Jump to content

UDP флоод


talibana

Recommended Posts

  • Администратор

Няма смисъл да търсиш и блокираш по стринг,само хабиш ресурси.По добре лимитация на брой/хост.

Use since

OpenBSD 3.x

FreeBSD 4.x

Centos 5.x Debian 3.x Ubuntu 7.x

Аз съм фен на OpenWRT.

 

Горчивината от лошото качество остава дълго след като е преминало удоволствието от ниската цена.

_____________________________

___|____|____|____|____|____|__

_|____|____|____|____|____|____

___|____|_ Удряй _|____|____|__

_|____|___ главата ___|____|____

___|____|_ си тук!! |____|____|__

_|____|____|____|____|____|____

___|____|____|____|____|____|__

Адрес на коментара
Сподели в други сайтове

  • Администратор

Няма смисъл да търсиш и блокираш по стринг,само хабиш ресурси.По добре лимитация на брой/хост.

Ами аз досега позлвах следната верига:

add action=jump chain=input comment="" disabled=no in-interface=inet jump-target=Limit protocol=udp src-address-list=!safe

add action=return chain=Limit comment="" disabled=no dst-limit=150,150,dst-address/10s src-address-list=!safe

add action=add-src-to-address-list address-list=black_list address-list-timeout=60m chain=Limit comment="" disabled=no src-address-list=!safe

add action=drop chain=Limit comment="" disabled=no src-address-list=!safe

Понякога спирам списъка с лошите ип-та.... ако можеш да кажеш какво точно имаш в предвид ще съм благодарен.

Адрес на коментара
Сподели в други сайтове

  • Администратор

Ми аз по нагоре писах,UDP conlimit мисля от скоро го има в мт и не е ми е ясно доколко и как работи,но можвш да пробваш това което има от уикито им http://wiki.mikrotik.com/wiki/DDoS_Detection_and_Blocking и да го моделираш спред нуждите.

Иначе идеята не е да блокираш адреси ами да бройш пакетите им и да лимитираш твърд таван,всеки един хост може да направи N едновременни конекций/сесий за еденица време.

Use since

OpenBSD 3.x

FreeBSD 4.x

Centos 5.x Debian 3.x Ubuntu 7.x

Аз съм фен на OpenWRT.

 

Горчивината от лошото качество остава дълго след като е преминало удоволствието от ниската цена.

_____________________________

___|____|____|____|____|____|__

_|____|____|____|____|____|____

___|____|_ Удряй _|____|____|__

_|____|___ главата ___|____|____

___|____|_ си тук!! |____|____|__

_|____|____|____|____|____|____

___|____|____|____|____|____|__

Адрес на коментара
Сподели в други сайтове

  • Администратор

Велине целта е да се премахнат дребните безплатни неофициални

не чух някой платен или легален да се е оплакал

Именно целта явно е да се вадят пари от определени хора...

  • Харесай 1

Не отговарям на постове написани с шльокавица!

Адрес на коментара
Сподели в други сайтове

Именно целта явно е да се вадят пари от определени хора...

100% си прав :) Късно го разбрах, все пак това е целта на някои хора,затриване на по-малките и да останат 1-2 вериги и те така...

Адрес на коментара
Сподели в други сайтове

Пробвахте ли да направите някои ограничения с Iptables ?

-A INPUT -p udp --dport 27005 -m limit --limit 4/s --limit-burst 7 -j ACCEPT

-A INPUT -p udp --dport 27015:27050 -m length --length 28 -j DROP

-A INPUT -p udp --dport 27015:27050 -m length --length 46 -j DROP

Другия вариант е да си купите стабилен firewall, в altech има такива, ето пример: http://www.altech.bg/bg/product/29367

Редактирано от lqlqlq
Адрес на коментара
Сподели в други сайтове

И каква файда от firewall-а за 1800+ лева като проблема е че се пълни канала :) проблема е Преди firewall-а освен ако не се сложи на колокация с 2 гигабита бондинг линк към Интернет.

Редактирано от NetworkPro

-

Адрес на коментара
Сподели в други сайтове

  • Администратор

И каква файда от firewall-а за 1800+ лева като проблема е че се пълни канала :) проблема е Преди firewall-а освен ако не се сложи на колокация с 2 гигабита бондинг линк към Интернет.

И каква файда,и 4х4 гигабита бондинг да имаш, пак ще получаваш толкова за колкото плащаш :)

Use since

OpenBSD 3.x

FreeBSD 4.x

Centos 5.x Debian 3.x Ubuntu 7.x

Аз съм фен на OpenWRT.

