ЗАКРЫТЬ
Правила форума Гаранты форума
Размещение рекламы AMX-X компилятор

Здравствуйте, гость Вход | Регистрация

Наши новости:

02-дек
17-апр
30-дек
29-дек

> Важная информация

Перед тем как создать тему или задать вопрос, ознакомьтесь с данной темой, там собраны наиболее распространенные уязвимости и способы устранения.
Так же не поленитесь воспользоваться поиском, вполне возможно, что ваш вопрос уже поднимался на форуме.
При создании новой темы уделите внимание ее названию, оно должно кратко описывать суть вашего вопроса/проблемы. Все вновь созданные темы с названиями "Помогите", "Объясните", "Подскажите" и т.д. будут удалены, а их авторы наказаны.
3 страниц V   1 2 »
Раскрутка Counter-Strike 1.6

HLDS Amplification

, iptables наше все.
Статус пользователя Fire
сообщение 9.1.2015, 21:56
Сообщение #1


Иконка группы

Стаж: 10 лет

Сообщений: 2192
Благодарностей: 2207
Полезность: 957

Вкратце что такое hlds амплификация писал тут:
https://c-s.net.ua/forum/topic37395s4100.html#entry709575
Небольшая картика в тему:
Скрытый текст
Прикрепленное изображение


Собсно, в этой теме отпишу пару вариантов (фатальных и не очень) борьбы с этой дрянью на уровне iptables'a.
1) Не фаталити, простая блокировка входящих пакетов при превышении их лимиты для ипов из /24 сети, без банана sip.
Код
iptables -A INPUT -p udp -m udp --dport 27015:28015 -m string --algo kmp --hex-string "|FF FF FF FF 54|" -m connlimit --connlimit-above 20 -j DROP

2) Слегка фатальный вариант, с бананом ипов.
Код
iptables -A INPUT -p udp -m udp --dport 27015:27100 -m string --algo kmp --hex-string "|FF FF FF FF 54|" -m recent --name sampf --update --seconds 30 --hitcount 15 -j REJECT
iptables -A INPUT -p udp -m udp --dport 27015:27100 -m string --algo kmp --hex-string "|FF FF FF FF 54|" -m recent --name sampf --set -j ACCEPT

Залипнуть в список забаненных можно так:
Код
cat /proc/net/xt_recent/sampf

3) Фаталити, считаем по 24 маске.
Код
iptables -A INPUT -p udp -m udp --dport 27015:27100 -m recent --set --name BLOCK --rsource -j REJECT
iptables -A INPUT -p udp -m udp --dport 27015:27100 -m string --algo kmp --hex-string "|FF FF FF FF 54|" -m connlimit --connlimit-above 60 --connlimit-mask 24 -m recent --set --name BLOCK --rsource -j REJECT

Залипнуть в список забаненных можно так:
Код
cat /proc/net/xt_recent/BLOCK

4) Варианты для любителей хардкора, или тех, кто любит "по факту".
Запиливаем на сервер conntrack
Код
apt-get install -y conntrack

Смотрим кто, чего и сколько:
Код
conntrack -L |awk '{if ($5 ~ /src/) print $5; else if ($4 ~ /src/) print $4}' | sed "s/src=/ /g" | sort | uniq -c | sort -n | tail -n50

Самых отбитых бананим. пысы, больше всего коннектор будет на вашем ипе, не забананьте его)
Так-же накатал тузлу для поиска сетей (сортировка Хоара crazy.gif )
Прикрепленный файл  mnet.zip ( 6,1 килобайт ) Кол-во скачиваний: 216


Раззипиваем, делаем chmod +x mnet
Херачим список ипов в файл:
Код
conntrack -L |awk '{if ($5 ~ /src/) print $5; else if ($4 ~ /src/) print $4}' | sed "s/src=/ /g" | sort | uniq -c | sort -n |tail -n50 | grep -Eo '([0-9]{1,3}\.){3}[0-9]{1,3}' > /root/ips.txt

И запускаем тузлу
Код
./mnet -f 24 5 /root/ips.txt

Где 24 - префикс сети, 5 -кол. ипов для бана сети
Выплюнет примерно такое:
Код
Add: 62.213.106.0/24 <=2
  Del: 62.213.106.144
  Del: 62.213.106.175

Кого забанить, кого разбанить.
Ну и создадуться логи, соотвественные. Далее можете бананить сети.
пысы\\ тузла скомпилена под x86_64
Исходик дам проверенным.
пысы\\ мог где-то накосячить, сплю ужо.



Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
Поблагодарили 18 раз
   Цитировать сообщение
Статус пользователя [WPMG]PRoSToTeM@
сообщение 9.1.2015, 22:04
Сообщение #2
Стаж: 7 лет 4 месяца

Сообщений: 1514
Благодарностей: 1025
Полезность: 725

Сколько сколько ты там множитель насчитал?
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя Metal Messiah
сообщение 9.1.2015, 22:09
Сообщение #3


Стаж: 7 лет 4 месяца

Сообщений: 1464
Благодарностей: 1018
Полезность: 1023

HostGame.cf
Не считаю амплификацию TSourceEngineQuery чем-либо существенным.
Если у Вас не VPS с лимитом 150GB траффа в месяц то париться не стоит.
Нагрузка на CPU не существенна, на сеть тем более.

P.S. я не понимаю как вообще пакеты без правильной CRC до сих пор выходят за пределы LAN? я этим баловался году так в 2008, проверял нескольких провайдеров включая универ - ни один из них пакет не выпустил.

Отредактировал: Metal Messiah, - 9.1.2015, 22:11


Полезные публикации - ссылки у меня в профиле. Ссылка на плагин против спама на сервере StopServerSpam там же.
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя [WPMG]PRoSToTeM@
сообщение 9.1.2015, 22:12
Сообщение #4
Стаж: 7 лет 4 месяца

Сообщений: 1514
Благодарностей: 1025
Полезность: 725

По сути больше проблем возникает из-за спуфинга, чем именно из-за самой амплификации. Т.е. если спуфить будут какие-то другие пакеты (от которых выгоды 0 по сути), то у определённой части народа всё равно проблемы будут.
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя Fire
сообщение 9.1.2015, 22:21
Сообщение #5


Иконка группы

Стаж: 10 лет

Сообщений: 2192
Благодарностей: 2207
Полезность: 957

Цитата(Metal Messiah @ 9.1.2015, 23:09) *
Не считаю амплификацию TSourceEngineQuery чем-либо существенным.
Если у Вас не VPS с лимитом 150GB траффа в месяц то париться не стоит.
Нагрузка на CPU не существенна, на сеть тем более.

P.S. я не понимаю как вообще пакеты без правильной CRC до сих пор выходят за пределы LAN? я этим баловался году так в 2008, проверял нескольких провайдеров включая универ - ни один из них пакет не выпустил.

Проблема в том, что из-за овер$%#я спуф. ипов начинаются висяки на серверах и забитие таблиц conntrack


Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя Metal Messiah
сообщение 9.1.2015, 22:23
Сообщение #6


Стаж: 7 лет 4 месяца

Сообщений: 1464
Благодарностей: 1018
Полезность: 1023

HostGame.cf
Стоп, какие нафиг таблицы если до успешной передачи challenge сервер пальцем не пошевелит?

А.. сервер в смысле машина а не HLDS?

Отредактировал: Metal Messiah, - 9.1.2015, 22:24


Полезные публикации - ссылки у меня в профиле. Ссылка на плагин против спама на сервере StopServerSpam там же.
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя Fire
сообщение 9.1.2015, 22:26
Сообщение #7


Иконка группы

Стаж: 10 лет

Сообщений: 2192
Благодарностей: 2207
Полезность: 957

Цитата(Metal Messiah @ 9.1.2015, 23:23) *
А.. сервер в смысле машина а не HLDS?

