Сервер ест траффик

Это неверно.
Бот определяется как 11.22.33.44, хотя реально у него 44.33.22.11, сервер отвечает на 11.22.33.44 и только. Он не отвечает куда угодно. Он плюнет куда сказали и всё. С новым сервером и dproto по идее не плюнет (в ближайшие дни скажу чуть точнее)
Решение у вас не работает, может быть линеводы подскажут что там у вас не так :)

да, полное совпадение со здравым смыслом.
пакет уходит по подменному IP

P.S. оффтоп. Я сам программист и в школьные годы баловался с подменой исходящего IP у датаграм, даже удалось направить 2 echo друг на друга до зависания обоих компьютеров. Но, насколько я помню, в локальных сетях все подменяется на отличненько, а вот выпустить такой пакет в интернет не удавалось потому как он резался первым же провайдерским интерфейсом как некорректный или потерявшийся (и я это проверял на 3 разных провайдерах после чего забил на данную идею). Каким образом народу удается обходить эти фильтры - мне не понятно. Либо есть провайдеры, которые "не фильтруют базар" либо я чего-то не понимаю.

насколько я понимаю это режется для TCP пакета, а для UDP не режется и не проверяется. Ну видимо так (ну и от провайдера может зависит)

не, с TCP вообще не реально,там идет процедура подключения из 3 пакетов и если второй вернется на левый адрес подключение не установится. Остается только SYN FLOOD атаки.

А для UDP как раз то что я написал - проверить подлинность отправителя нельзя, пакет приходит от бота на сервер а отвечает сервер не боту а жертве. Но это в теории. Как оказалось на практике тоже работает. А вот у меня все попытки отправить левый пакет обрезались провайдером, хотя в пределах локальной сети все работало.

===========

итого:
1 сервак без игроков ел 200 kbit/s
2 сервака с 5 игроками в сумме - 700 kbit/s
2 сервера с 10 игроками в сумме + фейк сервер - 1416 kbit/s

проблема была в том что третий (фейк сервер) был со старым dproto и видимо ддосился нехило.
Посмотрим что будет вечером при большом онлайне, но уже уверен что до 2500 дело не дойдет.

судя по моим счетам проблема началась в 1 половине августа когда за неделю был съеден весь месячный траффик, в результате я 2 раза - в десятых и в самом конце августа докупал ресурсы

Metal Messiah,

Эт Вы за НАТом, может, были?


Большинство этого делать не будут.
Вопрос: а зачем?




А modprobe xt_string тож говорит, что нет такого?
Может ядро собрали без поддержки Xtables?
Или без CONFIG_NETFILTER_XT_MATCH_STRING :)

нет, у меня белый IP с тех пор как я ушел с DialUP. Просто до получателя собранный "вручную" пакет доходит только с реальным адресом отправителя. В случае подмены не доходит. Я тогда проверял 3 провайдера если я не ошибаюсь, ни от одного не доходил. Но давно это было, могу ошибаться, может и 2 а 3й только собирался.


вот затем чтобы не засоряли эфир


да мне пофиг уже без чего там что собрано - установленная ось гамно, на ней даже psychostats не пошел, при первой же возможности сменю на Debian. Но для этого надо остановить игровые сервера на сутки.