 

Горчивината от лошото качество остава дълго след като е преминало удоволствието от ниската цена.

_____________________________

___|____|____|____|____|____|__

_|____|____|____|____|____|____

___|____|_ Удряй _|____|____|__

_|____|___ главата ___|____|____

___|____|_ си тук!! |____|____|__

_|____|____|____|____|____|____

___|____|____|____|____|____|__

Адрес на коментара
Сподели в други сайтове

Каквото и да се пусне и направи не можеш да отрежеш udp flood :) дори и с хардуерен firewall някой с по стабилен ботнет от 3-4К заразени потребители пускайки по 1 байт от всеки ще ти нулва порта и съсипва всичко.. :) пробвал съм какви ли не решения и единствения изход е просто да не решат да те флудят.. :) Званях на нетера и единственото решение което успяха да вземат е да отрежат международния трафик към ип-то което ми атакуваха не говоря за цс сървър и каквото и да е но това реялно няма значение.. Така че файда няма много голяма от каквото и да е ..

Адрес на коментара
Сподели в други сайтове

  • 2 месеца по-късно ...

Здравейте,

изчетах цялата тема, защото и аз имам същия проблем със сървъри на играта. Също съм потребител на въпросния доставчик и съм сигнализирал за проблема ми.

Проблемът при мен обаче е в по лека фаза, ако мога така да се изразя. Получавам атака само от един IP адрес (от чужбина), като понякога генерираният входящ трафик е едва 10 Mbits с 10 000 пакета в секунда, а понякога запълва и целия канал, като максималната ми скорост е 60-70 Mbits. Проблемът е там, че дори и при 10 Mbits входящ трафик, не мога да достъпвам машината отвън. На какво може да се дължи това? Смятам, че чрез iptables ще бъде възможно да drop-вам този малък трафик и да не оказва влияние. В същото време CPU Usage e на 0%.

Надявам се Вие да можете да отговорите на въпроса ми как е възможно това да се случва? Може би са прекалено много пакетите? Не знам...

Поздрави.

Адрес на коментара
Сподели в други сайтове

  • 3 weeks later...

Здравейте,

изчетах цялата тема, защото и аз имам същия проблем със сървъри на играта. Също съм потребител на въпросния доставчик и съм сигнализирал за проблема ми.

Проблемът при мен обаче е в по лека фаза, ако мога така да се изразя. Получавам атака само от един IP адрес (от чужбина), като понякога генерираният входящ трафик е едва 10 Mbits с 10 000 пакета в секунда, а понякога запълва и целия канал, като максималната ми скорост е 60-70 Mbits. Проблемът е там, че дори и при 10 Mbits входящ трафик, не мога да достъпвам машината отвън. На какво може да се дължи това? Смятам, че чрез iptables ще бъде възможно да drop-вам този малък трафик и да не оказва влияние. В същото време CPU Usage e на 0%.

Надявам се Вие да можете да отговорите на въпроса ми как е възможно това да се случва? Може би са прекалено много пакетите? Не знам...

Поздрави.

Това не го ли прочете из форумите ?

Здравейте скъпи потребители на нашата игрална верига на така любимата ви игра Counter Strike 1.6.

Както сте забелязали от известно време има проблем с нашите сървъри и вие не можете да ги посещавате и да разпускате играейки . Този проблем се дължи на недобросъвестна конкуренция. Всеки ден сървърите ни биват засипвани с непрекъснат "Flood" и това прекъсва нормалното функциониране на сървърите и се прекъсва всякакъв достъп до тях. Винаги е било на мода да се руши труда на другия но тези опити от тяхна страна няма да ни откажат, дори напротив, точно обратното става. И нека действащите лица виновни за това, а именно "Lan-Servers" знаят че това няма да продължи дълго и краят няма да бъде хубав. Много хора вече знаят че именно те стоят зад всички атаки нанесени над CS сървъри.

Нека всички потърпевши станали жертви на подобно нещо знаят кой стои зад това - Lan - Servers и компания. Предоставям ви и малко информация за един от собствениците - Daniel Xristodulov GSM: 0895 46 93 29. Това е човека подвизаващ се под псевдонима .:K@sP@R40 ;] Човека е започнал продажбата на Anti-Flood защита за скромните 90 лв на месец. Плащаш и по лучаваш безгрижна игра, не плащаш - получаваш Flood докато не се предадеш. Това е тяхната политика от както съществуват, но от скоро започнаха да я демонстрираат изключително явно, особено с това "изнудване" да си платиш зада ти функционира всичко нормално.

