HLDS Amplification, iptables наше все. |
Здравствуйте, гость Вход | Регистрация
Наши новости:
|
|
HLDS Amplification, iptables наше все. |
receptor |
22.7.2015, 17:17
Сообщение
|
А по теме.
То что так феерически стали называть Амплификатион, называется Рефлекторная Атака. Для борьбы с которым само вальве более пяти лет назад ввела несколько серверных кваров: max_queries_sec max_queries_sec_global max_queries_window В итоге что выходит= Время для всех запросов. Общий объём запросов. Количество запросов с одного IP. Что думаю не так сложно настроить под себя. Проблема в том, что из-за овер$%#я спуф. ипов начинаются висяки на серверах и забитие таблиц conntrack Что-бы такого не было, уменьшаем таймауты udp до 10, вместо 300 и выше, которые обычно по дефолту там красуются.
Отредактировал: receptor, - 22.7.2015, 17:34
|
|
Поблагодарили 1 раз
|
|
mazdan |
22.7.2015, 18:08
Сообщение
|
|
Не пишите мне в ЛС. Пишите на почту. В ЛС я пропускаю сообщения.
|
|
|
receptor |
22.7.2015, 18:11
Сообщение
|
|
|
mazdan |
22.7.2015, 18:15
Сообщение
|
|
receptor, конечно, куда мне, половина ссылок про рефлекторную атаку ведет на медицинские сайты, а я со своим инженерным образованием там мало чего понимаю.
Откуда сведения что это "Рефлекторная Атака" ? И про то что это не атака с усилением ( https://en.wikipedia.org/wiki/Denial-of-ser..._spoofed_attack ) Если атака на сам сервер, то это спуф, а если валят какую-то сетку (не сам сервер), то это reflection с amplification и соответственно amplification как подкласс Не пишите мне в ЛС. Пишите на почту. В ЛС я пропускаю сообщения.
|
|
|
receptor |
22.7.2015, 18:31
Сообщение
|
receptor, конечно, куда мне, половина ссылок про рефлекторную атаку ведет на медицинские сайты, а я со своим инженерным образованием там мало чего понимаю. Откуда сведения что это "Рефлекторная Атака" ? И про то что это не атака с усилением ( https://en.wikipedia.org/wiki/Denial-of-ser..._spoofed_attack ) Если атака на сам сервер, то это спуф, а если валят какую-то сетку (не сам сервер), то это reflection с amplification и соответственно amplification как подкласс Ну потому что отражение с усилением, именно так и называется. https://en.wikipedia.org/wiki/Denial-of-service_attack Cкрытый текст Reflected / spoofed attack A distributed denial-of-service attack may involve sending forged requests of some type to a very large number of computers that will reply to the requests. Using Internet Protocol address spoofing, the source address is set to that of the targeted victim, which means all the replies will go to (and flood) the target. (This reflected attack form is sometimes called a "DRDOS".[24]) ICMP Echo Request attacks (Smurf Attack) can be considered one form of reflected attack, as the flooding host(s) send Echo Requests to the broadcast addresses of mis-configured networks, thereby enticing hosts to send Echo Reply packets to the victim. Some early DDoS programs implemented a distributed form of this attack. Many services can be exploited to act as reflectors, some harder to block than others.[25] US-CERT have observed that different services implies in different amplification factors, as you can see below:[26]
Отредактировал: receptor, - 22.7.2015, 18:41
|
|
|
|
[WPMG]PRoSToTeM@ |
22.7.2015, 18:55
Сообщение
|
Для борьбы с которым само вальве более пяти лет назад Более пяти лет назад клапан мог нормальный протокол запилить, чтобы для амплификации не было возможности. Как вариант, специально дополнять пакет запроса до определённого размера (естественно с проверкой на сервере). Но все беды с амплификацией в основном идут от поддержки старого протокола запроса инфы, сервербраузера ревему с багом (ну блин все могли уже давно обновить в клиенте чёртов сервербраузер, но лучше же бездумно плодить ещё больше всяких клиентов контры и сайтов для их скачки, тем более, что в определённую часть клиентов вшит автоапдейтер), всяких кривых php скриптов, которые нифига непродуманы для обработки всяких ситуаций, а также скриптов, которые умудряются по "2 раза за раз" опрашивать сервер. Что-бы такого не было, уменьшаем таймауты udp до 10, вместо 300 и выше, которые обычно по дефолту там красуются. Тогда естественно sv_timeout больше 10 не будет иметь смысла.
