Правила форума Гаранты форума

Размещение рекламы AMX-X компилятор

Здравствуйте, гость Вход | Регистрация

Наши новости:

14-дек	Добавлена поддержка utf8mb4
24-апр	Telegram группа
10-апр	Обновление PHP
11-апр	Раздача читов

Создание, настройка и продвижение counter-strike 1.6 серверов > > Создание, настройка и продвижение counter-strike 1.6 серверов > Статьи и мануалы > DoS игрового сервера за счёт переполнения полосы пропускания

2 страниц

1 2

DoS игрового сервера за счёт переполнения полосы пропускания

, FAQ для самых маленьких

Safety1st	6.4.2015, 23:43 Сообщение #1
Стаж: 14 лет Город: Moscow Сообщений: 7228 Благодарностей: 8071 Полезность: 196	Атака 'Отказ в обслуживании' (denial-of-service) Статья предназначена для людей, далёких от занятий хостингом. И не относится к какой-то конкретной атаке -- Если атака осуществляется с нескольких хостов, она называется DDoS'ом - распределённой DoS-атакой (distributed denial-of-service attack). Но при наличии широкого канала у злоумышленника он может забить канал жертвы и с одного компа. placeholder Как выглядит Пинг хоста, находящегося под DoS'ом - проскакивают лишь отдельные пакеты Проверять лучше пакетами покрупнее - виднее будет: Код ping -l 1000 -t my.server.ru Код 192.168.0.1: request timed out 192.168.0.1: request timed out Reply[135] from my.server.ru: bytes=1000 time=49.7 ms TTL=114 Reply[136] from my.server.ru: bytes=1000 time=40.8 ms TTL=114 Reply[137] from my.server.ru: bytes=1000 time=39.2 ms TTL=114 192.168.0.1: request timed out 192.168.0.1: request timed out Reply[140] from my.server.ru: bytes=1000 time=47.6 ms TTL=114 192.168.0.1: request timed out Reply[142] from my.server.ru: bytes=1000 time=37.9 ms TTL=114 Reply[143] from my.server.ru: bytes=1000 time=38.0 ms TTL=114 192.168.0.1: request timed out 192.168.0.1: request timed out 192.168.0.1: request timed out Reply[147] from my.server.ru: bytes=1000 time=47.1 ms TTL=114 192.168.0.1: request timed out 192.168.0.1: request timed out 192.168.0.1: request timed out Reply[151] from my.server.ru: bytes=1000 time=46.7 ms TTL=114 192.168.0.1: request timed out Reply[153] from my.server.ru: bytes=1000 time=46.3 ms TTL=114 Reply[154] from my.server.ru: bytes=1000 time=36.9 ms TTL=114 192.168.0.1: request timed out 192.168.0.1: request timed out 192.168.0.1: request timed out 192.168.0.1: request timed out 192.168.0.1: request timed out 192.168.0.1: request timed out 192.168.0.1: request timed out 192.168.0.1: request timed out 192.168.0.1: request timed out 192.168.0.1: request timed out 192.168.0.1: request timed out Reply[166] from my.server.ru: bytes=1000 time=48.4 ms TTL=114 192.168.0.1: request timed out 192.168.0.1: request timed out 192.168.0.1: request timed out Reply[170] from my.server.ru: bytes=1000 time=46.5 ms TTL=114 192.168.0.1: request timed out 192.168.0.1: request timed out Reply[173] from my.server.ru: bytes=1000 time=39.8 ms TTL=114 192.168.0.1: request timed out 192.168.0.1: request timed out Reply[176] from my.server.ru: bytes=1000 time=57.3 ms TTL=114 192.168.0.1: request timed out 192.168.0.1: request timed out 192.168.0.1: request timed out Суточное потребление трафика В примере: обычно машинка кушает ~ 10 ГБ в день, а тут - сотни ГБ Загрузка интерфейса В примере: на компе гигабитное подключение к провайдеру, но по тарифному плану ограничение в 50 Mbps, этот канал успешно забивается 6500000 B/s * 8 = 52 000 000 bps ~ 50 Mbps (мегабит в секунду) Защита • фильтрация на уровне провайдера услуг • если DDoS идет с пары конкретных IP-адресов - имеет смысл 'написать абузу' - пожаловаться их владельцу на e-mail, как правило, вида abuse@example.com. узнать адрес можно с помощью сервиса WHOIS: см. строку 'Abuse contact'. Разное • NetworkTrafficView ‒ простая программа для показа текущего трафика по каждому IP-адресу TODO Пока это НЕ статья, так, пара картинок, чтобы не потерялись; задел на будущее. Кто желает поучаствовать в создании - пишите. В 2-х словах план такой: как выглядит и обнаруживается, как защититься (своими силами - никак) и как избежать (не провоцировать людей). Отредактировал: Safety1st, - 7.4.2015, 18:39
	Поблагодарили 0 раз Поблагодарили 0 раз

