HLDS Amplification

А по теме.

То что так феерически стали называть Амплификатион, называется Рефлекторная Атака.
Для борьбы с которым само вальве более пяти лет назад ввела несколько серверных кваров:

max_queries_sec
max_queries_sec_global
max_queries_window

В итоге что выходит=

Время для всех запросов.
Общий объём запросов.
Количество запросов с одного IP.

Что думаю не так сложно настроить под себя.









Что-бы такого не было, уменьшаем таймауты udp до 10, вместо 300 и выше, которые обычно по дефолту там красуются.

receptor, а откуда столько уверенности в вашем неверном пользовании терминами?

А с чего вы взяли что я их неверно использую?
Вероятно вы даже и не поняли о чём я писал.

receptor, конечно, куда мне, половина ссылок про рефлекторную атаку ведет на медицинские сайты, а я со своим инженерным образованием там мало чего понимаю.

Откуда сведения что это "Рефлекторная Атака" ?
И про то что это не атака с усилением ( https://en.wikipedia.org/wiki/Denial-of-ser..._spoofed_attack )
Если атака на сам сервер, то это спуф, а если валят какую-то сетку (не сам сервер), то это reflection с amplification и соответственно amplification как подкласс

Ну потому что отражение с усилением, именно так и называется.

https://en.wikipedia.org/wiki/Denial-of-service_attack

Более пяти лет назад клапан мог нормальный протокол запилить, чтобы для амплификации не было возможности. Как вариант, специально дополнять пакет запроса до определённого размера (естественно с проверкой на сервере). Но все беды с амплификацией в основном идут от поддержки старого протокола запроса инфы, сервербраузера ревему с багом (ну блин все могли уже давно обновить в клиенте чёртов сервербраузер, но лучше же бездумно плодить ещё больше всяких клиентов контры и сайтов для их скачки, тем более, что в определённую часть клиентов вшит автоапдейтер), всяких кривых php скриптов, которые нифига непродуманы для обработки всяких ситуаций, а также скриптов, которые умудряются по "2 раза за раз" опрашивать сервер.


Тогда естественно sv_timeout больше 10 не будет иметь смысла.

Ну потому что отражение с усилением, именно так и называется.

https://en.wikipedia.org/wiki/Denial-of-service_attack



Подкласс чего?)
Application-level floods ?

Та же хрень, только сбоку.
Или флудом заливается сам сервак, или отражённо идёт к нужной цели.

Понятно что amplification банальное усиление.
Но как тут уже многие пишут - "HLDS сервер подвергается amplification" .
Чего подвергается, куда подвергается. Это у меня с терминологией плохо?)

Правильно же в данном случае, было бы написать Reflected amplification если уж на то пошло.
Но факт остаётся фактом, это отражённая атака.


ПС, пока добавлял отрубилось редактирование.
Удалите плз верхнее.

Если сказать что атака с отражением = рефлекторная (reflected = отраженная), то с отражением и усилением термин amplification прекрасно подходит. Не понятно теперь только почему мы что-то выдумали, а вы дартаньян.
Ваш пост будет 199 в поиске у гугла. Может я под ваше Рефлекторная неверное слово подобрал в английском, конечно. Но вы amplification даже и не старались переводить.

Не, я не про него.

net.ipv4.netfilter.ip_conntrack_udp_timeout
net.ipv4.netfilter.ip_conntrack_udp_timeout_stream
net.netfilter.nf_conntrack_udp_timeout
net.netfilter.nf_conntrack_udp_timeout_stream

На старых ядрах там безбашенные значения, тупо висят, жрут память, и новым не дают создастся.





http://www.ripn.net/articles/DDoS/
Эт не я к сожалению, придумал)

Многие её именно так и называют.
и если вы обратили внимание, то я использовал с самого начала, и рефлекторная и отражённая.
Что по сути одно и тоже.

что же тогда не рефлективному аплификатиону? Ладно, считаю, что вы признали что не правы были. Просто не понятен был наезд на пользователей.

receptor, да, я статью видел, она там первая среди 198.
Но она не очень тянет на доверенный источник. И я не понял что в после удалить надо

Та нет, я не был не прав.
И вообщем-то это уже и доказал.

Никаких наездов не было, перечитайте внимательно.
Режет глаза и слух HLDS Amplification, как собственно и название топика, на что и указал.
Более ничего.
Всё остальное ваше самомнение, и воображение.

Так будет правильней, для ядер >2.6
Да и до 10 это перебор. я бы посоветовал 60 и 120

Почему?
Сам протокол ничего не отлавливает, пришло - ушло - байбай.
Всё происходит на стороне приложений. Потерялся пакет, приложение шлёт запрос на повтор, ну или вообще не шлёт, потерялся и потерялся.

Ну и по таймауту он будет обрывать если сессия висит без дела.
Если же о HLDS говорить, то ему что 10 , что 60 секунд обрыва. Рассинхронизация более 5 секунд и обычно это вылет.

именно и есть усиление атаки с помощью hlds сервера (hlds amplification factor это который quake в табличке вики). Для того чтобы защитить свой сервер от того чтобы его использовали как усиление для атаки (попутно его нагружая) и есть эта тема.

hlds amplification factor на табличке это количество обратного (паразитного) трафика. Которая разумеется может быть только отражённой.

Если же это просто флуд на HLDS сервер, а мы в данном случае считаем что это не ботнет на 100к машин и отсылающий один - два пакета в минуту, а приличный трафик с небольшого количества IP
адресов, то это абсолютно не имеет значения, сам dproto по PPS заткнёт этот трафик.

Относительно кваров max_queries_sec ,max_queries_sec_global ,max_queries_window на билдах 6х и паникой с этой вашей амплификацией
И почему билды 4х и ранние 5х этой фигне абсолютно не подвержены?
Да потому что там нет ограничений, льётся себе трафик и льётся, и сервера из избранного и мониторингов не пропадают.
Тут же нужно подкручивать, или вообще снимать ограничения.

Открою так же вам большой секрет.
Любое сетевое приложение можно заставить отсылать обратно трафика больше чем оно приняло.
Весь интернет погряз в амплификации, панику подымать и конец света объявлять?

Из чего выходит что само понятие амплификация довольно эфемерно, и приравнивать его к каким либо атакам (так же называть методом атаки) бессмысленно.

Амплификация это не только отослал 2 байта и ждешь ответ в 10, суть в том что еще и спуф есть.На форуме все разбирают мол как не дать положить свой сервер, но как бы эта штука немного для другого создана.К примеру отослать по 20 байт на 5к серверов кс, подменить ип сервера со спуфом на ип жертвы.

Напишите пожалуйста, я в этом вопросе просто нуб, куда прописывать эти строки вообще?

1) Не фаталити, простая блокировка входящих пакетов при превышении их лимиты для ипов из /24 сети, без банана sip.
Код
iptables -A INPUT -p udp -m udp --dport 27015:28015 -m string --algo kmp --hex-string "|FF FF FF FF 54|" -m connlimit --connlimit-above 20 -j DROP

Здравствуйте. Самое простое - это через клиент "putty" вставить данную строку. Только перед этим через рут Вам войти на Ваш VDS/выделенный сервер.

FF FF FF FF 54 уже научились гигабитами засылать. куда мир катится)