Отредактировал: [WPMG]PRoSToTeM@, - 22.7.2015, 18:57
|
|
|
|
receptor |
22.7.2015, 19:01
Сообщение
|
receptor, конечно, куда мне, половина ссылок про рефлекторную атаку ведет на медицинские сайты, а я со своим инженерным образованием там мало чего понимаю. Откуда сведения что это "Рефлекторная Атака" ? И про то что это не атака с усилением ( https://en.wikipedia.org/wiki/Denial-of-ser..._spoofed_attack ) Если атака на сам сервер, то это спуф, а если валят какую-то сетку (не сам сервер), то это reflection с amplification и соответственно amplification как подкласс Ну потому что отражение с усилением, именно так и называется. https://en.wikipedia.org/wiki/Denial-of-service_attack Cкрытый текст Reflected / spoofed attack A distributed denial-of-service attack may involve sending forged requests of some type to a very large number of computers that will reply to the requests. Using Internet Protocol address spoofing, the source address is set to that of the targeted victim, which means all the replies will go to (and flood) the target. (This reflected attack form is sometimes called a "DRDOS".[24]) ICMP Echo Request attacks (Smurf Attack) can be considered one form of reflected attack, as the flooding host(s) send Echo Requests to the broadcast addresses of mis-configured networks, thereby enticing hosts to send Echo Reply packets to the victim. Some early DDoS programs implemented a distributed form of this attack. Many services can be exploited to act as reflectors, some harder to block than others.[25] US-CERT have observed that different services implies in different amplification factors, as you can see below:[26] Подкласс чего?) Application-level floods ? Та же хрень, только сбоку. Или флудом заливается сам сервак, или отражённо идёт к нужной цели. Понятно что amplification банальное усиление. Но как тут уже многие пишут - "HLDS сервер подвергается amplification" . Чего подвергается, куда подвергается. Это у меня с терминологией плохо?) Правильно же в данном случае, было бы написать Reflected amplification если уж на то пошло. Но факт остаётся фактом, это отражённая атака. ПС, пока добавлял отрубилось редактирование. Удалите плз верхнее. |
|
|
|
mazdan |
22.7.2015, 19:03
Сообщение
|
|
Если сказать что атака с отражением = рефлекторная (reflected = отраженная), то с отражением и усилением термин amplification прекрасно подходит. Не понятно теперь только почему мы что-то выдумали, а вы дартаньян.
Ваш пост будет 199 в поиске у гугла. Может я под ваше Рефлекторная неверное слово подобрал в английском, конечно. Но вы amplification даже и не старались переводить.
Прикрепленные файлы:
Не пишите мне в ЛС. Пишите на почту. В ЛС я пропускаю сообщения.
|
|
|
receptor |
22.7.2015, 19:08
Сообщение
|
Более пяти лет назад клапан мог нормальный протокол запилить, чтобы для амплификации не было возможности. Как вариант, специально дополнять пакет запроса до определённого размера (естественно с проверкой на сервере). Но все беды с амплификацией в основном идут от поддержки старого протокола запроса инфы, сервербраузера ревему с багом (ну блин все могли уже давно обновить в клиенте чёртов сервербраузер, но лучше же бездумно плодить ещё больше всяких клиентов контры и сайтов для их скачки, тем более, что в определённую часть клиентов вшит автоапдейтер), всяких кривых php скриптов, которые нифига непродуманы для обработки всяких ситуаций, а также скриптов, которые умудряются по "2 раза за раз" опрашивать сервер. Тогда естественно sv_timeout больше 10 не будет иметь смысла. Не, я не про него. net.ipv4.netfilter.ip_conntrack_udp_timeout net.ipv4.netfilter.ip_conntrack_udp_timeout_stream net.netfilter.nf_conntrack_udp_timeout net.netfilter.nf_conntrack_udp_timeout_stream На старых ядрах там безбашенные значения, тупо висят, жрут память, и новым не дают создастся. Если сказать что атака с отражением = рефлекторная (reflected = отраженная), то с отражением и усилением термин amplification прекрасно подходит. Не понятно теперь только почему мы что-то выдумали, а вы дартаньян. Ваш пост будет 199 в поиске у гугла. Может я под ваше Рефлекторная неверное слово подобрал в английском, конечно. Но вы amplification даже и не старались переводить. Эт не я к сожалению, придумал) Многие её именно так и называют. и если вы обратили внимание, то я использовал с самого начала, и рефлекторная и отражённая. Что по сути одно и тоже. |
|
|
|
mazdan |
22.7.2015, 19:13
Сообщение
|
|
Правильно же в данном случае, было бы написать Reflected amplification если уж на то пошло. что же тогда не рефлективному аплификатиону? Ладно, считаю, что вы признали что не правы были. Просто не понятен был наезд на пользователей.Но факт остаётся фактом, это отражённая атака. receptor, да, я статью видел, она там первая среди 198. Но она не очень тянет на доверенный источник. И я не понял что в после удалить надо Не пишите мне в ЛС. Пишите на почту. В ЛС я пропускаю сообщения.