Fire	6.4.2015, 23:56 Сообщение #2
Стаж: 17 лет Сообщений: 2201 Благодарностей: 2227 Полезность: 963	Код term firstfrag { from { first-fragment; protocol [ icmp udp ]; } then { discard; } } Администрирование серверов. Защита от DDOS. Решение проблем.
	Поблагодарили 0 раз Поблагодарили 0 раз

bormutov	7.4.2015, 0:23 Сообщение #3
Стаж: 11 лет Сообщений: 46 Благодарностей: 25 Полезность: 187	Цитата(Fire @ 7.4.2015, 0:56) Код term firstfrag { from { first-fragment; protocol [ icmp udp ]; } then { discard; } } Вы тестировали ддос гуард ? Что можете сказать о UDP фильтрации ?
	Поблагодарили 0 раз Поблагодарили 0 раз

Fire	7.4.2015, 1:04 Сообщение #4
Стаж: 17 лет Сообщений: 2201 Благодарностей: 2227 Полезность: 963	Цитата(bormutov @ 7.4.2015, 1:23) Вы тестировали ддос гуард ? Что можете сказать о UDP фильтрации ? Не тестировал. Но знаю тех кто пользовался их услугами, при мощных атаках они обрезают весь удп и их абсолютно не волнует "игровые сервера". Администрирование серверов. Защита от DDOS. Решение проблем.
	Поблагодарили 0 раз Поблагодарили 0 раз

ssx	7.4.2015, 14:43 Сообщение #5
Стаж: 12 лет Сообщений: 2237 Благодарностей: 1343 Полезность: 836	Сегодня на мой Халф-лайф сервер прилетел ддос , роутер (tp-link 1043nd) захлебывался так что по веб-интерфейсу не удалось зайти даже... Обычно любят на 53 порт сыпать а сегодня на 123 порт Есть пару вопросов: 1. Для hlds на 6153 билде кроме udp нужно открывать еще протоколы ? 2. Каким правилом iptables (роутер прошит dd-wrt) лучше всего заблочить? Прикрепленные файлы: [Half-Life DM FFA] 78.152.169.100:27016 [CS 1.6 GunGame] 78.152.169.100:27018 [CS 1.6 DM AIM] 78.152.169.100:27017 [CS 1.6 DM FFA] 78.152.169.100:27015
	Поблагодарили 0 раз Поблагодарили 0 раз

Safety1st	7.4.2015, 15:12 Сообщение #6
Стаж: 14 лет Город: Moscow Сообщений: 7228 Благодарностей: 8071 Полезность: 196	Цитата(ssx @ 7.4.2015, 15:43) Сегодня на мой Халф-лайф сервер прилетел ддос Твой-то TOP6 что досить... Цитата(ssx @ 7.4.2015, 15:43) Обычно любят на 53 порт сыпать а сегодня на 123 порт Не 'на', а 'с'. Цитата(ssx @ 7.4.2015, 15:43) 1. Для hlds на 6153 билде кроме udp нужно открывать еще протоколы ? Для входящего трафика? Не нужно.
	Поблагодарили 1 раз Поблагодарили 1 раз ssx

