -A INPUT -s 206.16.223.210/32 -j DROP
[1963:64779] -A INPUT -s 24.44.222.40/32 -j DROP
[196:6468] -A INPUT -s 96.38.115.42/32 -j DROP
[304:10032] -A INPUT -s 70.81.22.68/32 -j DROP
[700:23100] -A INPUT -s 206.248.72.185/32 -j DROP
[216:7128] -A INPUT -s 76.236.3.107/32 -j DROP
[1627:53691] -A INPUT -s 99.180.87.29/32 -j DROP
[0:0] -A INPUT -s 83.198.214.91/32 -j DROP
[1553:51249] -A INPUT -s 71.90.94.147/32 -j DROP
[648:23556] -A INPUT -s 109.230.221.186/32 -j DROP
[4813:158829] -A INPUT -s 174.48.246.10/32 -j DROP
[102076:3368508] -A INPUT -s 174.138.160.102/32 -j DROP
[0:0] -A INPUT -s 108.87.161.74/32 -j DROP
[0:0] -A INPUT -s 50.122.169.243/32 -j DROP
[2418:79794] -A INPUT -s 76.6.43.136/32 -j DROP
[995:32835] -A INPUT -s 173.206.23.213/32 -j DROP
[1688:55704] -A INPUT -s 72.131.68.185/32 -j DROP
[1054:34782] -A INPUT -s 96.228.185.61/32 -j DROP
[0:0] -A INPUT -s 98.25.8.229/32 -j DROP
[98:3234] -A INPUT -s 206.248.74.21/32 -j DROP
[490:16170] -A INPUT -s 98.176.117.148/32 -j DROP
[70:2310] -A INPUT -s 70.191.246.130/32 -j DROP
[0:0] -A INPUT -s 174.94.23.209/32 -j DROP
[6804:224532] -A INPUT -s 71.58.185.135/32 -j DROP
[0:0] -A INPUT -s 108.213.242.189/32 -j DROP
[146:4818] -A INPUT -s 64.138.212.157/32 -j DROP
[594:19602] -A INPUT -s 99.255.133.27/32 -j DROP
[0:0] -A INPUT -s 24.112.55.100/32 -j DROP
[161:5313] -A INPUT -s 17.158.10.52/32 -j DROP
[1147:37851] -A INPUT -s 146.255.36.149/32 -j DROP
[699:23067] -A INPUT -s 76.180.219.47/32 -j DROP
[1791:59103] -A INPUT -s 66.176.20.24/32 -j DROP
[857:28281] -A INPUT -s 69.166.184.88/32 -j DROP
[767:25311] -A INPUT -s 72.5.195.199/32 -j DROP
[900:29700] -A INPUT -s 97.90.201.69/32 -j DROP
[100:3300] -A INPUT -s 124.188.195.10/32 -j DROP
[4266:145122] -A INPUT -s 70.34.194.66/32 -j DROP
[0:0] -A INPUT -s 70.131.59.113/32 -j DROP
[148:4884] -A INPUT -s 69.121.142.230/32 -j DROP
[2468:81444] -A INPUT -s 24.151.105.209/32 -j DROP
[1794:59202] -A INPUT -s 63.143.49.130/32 -j DROP
[2264:74712] -A INPUT -s 24.245.241.181/32 -j DROP
[281:15246] -A INPUT -s 198.12.66.2/32 -j DROP
[1388:45804] -A INPUT -s 108.212.120.156/32 -j DROP
[0:0] -A INPUT -s 75.95.19.217/32 -j DROP
[2075:68475] -A INPUT -s 173.169.73.128/32 -j DROP
[618:20394] -A INPUT -s 201.240.64.135/32 -j DROP
[320:10560] -A INPUT -s 65.35.228.202/32 -j DROP
[2490:82170] -A INPUT -s 99.181.103.2/32 -j DROP
[1474:48642] -A INPUT -s 97.87.173.235/32 -j DROP
[0:0] -A INPUT -s 24.89.210.159/32 -j DROP
[1279:42207] -A INPUT -s 76.243.101.6/32 -j DROP