|
|
|
receptor |
22.7.2015, 19:23
Сообщение
|
что же тогда не рефлективному аплификатиону? Ладно, считаю, что вы признали что не правы были. Просто не понятен был наезд на пользователей. receptor, да, я статью видел, она там первая среди 198. Но она не очень тянет на доверенный источник. И я не понял что в после удалить надо Та нет, я не был не прав. И вообщем-то это уже и доказал. Никаких наездов не было, перечитайте внимательно. Режет глаза и слух HLDS Amplification, как собственно и название топика, на что и указал. Более ничего. Всё остальное ваше самомнение, и воображение. |
|
|
|
Fire |
22.7.2015, 19:28
Сообщение
|
|
net.netfilter.nf_conntrack_udp_timeout net.netfilter.nf_conntrack_udp_timeout_stream Так будет правильней, для ядер >2.6 Да и до 10 это перебор. я бы посоветовал 60 и 120 |
|
|
receptor |
22.7.2015, 19:49
Сообщение
|
Так будет правильней, для ядер >2.6 Да и до 10 это перебор. я бы посоветовал 60 и 120 Почему? Сам протокол ничего не отлавливает, пришло - ушло - байбай. Всё происходит на стороне приложений. Потерялся пакет, приложение шлёт запрос на повтор, ну или вообще не шлёт, потерялся и потерялся. Ну и по таймауту он будет обрывать если сессия висит без дела. Если же о HLDS говорить, то ему что 10 , что 60 секунд обрыва. Рассинхронизация более 5 секунд и обычно это вылет. |
|
|
|
mazdan |
22.7.2015, 22:31
Сообщение
|
|
Та нет, я не был не прав. именно и есть усиление атаки с помощью hlds сервера (hlds amplification factor это который quake в табличке вики). Для того чтобы защитить свой сервер от того чтобы его использовали как усиление для атаки (попутно его нагружая) и есть эта тема.
И вообщем-то это уже и доказал. Никаких наездов не было, перечитайте внимательно. Режет глаза и слух HLDS Amplification, как собственно и название топика, на что и указал. Более ничего. Всё остальное ваше самомнение, и воображение. Не пишите мне в ЛС. Пишите на почту. В ЛС я пропускаю сообщения.
|
|
|
receptor |
23.7.2015, 0:20
Сообщение
|
именно и есть усиление атаки с помощью hlds сервера (hlds amplification factor это который quake в табличке вики). Для того чтобы защитить свой сервер от того чтобы его использовали как усиление для атаки (попутно его нагружая) и есть эта тема. hlds amplification factor на табличке это количество обратного (паразитного) трафика. Которая разумеется может быть только отражённой. Если же это просто флуд на HLDS сервер, а мы в данном случае считаем что это не ботнет на 100к машин и отсылающий один - два пакета в минуту, а приличный трафик с небольшого количества IP адресов, то это абсолютно не имеет значения, сам dproto по PPS заткнёт этот трафик. Относительно кваров max_queries_sec ,max_queries_sec_global ,max_queries_window на билдах 6х и паникой с этой вашей амплификацией И почему билды 4х и ранние 5х этой фигне абсолютно не подвержены? Да потому что там нет ограничений, льётся себе трафик и льётся, и сервера из избранного и мониторингов не пропадают. Тут же нужно подкручивать, или вообще снимать ограничения. Открою так же вам большой секрет. Любое сетевое приложение можно заставить отсылать обратно трафика больше чем оно приняло. Весь интернет погряз в амплификации, панику подымать и конец света объявлять? Из чего выходит что само понятие амплификация довольно эфемерно, и приравнивать его к каким либо атакам (так же называть методом атаки) бессмысленно. |
|
|
|
VkriterT |
23.7.2015, 0:37
Сообщение
|
|
Из чего выходит что само понятие амплификация довольно эфемерно, и приравнивать его к каким либо атакам (так же называть методом атаки) бессмысленно. Амплификация это не только отослал 2 байта и ждешь ответ в 10, суть в том что еще и спуф есть.На форуме все разбирают мол как не дать положить свой сервер, но как бы эта штука немного для другого создана.К примеру отослать по 20 байт на 5к серверов кс, подменить ип сервера со спуфом на ип жертвы.
Отредактировал: VkriterT, - 23.7.2015, 0:38
тик так тик так, слышишь как уходит твоя жизнь
|
|
|
evgen4uk |
6.8.2015, 18:34
Сообщение
|
Напишите пожалуйста, я в этом вопросе просто нуб, куда прописывать эти строки вообще?
1) Не фаталити, простая блокировка входящих пакетов при превышении их лимиты для ипов из /24 сети, без банана sip. Код iptables -A INPUT -p udp -m udp --dport 27015:28015 -m string --algo kmp --hex-string "|FF FF FF FF 54|" -m connlimit --connlimit-above 20 -j DROP |
|
|
|
ipservers |
6.8.2015, 19:07
Сообщение
|
|
Напишите пожалуйста, я в этом вопросе просто нуб, куда прописывать эти строки вообще? 1) Не фаталити, простая блокировка входящих пакетов при превышении их лимиты для ипов из /24 сети, без банана sip. Код iptables -A INPUT -p udp -m udp --dport 27015:28015 -m string --algo kmp --hex-string "|FF FF FF FF 54|" -m connlimit --connlimit-above 20 -j DROP Здравствуйте. Самое простое - это через клиент "putty" вставить данную строку. Только перед этим через рут Вам войти на Ваш VDS/выделенный сервер. |
|
|
followX |
6.8.2015, 21:48
Сообщение
|
|
FF FF FF FF 54 уже научились гигабитами засылать. куда мир катится)
|
|
|