Именно.
nf_conntrack: table full, dropping packet


Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя Metal Messiah
сообщение 9.1.2015, 22:32
Сообщение #8


Стаж: 7 лет 4 месяца

Сообщений: 1464
Благодарностей: 1018
Полезность: 1023

HostGame.cf
Ну с переполнением таблиц предлагают бороться увеличив лимиты:
_ttp://www.stableit.ru/2010/01/nfconntrack-table-full-dropping-packet.html

Вообще ни разу с таким не сталкивался потому не в теме.
По стате своих машин ничего аномального не нашел, только рост нагрузки пропорционально росту онлайна на игровых серверах
Хотя на одном недельку назад был ооочень мощный всплеск eth0 - видимо DDoS который я не заметил :)

Отредактировал: Metal Messiah, - 9.1.2015, 22:33


Полезные публикации - ссылки у меня в профиле. Ссылка на плагин против спама на сервере StopServerSpam там же.
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя Fire
сообщение 9.1.2015, 22:35
Сообщение #9


Иконка группы

Стаж: 10 лет

Сообщений: 2192
Благодарностей: 2207
Полезность: 957

Цитата(Metal Messiah @ 9.1.2015, 23:32) *
Ну с переполнением таблиц предлагают бороться увеличив лимиты:
_ttp://www.stableit.ru/2010/01/nfconntrack-table-full-dropping-packet.html

Вообще ни разу с таким не сталкивался потому не в теме.
По стате своих машин ничего аномального не нашел, только рост нагрузки пропорционально росту онлайна на игровых серверах
Хотя на одном недельку назад был ооочень мощный всплеск eth0 - видимо DDoS который я не заметил :)

Если эту дрянь не резать, может загадить сколько угодно, так что увеличение лимитов не особо спасет.


Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя berq
сообщение 9.1.2015, 22:40
Сообщение #10
Стаж: 10 лет

Сообщений: 181
Благодарностей: 628
Полезность: 3719

Выключите вы уже этот контрак для удп и спите спокойно
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя Metal Messiah
сообщение 9.1.2015, 23:06
Сообщение #11


Стаж: 7 лет 4 месяца

Сообщений: 1464
Благодарностей: 1018
Полезность: 1023

HostGame.cf
Ну если уже так то можно отключить iptables. Только тогда прийдется проверить доступность портов и ограничить доступ по IP/подсети ко всем сервисам.
Если будет DDoS в сколько-то гигабит то что с iptables что без него - накроет :)


Полезные публикации - ссылки у меня в профиле. Ссылка на плагин против спама на сервере StopServerSpam там же.
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя [WPMG]PRoSToTeM@
сообщение 9.1.2015, 23:32
Сообщение #12
Стаж: 7 лет 4 месяца

Сообщений: 1514
Благодарностей: 1025
Полезность: 725

Сорсовый A2S_INFO (т.е. ансвертайп 0) даёт множитель где-то 2.1-2.8 (зависит от размера названия сервера и названия игры в байтах).

Отредактировал: [WPMG]PRoSToTeM@, - 9.1.2015, 23:33
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя PREDATOREX
сообщение 9.1.2015, 23:40
Сообщение #13


Стаж: 10 лет

Сообщений: 825
Благодарностей: 605
Полезность: 671

serveroc.com.ua
Чё т понять не могу, атака есть вроде бы

правил ни каких нет и нет ни каких проблем, сервера не виснут. А бывает те же самые айпи только в количестве меньше и сервера виснут



Прикрепленные файлы:
Прикрепленное изображение
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя WarDeN4ik
сообщение 10.1.2015, 8:00
Сообщение #14


Стаж: 6 лет 3 месяца

Сообщений: 449
Благодарностей: 142
Полезность: 491

У меня после такого комбо:
Цитата
3) Фаталити, считаем по 24 маске.
Код
iptables -A INPUT -p udp -m udp --dport 27015:27100 -m recent --set --name BLOCK --rsource -j REJECT
iptables -A INPUT -p udp -m udp --dport 27015:27100 -m string --algo kmp --hex-string "|FF FF FF FF 54|" -m connlimit --connlimit-above 60 --connlimit-mask 24 -m recent --set --name BLOCK --rsource -j REJECT

Фаталити получили все игроки находящиеся на hlds серверах и сами hlds серверы перестал быть видны в интернете (в поиске ).
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя PREDATOREX
сообщение 10.1.2015, 8:37
Сообщение #15


Стаж: 10 лет

Сообщений: 825
Благодарностей: 605
Полезность: 671

serveroc.com.ua
Цитата(WarDeN4ik @ 10.1.2015, 8:00) *
У меня после такого комбо:

Фаталити получили все игроки находящиеся на hlds серверах и сами hlds серверы перестал быть видны в интернете (в поиске ).