[2170:73239] -A INPUT -s 209.132.196.83/32 -j DROP
[1644:54252] -A INPUT -s 184.12.220.192/32 -j DROP
[14146:466818] -A INPUT -s 175.136.125.117/32 -j DROP
[1183:39039] -A INPUT -s 71.251.148.92/32 -j DROP
[953:31449] -A INPUT -s 96.229.253.83/32 -j DROP
[1123:37059] -A INPUT -s 108.0.82.244/32 -j DROP
[0:0] -A INPUT -s 24.36.105.128/32 -j DROP
[300:9900] -A INPUT -s 74.46.30.247/32 -j DROP
[2403:79299] -A INPUT -s 76.116.164.224/32 -j DROP
[400:13200] -A INPUT -s 201.229.46.82/32 -j DROP
[0:0] -A INPUT -s 76.169.177.4/32 -j DROP
[2396:79068] -A INPUT -s 98.201.13.200/32 -j DROP
[1739:57387] -A INPUT -s 67.131.56.250/32 -j DROP
[0:0] -A INPUT -s 63.141.17.49/32 -j DROP
[0:0] -A INPUT -s 208.88.242.176/32 -j DROP
[5666:186978] -A INPUT -s 112.137.162.74/32 -j DROP
[464:39747] -A INPUT -s 203.217.24.164/32 -j DROP
[3249:107217] -A INPUT -s 219.92.134.149/32 -j DROP
[0:0] -A INPUT -s 69.170.72.167/32 -j DROP
[35155:1160115] -A INPUT -s 64.120.22.141/32 -j DROP
[32543:1073919] -A INPUT -s 94.23.6.53/32 -j DROP
[0:0] -A INPUT -s 69.162.87.147/32 -j DROP
[800:26400] -A INPUT -s 75.7.199.112/32 -j DROP
[100:3300] -A INPUT -s 71.175.93.216/32 -j DROP
[2172:71676] -A INPUT -s 101.103.130.39/32 -j DROP
[98:3234] -A INPUT -s 69.242.173.215/32 -j DROP
[905:29865] -A INPUT -s 24.127.162.234/32 -j DROP
[300:9900] -A INPUT -s 75.126.182.129/32 -j DROP
[599:19767] -A INPUT -s 74.72.246.243/32 -j DROP
[1358:44814] -A INPUT -s 99.195.5.173/32 -j DROP
[651:21483] -A INPUT -s 24.189.77.247/32 -j DROP
[7:231] -A INPUT -s 74.91.123.255/32 -j DROP
[826:27258] -A INPUT -s 178.63.40.202/32 -j DROP
[0:0] -A INPUT -s 74.137.170.53/32 -j DROP
[100:3300] -A INPUT -s 184.106.193.4/32 -j DROP
[2041:67353] -A INPUT -s 99.195.31.188/32 -j DROP
[1000:33000] -A INPUT -s 174.44.198.207/32 -j DROP
[5008:165264] -A INPUT -s 198.15.70.83/32 -j DROP
[11269:371877] -A INPUT -s 85.17.169.205/32 -j DROP
[346:11418] -A INPUT -s 50.138.27.94/32 -j DROP
[0:0] -A INPUT -s 174.17.45.68/32 -j DROP
[1000:33000] -A INPUT -s 69.140.46.174/32 -j DROP
[1408:46464] -A INPUT -s 70.176.95.145/32 -j DROP
[95:3135] -A INPUT -s 98.243.209.163/32 -j DROP
[13522:446226] -A INPUT -s 223.25.244.205/32 -j DROP
[500:16500] -A INPUT -s 99.53.242.157/32 -j DROP
[0:0] -A INPUT -s 69.141.192.187/32 -j DROP
[1959:82023] -A INPUT -s 112.137.162.77/32 -j DROP
[49:1617] -A INPUT -s 67.171.226.100/32 -j DROP
[389:12837] -A INPUT -s 99.103.6.81/32 -j DROP
[0:0] -A INPUT -s 90.191.234.69/32 -j DROP