След обвинението отправено към тях в тема пусната в Megalan"Flood-a" не е спирал. Ето и писаното в скайп от въпросния човек:

[03.11.2012 г. 15:56:24] UCTT.info [sMS ADMIN] каза: не знам защо намесваш моето име с този сайт ?

[03.11.2012 г. 15:56:56] UCTT.info [sMS ADMIN] каза: лан-сървърс са на колокация в едно от сървърните ни и скоро ще се махат от там точно защото цял свят флооди този сайт/сървъри.

[03.11.2012 г. 15:57:32] UCTT.info [sMS ADMIN] каза: мога да ти дам всичките ц клас мрежи, които са на името на фирмата ми и да ги филтрираш ако си мислиш, че аз или някой клиент ти прави нещо на теб

[03.11.2012 г. 15:58:47] UCTT.info [sMS ADMIN] каза: ако имаш някви логове на наши ип-та как те флоодят моля те дай ги, няма как да знам 24/7 какво става като имаме над 3 000 ип-та

[03.11.2012 г. 15:59:48] UCTT.info [sMS ADMIN] каза: ако не то до тогава поне не намесвай името ми с този сайт или поне не говори такива глупости защото хич не ми е приятно като нямат капка истина

[03.11.2012 г. 15:59:52] UCTT.info [sMS ADMIN] каза: айде лека вечер от мен ;)

[03.11.2012 г. 16:03:32] UCTT.info [sMS ADMIN] каза: заповядай в бизнес център Сердика, сграда 3 ако имаш желание да говорим, това е адреса на фирмата ако не виждам знаеш ми един от номерата звънкай смело на него да уточним тези глупости, които си писал :)

[03.11.2012 г. 16:38:59] UCTT.info [sMS ADMIN] каза: Виждам, че си прочел това, което съм ти написал, но не отговаряш а продължаваш да пишеш с информацията, която ти си знаеш.

Малко да те поправя lan няма нищо общо с n1 както и fps няма да има, точно заради тези и други глупости.

[03.11.2012 г. 16:40:04] UCTT.info [sMS ADMIN] каза: и на телефона не вдигаш, криеш ли се ?

[03.11.2012 г. 16:44:37] UCTT.info [sMS ADMIN] каза: Честно казано ми е все едно какво драскаш в тази темичка, аз исках с теб лично да говоря, но ти предпочиташ да говориш за мен, без дори да сме разговаряли.

Поздрави към всички и знайте че няма никой да ни накара да се откажем от заниманието ни.

Адрес на коментара
Сподели в други сайтове

След като CPU Load е 0% значи не се вдигат софтуерни прекъсвания, от което следва че се чупи или връзката до сървъра ти или най-вероятно мрежовата му карта е някой евтин боклук и не може да обработи 10К пакети. Направи си OpenVPN от сървъра ти до някъде, за да можеш да го достъпваш през тунела. Пусни мониторинг... пингвай няколко дестинации, като започнеш от Gw на сървъра и записвай резултата. Може да го направиш примерно с Cacti. С колкото повече данни разполагаш, толкова по-бързо ще намериш начин да решиш или заобиколиш проблема. От входящ UDP флуд, на локално ниво, с iptables няма как да се опазиш!

Редактирано от gbdesign
Адрес на коментара
Сподели в други сайтове

Това, което аз мога да ти препоръчам е, да увеличиш канала си. 10 Gbps ще са предостатъчни, за да не ти вияе атака от подобен тип.

Другия вариант е да ко-локираш машината в някой дейта център. Цената разбира се, няма да е ниска, но решение сам няма да намериш. Хардуерните файъруали са скъпи и при домашни условия няма да са толкова ефективни.

Адрес на коментара
Сподели в други сайтове

10 Gbps ще са предостатъчни...

:blink: Това гигабита за нищо си го нямаш... имаш ли и най-малка идея, колко струва такава свързаност?!

Редактирано от gbdesign
Адрес на коментара
Сподели в други сайтове

Създайте нов акаунт или се впишете, за да коментирате

За да коментирате, трябва да имате регистрация

Създайте акаунт

Присъединете се към нашата общност. Регистрацията става бързо!

Регистрация на нов акаунт

Вход

Имате акаунт? Впишете се оттук.

Вписване
  • Similar Content

  • Потребители разглеждащи страницата   0 потребители

    • No registered users viewing this page.
×
×
  • Създай нов...

Important Information

By using this site, you agree to our Terms of Use.