ssx	7.4.2015, 16:20 Сообщение #7
Стаж: 12 лет Сообщений: 2237 Благодарностей: 1343 Полезность: 836	Цитата(Safety1st @ 7.4.2015, 16:12) Для входящего трафика? Не нужно. А для исходящего ? [Half-Life DM FFA] 78.152.169.100:27016 [CS 1.6 GunGame] 78.152.169.100:27018 [CS 1.6 DM AIM] 78.152.169.100:27017 [CS 1.6 DM FFA] 78.152.169.100:27015
	Поблагодарили 0 раз Поблагодарили 0 раз

ktod	7.4.2015, 16:30 Сообщение #8
Стаж: 11 лет Сообщений: 38 Благодарностей: 43 Полезность: 621	Стоит больше углубится в анализ последствий и симптомов атаки. Для этого ответить на вопрос: "Почему теряются пакеты?", проблема может быть в разных местах. Есть разные методы DoS (DDoS) атака, и методы защиты от них отличаются. То есть сначала сказать о каком именно методе атаки идет речь в приведенном примере, а уж потом предлагать решение. Если конечно не сделать выбор в пользу промышленного межсетевого экрана (firewall), а пытаться решить проблему подручным (бесплатным) инструментарием.
	Поблагодарили 1 раз Поблагодарили 1 раз ~~Safety1st~~

Immunity	7.4.2015, 17:19 Сообщение #9
Стаж: 11 лет Сообщений: 444 Благодарностей: 119 Полезность: 139	Я просто оставлю это здесь ;D Когда-то я в это верил. Прикрепленные файлы:
	Поблагодарили 0 раз Поблагодарили 0 раз

Safety1st	7.4.2015, 17:34 Сообщение #10
Стаж: 14 лет Город: Moscow Сообщений: 7228 Благодарностей: 8071 Полезность: 196	Цитата(ktod @ 7.4.2015, 17:30) Есть разные методы DoS (DDoS) атака, и методы защиты от них отличаются. Эм, виноват: в 'статье' будет рассматриваться только 1 вид DoS'а - за счёт переполнения полосы пропускания. Заголовок пофиксил. Цитата(ktod @ 7.4.2015, 17:30) Если конечно не сделать выбор в пользу промышленного межсетевого экрана (firewall), а пытаться решить проблему подручным (бесплатным) инструментарием. Воу-воу-воу) FAQ для самых маленьких: никаких промышленных файрволлов и действенных подручных средств
	Поблагодарили 0 раз Поблагодарили 0 раз

Fire	7.4.2015, 17:59 Сообщение #11
Стаж: 17 лет Сообщений: 2201 Благодарностей: 2227 Полезность: 963	Цитата(Safety1st @ 7.4.2015, 18:34) Учи мат часть. Забивание канала это DDOS, а не DoS (отказ в обслуживании). Администрирование серверов. Защита от DDOS. Решение проблем.
	Поблагодарили 1 раз Поблагодарили 1 раз ~~Safety1st~~

csnet	7.4.2015, 18:04 Сообщение #12
Стаж: 12 лет Сообщений: 4808 Благодарностей: 3849 Полезность: 690	Неа, забить канал можно и с одного компа Отредактировал: csnet, - 7.4.2015, 18:04 go v cs:go
	Поблагодарили 1 раз Поблагодарили 1 раз ~~Safety1st~~

Safety1st	7.4.2015, 18:08 Сообщение #13
Стаж: 14 лет Город: Moscow Сообщений: 7228 Благодарностей: 8071 Полезность: 196	csnet, текст пиши, ты эксперт Fire увидит активность и косяки - ещё чего-нибудь вбросит
	Поблагодарили 0 раз Поблагодарили 0 раз

VkriterT	7.4.2015, 18:11 Сообщение #14
Стаж: 14 лет Город: МосквА Сообщений: 2172 Благодарностей: 1045 Полезность: 796	Цитата(Fire @ 7.4.2015, 18:59) Учи мат часть. Забивание канала это DDOS, а не DoS (отказ в обслуживании). дос - атака с одной машины, ддос - с нескольких тик так тик так, слышишь как уходит твоя жизнь
	Поблагодарили 0 раз Поблагодарили 0 раз