yy.gif
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя Sonic2790
сообщение 4.8.2012, 12:13
Сообщение #273


Стаж: 18 лет

Сообщений: 236
Благодарностей: 38
Полезность: 142

dehost, Фортиму параллельно на эти проблемы. Общался с ними по телефону, ответ: Это ваши проблемы. Вас просто кто то пытается досить :D
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
Поблагодарили 1 раз
   + Цитировать сообщение
Статус пользователя dehost
сообщение 4.8.2012, 12:15
Сообщение #274


Стаж: 13 лет

Сообщений: 3147
Благодарностей: 1431
Полезность: 486

Цитата(Sonic2790 @ 4.8.2012, 13:13) *
dehost, Фортиму параллельно на эти проблемы. Общался с ними по телефону, ответ: Это ваши проблемы. Вас просто кто то пытается досить :D


будем ждать лекарство от этой беды.


Золотое правило нравственности:
"Относись к людям так, как хочешь, чтобы относились к тебе."
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
Поблагодарили 1 раз
   + Цитировать сообщение
Статус пользователя jesuspunk
сообщение 4.8.2012, 12:17
Сообщение #275


Стаж: 15 лет

Сообщений: 1120
Благодарностей: 839
Полезность: 816

JJS007,
на данный момент все порты те что атакуют, конечно 1000,3000, 2010, 9355, 7786, 7788, 8080 - очень маленький трафик по сравнению с 80, 3074, 10101 но это у меня.

з.ы. 53 тоже был в меньшинстве и это не запросы, а именно флуд.

Отредактировал: jesuspunk, - 4.8.2012, 12:26
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
Поблагодарили 1 раз
   + Цитировать сообщение
Статус пользователя Dinamic
сообщение 4.8.2012, 12:18
Сообщение #276
Стаж: 14 лет

Сообщений: 16
Благодарностей: 1
Полезность: 0

Цитата(jesuspunk @ 4.8.2012, 12:41) *
все таки 53 порт не нужно отключать на нем DNS )

так что мое правило отменяем iptables -D и текст далее начиная с INPUT, и лучше:

Код
iptables -I INPUT -p udp -m multiport --source-port 3074,80,7786,10101,8080,7777,7788,1000,3000,9355,2010 -j DROP


ИМХО лучшее решение
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя JJS007
сообщение 4.8.2012, 12:23
Сообщение #277
Стаж: 15 лет

Сообщений: 233
Благодарностей: 52
Полезность: 187

fast_inject,
Блокировать через Iptables хосты - это, на мой взгяд, не совсем правильное решение... Потратите много времени.

Цитата(mazdan @ 4.8.2012, 12:54) *
1. дампы трафика (хотя вон я выложил XML, никто же и не смотрел, да JJS007)

Там в основном 7777 порт.

Отредактировал: JJS007, - 4.8.2012, 12:29
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя Grape Fruit
сообщение 4.8.2012, 12:33
Сообщение #278


Стаж: 16 лет

Сообщений: 505
Благодарностей: 286
Полезность: 802

Блочить хосты реально нет смысла, так как их сотни и все из разных подсетей. Но блокировка всех портов, с которых идет флуд, у меня уже начала затруднять проход обычных пакетов. Например сервис ssh принимает пароль и дает добро на передачу файлов по 20 секунд. Т.е. пакеты либо теряются, либо так тормозятся.

Видел где-то правило от Fire, которая чекает логи dproto и банит по ipt. Раньше я не обращал на него внимания, но сейчас он имхо очень даже эффективно.

А...ну, и по ходу все эти ip - зараженные сервера через ту самую уязвимость в engine, что отфиксили в версии 5758. Тем, кто не апдейтился, советую почекать свою машину на предмет причастности к ботнету. Авось флудите кого))
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
Поблагодарили 1 раз
   + Цитировать сообщение
Статус пользователя r0ma1992
сообщение 4.8.2012, 12:37
Сообщение #279
Стаж: 15 лет

Сообщений: 49
Благодарностей: 5
Полезность: 67

щас еще 5555 порт
хм, уже нет

Отредактировал: r0ma1992, - 4.8.2012, 12:39
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
underwoker
сообщение 4.8.2012, 12:40
Сообщение #280
Стаж: 56 лет


Благодарностей:

Цитата(Grape Fruit @ 4.8.2012, 12:33) *
Тем, кто не апдейтился, советую почекать свою машину на предмет причастности к ботнету. Авось флудите кого))

Как? blush2.gif
Перейти в начало страницы     
   +
« Предыдущая тема · Защита Игрового сервера · Следующая тема »
 
38 страниц V  « 13 14 15 ... 36 37 »
 		 Тема закрытаНачать новую тему
 
0 пользователей и 1 гостей читают эту тему:
Режим отображения: Стандартный · Переключить на: Линейный · Переключить на: Древовидный
Сообщить другу · Версия для печати

Powered By Invision Power Board  © 2005-2026 
Counter Strike Support Community