не один ты в поле кувыркался.
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя Fire
сообщение 10.1.2015, 10:25
Сообщение #16


Иконка группы

Стаж: 10 лет

Сообщений: 2192
Благодарностей: 2207
Полезность: 957

Универсального решерия не существует, подбирайте лимиты, ип серверов в. ACCEPT


Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя wolf1987
сообщение 10.1.2015, 22:40
Сообщение #17


Стаж: 5 лет 2 месяца

Сообщений: 21
Благодарностей: 4
Полезность: 145

Thank you, good job. clapping.gif

I'm using all this, it is recommended?

Код:

iptables -A INPUT -p udp -m udp -m string --algo kmp --hex-string "|FF FF FF FF 54|" -m connlimit --connlimit-above 20 -j DROP

iptables -A INPUT -p udp -m udp -m string --algo kmp --hex-string "|FF FF FF FF 54|" -m recent --name sampf --update --seconds 30 --hitcount 15 -j REJECT

iptables -A INPUT -p udp -m udp -m string --algo kmp --hex-string "|FF FF FF FF 54|" -m recent --name sampf --set -j ACCEPT

iptables -A INPUT -p udp -m udp -m recent --set --name BLOCK --rsource -j REJECT

iptables -A INPUT -p udp -m udp -m string --algo kmp --hex-string "|FF FF FF FF 54|" -m connlimit --connlimit-above 60 --connlimit-mask 24 -m recent --set --name BLOCK --rsource -j REJECT



ReHLDS 3.0.0.412, ReGameDLL 5.1.0.176, AMXX 1.8.2, MetaMod 1.21p37, Reunion 0.1.75
Ubuntu 12.04.5LTS, Kernel 3.2.0-lowlatency, CPU i3-2130 3.40GHz, RAM DDR3 8GB, HDD 1TB, Net 100Mbps
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя shaid
сообщение 11.1.2015, 4:30
Сообщение #18


Стаж: 7 лет 8 месяцев

Сообщений: 1006
Благодарностей: 428
Полезность: 833

wolf1987, смертник)
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя coolman
сообщение 13.1.2015, 13:09
Сообщение #19


Стаж: 12 лет
Город: Екатеринбург

Сообщений: 1220
Благодарностей: 217
Полезность: 148

заносить все ip в recent, а потом делать над ними какие-то проверки я считаю не правильными правилами )))
не лучше ли туда заносить только нарушителей и если они есть в том списке дропать все пакеты ихние?

Отредактировал: coolman, - 13.1.2015, 14:15
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
Поблагодарили 1 раз
   + Цитировать сообщение
Статус пользователя wolf1987
сообщение 23.1.2015, 14:31
Сообщение #20


Стаж: 5 лет 2 месяца

Сообщений: 21
Благодарностей: 4
Полезность: 145

It is good to use this rule? To prevent attack my server to other servers.

Код
iptables -A OUTPUT -p udp -m state --state NEW -j ACCEPT
iptables -A OUTPUT -p udp -m limit --limit 1000/s -j ACCEPT
iptables -A OUTPUT -p udp -j DROP


ReHLDS 3.0.0.412, ReGameDLL 5.1.0.176, AMXX 1.8.2, MetaMod 1.21p37, Reunion 0.1.75
Ubuntu 12.04.5LTS, Kernel 3.2.0-lowlatency, CPU i3-2130 3.40GHz, RAM DDR3 8GB, HDD 1TB, Net 100Mbps
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
3 страниц V   1 2 »
 
Ответить в данную темуНачать новую тему
 
0 пользователей и 1 гостей читают эту тему: