Флуд с европейских IP (traffic temporary blocked from)

5 страниц назад просил опубликовать выжимку темы в самом начале и закрыть ее. админы тоже не читают.

Ребята,

Я так понял, больше половины отписывающихся в этом топике вообще не понимают что щас происходит.
Попробую разъяснить.

1. Есть такой метод DDoS называемый Reflected DDoS. Это когда злоумышленник отправляет пакеты с подмененным исходным ИП адресом на абсолютно левые сервера (в данном случае - кс). Сервер обрабатывает эти пакеты и отсылает ответы по подмененныму злоумышленником адресу. Профит для злоумышленника в том, что запрос он отсылает относительно небольшой (60 байт), а ответ генерируется значительно более длинный (около двух килобайт в нашем конкретном случае). То есть, на каждые 60 байт посланные злоумышленником, жертве прилетает около 2000 байт.
2. Какие-то злодеи сейчас как раз юзают кс сервера для Reflected DDoS.
3. На серверах, где стоит дпрото, это отражается в виде сообщений "Traffic temporary blocked from...".
4. Если вы видите эти сообщения, это не значит что ддосят ВАС. Это значит что ваш сервер используют для усиления атаки на кого-то там. На работоспособности сервера это вообще никак не сказывается.
5. Новая версия дпрото фиксит возможность усиления атаки. Сообщения "Traffic temporary blocked from" никуда не пропадут и не должны пропадать, но ваш сервер перестанет быть точкой усиления атаки.

А если допустим сделать такое вот.
Тем кто на линуксе, устанавливаем iptables + geoip
баним абсолютно все страны, оставляем в действие ну стран, с штук 5, типа те, какие к вам поближе, Украина, Россия, Белорусь, Казахстан.... Какой шанс того, что именно с этих стран идёт аттака, так как не понятно, прикрывающие ип адреса других стран, есть поддмеными с их страр или с тех, которые мы оставляем. Смысл держать открытыми сервера для других европейских стран, подумав логичней, мы избавляемя от лагеров и от флуда, если он европейский конечно чисто.
Если увидев, то что флуд проходит, значит источник флуда, не европа, а кто то из этой пятёрки открытых стран. Кто может проверить инфу ?

вроде Crock все написал выше ( ип не настоящие а жертв, будет оплачен заказ на Русский или другой старны СНГ будет и он писаться.

да если блокировать ip стран в консоле не будет сообщений, но трафик к тебе будет идти.

дело в том, что у меня канал в 1 гиг, просто hlds не приятно его ловить, а задача блокировать на уровне машины, чтоб до игрового сервера траф не доходил. просто забанив все страны, мы сможем увидить источник страны этой гадости, даже не смотря на то прикрывается флуд другой подсетью или нет.

Специально для желающих банить ипшники и пытающихся установить источник флуда:
1. RTFM
2. Адреса, которые вы видите в логах, это адреса жертв, на которых как раз дидос и валится.

Shur1k_ua,
Предлагал такой вариант как Вы описали

Теоретически еще можно отфильтравать трафик этих пакетов но фильтрануть не по айпи а по мак адресу .
У меня вопрос - Будет виден же мак адрес управляешей машины ботнета ?
+ попробовать собрать базу этих мак адресов и оградить их с помощью iptables например .

jesuspunk,
Поидее мы заблочим же лишние страны ( трафик то будет доходить )
Но гдето тут на форуме видел инфу что создается нагрузка на hlds сервер если идут пакеты к нему флуда а так мы их обрежим до сервера .
Я то думаю что в снг все обновят дпрото на новое и в нутри наших стран с помошью кс серверов эту сеть ботов не построишь .
Вариант ?

Это будет мак адрес роутера, через который ваша машина выходит в инет.
Читать тут про канальный (2) и сетевой (3) уровни.

//UPD:
Самая идея отлавливания гада по мак-адресу правильная, вот только мак адреса юзаются для доставки пакетиков внутри одного сегмента сети. Далее юзаются протоколы более высокого уровня, поддерживающие гибкую маршрутизацию (это я про IP). Проблема в том, что оператор связи может отследить маршрут пакетов только внутри своей сети. Дальше уже не его зона ответственности (и доступа к оборудованию нет). Соответственно, чтобы отследить весь маршрут пакета и определить его реальный источник, потребуется взаимодействие всех операторв, через сети которых этот пакет прошел. Хз, возможно ли это.

Обновил первое сообщение этой темы, спасибо berq
Позже обновлю тему Защита CS сервера https://c-s.net.ua/forum/topic37395.html

Всем ку , читаю ветку полностью , ось linux ubuntu server 11.10 . Не могу добавить это правило для iptables Делал так
. Ставил 1 в списке не помогло , что я не так сделал ? Да кстате обновил DPROTO давно ждал его обновления рад что здесь еще есть люди знающие крока ))

Я правильно понял, если допустим мой серв не атакуют этим флудом у меня стоит чистый серв. А вот у кого то есть сервак с максимальным онлайном 1-3 чел в сутки, и он под действием этого флуда, и если поставить редирект сервера, на мой чистый. Атака останется в силе на тот серв, или уже перейдёт на мой как переадресация пакетов ?

Shur1k_ua,
переадресация пакетов не делается переадресацией игроков плагином

Между прочим, это хорошая схема защиты. Подумывал о ней уже давно. Ставите два сервера: редирект (на основном порту) + рабочий (на левом порту). На рабочем ставите пароль и скрываете его полностью из поисковиков, мониторингов, сетмастеров и блочите выдачу информации иптаблесом. На редиректе берете зеркальную информацию с рабочего сервера и ставите плагин редиректа (отправляя игрокам пароль с рабочего сервера, который можно синхронно рандомить). Профит - все флудеры автоматически отпадают. При ддосе редирект сервера, рабочий сервер продолжает своё существование в штатном режиме (при условии, что он находится на другом аплинке или дэдике).

У меня закончилось всё изза того, когда я включил брандмауэр и закрыл все порты и открыл через исключение. (для win32)
после этого сервера перестали падать, меньше лагают и чтоб начать флудить, нужны более новее версии флудов.
ну это на мой взгляд, мб у когот ещё получится.

А смысл в редиректах? таким же успехом нормальный ддосер получит айпи оригинального сервера и будет засорять именно его. Обычный траффиковый прокси не лучше будет?

При такой системе ты можешь менять локацию игрового сервера в любой момент. Это как минимум. Собственно основной смысл - это защититься от всяких флудеров и левого хлама/трафика. Безусловно, если за тебя возьмутся серьезные кексы, то здесь уже ни что не поможет.

На винду защиту ещё не придумали ? А то у меня с 5-ти IP - ов флуд идёт . Сервер на винде пока .



И вот ещё .

Не знаю поможет ли вам это, но на винде запилил касперского, Сообщения dproto сначала уменьшились, потом вообще пропали...

Чем он блокирует?
Или может просто забили на север?

не знаю как он блокирует, но онлайн у меня упал очень качественно.
скорей всего забили