Правила форума Гаранты форума
Размещение рекламы AMX-X компилятор

Здравствуйте, гость Вход | Регистрация

Наши новости:

14-дек
24-апр
10-апр
11-апр

История благодарностей участнику waza123 ::: Спасибо сказали: 3
Дата поста: В теме: За сообщение: Спасибо сказали:
9.1.2015, 12:54 Защита Counter Strike Сервера
Цитата(berq @ 9.1.2015, 2:13) *
С чего это вдруг какой-то там модуль какого-то там приложения должен заниматься аналитикой, вычисляя, с каких именно подсетей льется спуфнутый флуд?

Но ок, давайте предположим, что все таки должен.
В адресном пространстве IPv4 2^32 адресов и 2^24 = 16777216 подсетей класса Цэ (/24)
Чтобы занимацца простейшей аналитикой, нам надо на каждую подсеть завести счетчик принятых пакетов (4 байта) и время последней очистки этого счетчика (еще 4 байта)
Итого, 16777216 * 8 = 128Мбайт памяти надо на каждый запущенный hlds на машине
Если у вас 20 hlds-ов, уже 2 гигабайта надо. Логичнее, наверное, такую таблицу сделать один раз на всё машину, а не плодить ее в каждом процессе?
А еще, даже если все злодеи забанятся на уровне hlds-а, это никак не спасет вашу таблицу conntrack-а от засирания спуфом.

Так что можете дальше уповать на то, что все ваши проблемы решатся плагином для метамода.
Не решатся.
Пришло время включать свою голову, ага.


ты уже весь мир хочеш забанить, мой скрипт забанил 3500 IP, это вся бот сеть тех уёбкoв, и это не 100 терабайт данных (4 bytes * 3500 ips = 14000 bytes = 14kb), 14kb * 10 servs on same machine = 140kb ram used.
не сети надо банить а IP адреса которые выeбываются.
баняться на 1 час, после чистится массив, и рама ешё меньше используется.

думай че говориш.
exec1337
4.1.2015, 17:00 Защита Counter Strike Сервера
Зашита от Hlds Amplification Attack
(описание: когда атакующий шлет серверу запрос на получение статуса от сервера, он подменяет IP в IPv4 (ip spoofing) и твой сервер отсылает весь статус на указаный подменный IP жертвы, тоесть твой сервер Досит жертву)

Решение ограничить количество запросов на 5 в 1 минуту. После банить на 1 мин.

Код
iptables -A INPUT -p udp -m multiport --ports 27015,27016 -m string --algo kmp --hex-string "|FF FF FF FF 54|" -m recent --name hlds --update --seconds 60 --hitcount 5 -j REJECT
iptables -A INPUT -p udp -m multiport --ports 27015,27016 -m string --algo kmp --hex-string "|FF FF FF FF 54|" -m recent --name hlds --set -j ACCEPT


Что происходит если не защитится от данной угрозы:

1. Вы досите невинный сервер.
2. У вашего сервера забивается канал.
3. У ваших игроков появляются лаги.
4. Ваш сервер забивает все socket file descriptors и новые клиенты не смогут с вами соеденится, включая вас по ssh.
exec1337