HLDS Amplification

Вкратце что такое hlds амплификация писал тут:
https://c-s.net.ua/forum/topic37395s4100.html#entry709575
Небольшая картика в тему:


Собсно, в этой теме отпишу пару вариантов (фатальных и не очень) борьбы с этой дрянью на уровне iptables'a.
1) Не фаталити, простая блокировка входящих пакетов при превышении их лимиты для ипов из /24 сети, без банана sip.

2) Слегка фатальный вариант, с бананом ипов.

Залипнуть в список забаненных можно так:

3) Фаталити, считаем по 24 маске.

Залипнуть в список забаненных можно так:

4) Варианты для любителей хардкора, или тех, кто любит "по факту".
Запиливаем на сервер conntrack

Смотрим кто, чего и сколько:

Самых отбитых бананим. пысы, больше всего коннектор будет на вашем ипе, не забананьте его)
Так-же накатал тузлу для поиска сетей (сортировка Хоара )
 mnet.zip ( 6,1 килобайт ) Кол-во скачиваний: 249


Раззипиваем, делаем chmod +x mnet
Херачим список ипов в файл:

И запускаем тузлу

Где 24 - префикс сети, 5 -кол. ипов для бана сети
Выплюнет примерно такое:

Кого забанить, кого разбанить.
Ну и создадуться логи, соотвественные. Далее можете бананить сети.
пысы\\ тузла скомпилена под x86_64
Исходик дам проверенным.
пысы\\ мог где-то накосячить, сплю ужо.

Сколько сколько ты там множитель насчитал?

Не считаю амплификацию TSourceEngineQuery чем-либо существенным.
Если у Вас не VPS с лимитом 150GB траффа в месяц то париться не стоит.
Нагрузка на CPU не существенна, на сеть тем более.

P.S. я не понимаю как вообще пакеты без правильной CRC до сих пор выходят за пределы LAN? я этим баловался году так в 2008, проверял нескольких провайдеров включая универ - ни один из них пакет не выпустил.

По сути больше проблем возникает из-за спуфинга, чем именно из-за самой амплификации. Т.е. если спуфить будут какие-то другие пакеты (от которых выгоды 0 по сути), то у определённой части народа всё равно проблемы будут.

Проблема в том, что из-за овер$%#я спуф. ипов начинаются висяки на серверах и забитие таблиц conntrack

Стоп, какие нафиг таблицы если до успешной передачи challenge сервер пальцем не пошевелит?

А.. сервер в смысле машина а не HLDS?

Именно.
nf_conntrack: table full, dropping packet

Ну с переполнением таблиц предлагают бороться увеличив лимиты:
_ttp://www.stableit.ru/2010/01/nfconntrack-table-full-dropping-packet.html

Вообще ни разу с таким не сталкивался потому не в теме.
По стате своих машин ничего аномального не нашел, только рост нагрузки пропорционально росту онлайна на игровых серверах
Хотя на одном недельку назад был ооочень мощный всплеск eth0 - видимо DDoS который я не заметил :)

Если эту дрянь не резать, может загадить сколько угодно, так что увеличение лимитов не особо спасет.

Выключите вы уже этот контрак для удп и спите спокойно

Ну если уже так то можно отключить iptables. Только тогда прийдется проверить доступность портов и ограничить доступ по IP/подсети ко всем сервисам.
Если будет DDoS в сколько-то гигабит то что с iptables что без него - накроет :)

Сорсовый A2S_INFO (т.е. ансвертайп 0) даёт множитель где-то 2.1-2.8 (зависит от размера названия сервера и названия игры в байтах).

Чё т понять не могу, атака есть вроде бы

правил ни каких нет и нет ни каких проблем, сервера не виснут. А бывает те же самые айпи только в количестве меньше и сервера виснут

У меня после такого комбо:

Фаталити получили все игроки находящиеся на hlds серверах и сами hlds серверы перестал быть видны в интернете (в поиске ).

не один ты в поле кувыркался.

Универсального решерия не существует, подбирайте лимиты, ип серверов в. ACCEPT

Thank you, good job.

I'm using all this, it is recommended?

Код:

iptables -A INPUT -p udp -m udp -m string --algo kmp --hex-string "|FF FF FF FF 54|" -m connlimit --connlimit-above 20 -j DROP

iptables -A INPUT -p udp -m udp -m string --algo kmp --hex-string "|FF FF FF FF 54|" -m recent --name sampf --update --seconds 30 --hitcount 15 -j REJECT

iptables -A INPUT -p udp -m udp -m string --algo kmp --hex-string "|FF FF FF FF 54|" -m recent --name sampf --set -j ACCEPT

iptables -A INPUT -p udp -m udp -m recent --set --name BLOCK --rsource -j REJECT

iptables -A INPUT -p udp -m udp -m string --algo kmp --hex-string "|FF FF FF FF 54|" -m connlimit --connlimit-above 60 --connlimit-mask 24 -m recent --set --name BLOCK --rsource -j REJECT

wolf1987, смертник)

заносить все ip в recent, а потом делать над ними какие-то проверки я считаю не правильными правилами )))
не лучше ли туда заносить только нарушителей и если они есть в том списке дропать все пакеты ихние?

It is good to use this rule? To prevent attack my server to other servers.