Safety1st	7.4.2015, 18:23 Сообщение #15
Стаж: 14 лет Город: Moscow Сообщений: 7228 Благодарностей: 8071 Полезность: 196	Тихо, CCNA вещает
	Поблагодарили 0 раз Поблагодарили 0 раз

ktod	7.4.2015, 18:31 Сообщение #16
Стаж: 11 лет Сообщений: 38 Благодарностей: 43 Полезность: 621	Цитата(Fire @ 7.4.2015, 18:59) Учи мат часть. Забивание канала это DDOS, а не DoS (отказ в обслуживании). Не путайте общественность, DDoS и DoS отличаются только первой буквой D (Distributed), цель у данных атак одна. Другое дело, что забить канал с одного ПК мало вероятная зачата и далеко не всегда возможная. С другой стороны защитится от DDoS сложнее и бывает чаще, поэтому его рассмотрение более актуально. Цитата(Safety1st @ 7.4.2015, 18:34) Эм, виноват: в 'статье' будет рассматриваться только 1 вид DoS'а - за счёт переполнения полосы пропускания. Заголовок пофиксил. К сожаление выхода с такой проблемы только два: 1) расширение канала (но это утопия и не рационально) 2) договоренность с ISP (провайдер) оказания услуги защиты Второй вариант более эконмический целесообразный. Но тут опять же есть разные варианты оказания услуги: блокировка с использованием пакетных фильтров (ACL) или использование промышленного firewall. Могу каждый пункт сказанного детализировать, если это интересно. Отредактировал: ktod, - 7.4.2015, 18:33
	Поблагодарили 1 раз Поблагодарили 1 раз ~~Safety1st~~

Fire	7.4.2015, 18:34 Сообщение #17
Стаж: 17 лет Сообщений: 2201 Благодарностей: 2227 Полезность: 963	Учитесь называть вещи своими именами. В случае ssx - именно DDOS , ни что инное как ntp ampf В первом посте, icmp флуд, который в некоторых случаях можно отнести к DDOS (hping and etc.) и DOS, там не все так прозрачно как кажется. В случае "одной" машины это малоэффективное решение. Ну для отпила такого флуда достаточно обрезать фрагментированные icmp Администрирование серверов. Защита от DDOS. Решение проблем.
	Поблагодарили 1 раз Поблагодарили 1 раз ~~Safety1st~~

Safety1st	7.4.2015, 18:36 Сообщение #18
Стаж: 14 лет Город: Moscow Сообщений: 7228 Благодарностей: 8071 Полезность: 196	Цитата(Fire @ 7.4.2015, 19:34) В первом посте, icmp флуд, который в некоторых случаях можно отнести к DDOS (hping and etc.) и DOS, там не все так прозрачно как кажется. Кому-то ещё показалось, что в первом посте показан ICMP-флуд? Там просто пинг машины, которая находится под DDos'ом. Удалённое наблюдение за состоянием.
	Поблагодарили 0 раз Поблагодарили 0 раз

csnet	7.4.2015, 18:37 Сообщение #19
Стаж: 12 лет Сообщений: 4808 Благодарностей: 3849 Полезность: 690	1. Для домашнего варианта чтото типа SRX 240 . Проблема даже не в фильтрации а в наличии канала. Курсы щас неблагоприятные, все хотят расчета в долларах. Брать нормальную железку без канала смысла нет, разве что купить и договориться на обмен с провайдером - я тебе железку а ты мне канал с фильтрацией на этой самой железке. go v cs:go
	Поблагодарили 0 раз Поблагодарили 0 раз

xakep7	7.4.2015, 18:46 Сообщение #20
Стаж: 14 лет Сообщений: 503 Благодарностей: 468 Полезность: 938	Цитата(Immunity @ 7.4.2015, 22:19) Я просто оставлю это здесь ;D Когда-то я в это верил. Наивный)
	Поблагодарили 0 раз Поблагодарили 0 раз

« Предыдущая тема · Статьи и мануалы · Следующая тема »

2 страниц

1 2

Ответить в данную тему

Начать новую тему

0 пользователей и 1 гостей читают эту тему:

Режим отображения: Стандартный · Переключить на: Линейный · Переключить на: Древовидный

Сообщить другу · Версия для печати

Powered By Invision Power Board © 2005-2026
Counter Strike Support Community