Форум русскоязычного сообщества Ubuntu


Следите за новостями русскоязычного сообщества Ubuntu в Twitter-ленте @ubuntu_ru_loco

Автор Тема: DDoS по портам  (Прочитано 5708 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн ghbb

  • Автор темы
  • Новичок
  • *
  • Сообщений: 6
    • Просмотр профиля
DDoS по портам
« : 04 Февраля 2012, 02:47:59 »
Здраствуйте, на сервере стоит Ubuntu 10.10 Server на нем есть сервера cs 1.6, css и тд, какбы игровой сервер, недавно некоторые игровые сервера (не сам сервер) начали падать из за ddos по порту сервера, например ip 127.0.0.1:27015 - порт, ddos-ят по 27015 порту, как защитить сервер от этого? сам сервер не падает только игровой сервер из за переизбытка пакетов на порте (5-10 сек и игровой сервер падает) но на самом сервер только мелкие лаги. Спасибо.

Оффлайн Polkan

  • Участник
  • *
  • Сообщений: 124
    • Просмотр профиля
Re: DDoS по портам
« Ответ #1 : 05 Февраля 2012, 00:30:28 »
банить IP которые проявляют ненормально высокую активность
man iptables

Оффлайн ghbb

  • Автор темы
  • Новичок
  • *
  • Сообщений: 6
    • Просмотр профиля
Re: DDoS по портам
« Ответ #2 : 05 Февраля 2012, 02:36:23 »
Их больше 500 потому что ето DDoS, я не могу сидеть и банить 500+ ip

Оффлайн Polkan

  • Участник
  • *
  • Сообщений: 124
    • Просмотр профиля
Re: DDoS по портам
« Ответ #3 : 05 Февраля 2012, 13:48:03 »
да хоть тыща. не в ручную же их банить в самом деле. окститесь  :)

Оффлайн ghbb

  • Автор темы
  • Новичок
  • *
  • Сообщений: 6
    • Просмотр профиля
Re: DDoS по портам
« Ответ #4 : 06 Февраля 2012, 04:20:56 »
Я ищу реальную какую нибудь защиту от ддоса. Точнее как защитить сервер. Если можно поподробнее.

alexxnight

  • Гость
Re: DDoS по портам
« Ответ #5 : 06 Февраля 2012, 14:30:16 »
Игровой сервер, да?

смотрите в сторону модуля recent (man iptables | grep recent -A15)

с помощью его можно и 500 и более злобных ip побороть...

Посмотрел man recent - там по умолчанию таблица создается на 100 ip и это мало...
Изменить максимальное кол-во записей можно в /sys/module/xt_recent/parameters/ip_list_tot
« Последнее редактирование: 07 Февраля 2012, 10:27:35 от alexxnight »

Оффлайн ghbb

  • Автор темы
  • Новичок
  • *
  • Сообщений: 6
    • Просмотр профиля
Re: DDoS по портам
« Ответ #6 : 07 Февраля 2012, 23:58:49 »
Я в етом ничего немогу понять.... помогите с настройками пожалуйста.... скажите что и как делать буду очень благодарен

Оффлайн graddata

  • PreSale
  • Администратор
  • Старожил
  • *
  • Сообщений: 1836
  • BIGCloud
    • Просмотр профиля
Re: DDoS по портам
« Ответ #7 : 08 Февраля 2012, 01:11:06 »
ghbb,
Я так понимаю, вопрос нужно быстро решить. Лучше всего смотреть на месте.
Вы уверены что именно этот порт и как вы это поняли что ддос?

Пользователь решил продолжить мысль 08 Февраля 2012, 01:12:04:
по приведённому примеру вашего IP, вы дедосите самого себя.

Оффлайн ghbb

  • Автор темы
  • Новичок
  • *
  • Сообщений: 6
    • Просмотр профиля
Re: DDoS по портам
« Ответ #8 : 08 Февраля 2012, 01:54:47 »
Понял потому что сервер начал зависать и повишение трафика в несколько раз, не только етот порт много еще портов поочереди ддосят, сегодня опять дос... пострадал 27015 порт, тогда страдал 27107 тоже игровой, помогите защитить сервер...

Оффлайн graddata

  • PreSale
  • Администратор
  • Старожил
  • *
  • Сообщений: 1836
  • BIGCloud
    • Просмотр профиля
Re: DDoS по портам
« Ответ #9 : 08 Февраля 2012, 10:50:20 »
ghbb,
каким firewall пользуетесь?

Пришлите лог, что вас ддосят. (tcpDump), конечно отсортируйте его, а не в голом виде присылайте.
Не могут просто так ддос по портам идти. Он должен быть на правленым быть на что-то.

Оффлайн ghbb

  • Автор темы
  • Новичок
  • *
  • Сообщений: 6
    • Просмотр профиля
Re: DDoS по портам
« Ответ #10 : 08 Февраля 2012, 23:19:15 »
UDP Флуд ето, как защитится?
Лог
(Нажмите, чтобы показать/скрыть)

Оффлайн Polkan

  • Участник
  • *
  • Сообщений: 124
    • Просмотр профиля
Re: DDoS по портам
« Ответ #11 : 09 Февраля 2012, 11:49:00 »
UDP Флуд ето, как защитится?
Лог
tcpdump src port 1034
...
Для чего Вы ограничили источники пакетов портом 1034?
Покажите вывод этой команды:
tcpdump -tn -c 10000 -i eth0 dst host 195.191.126.40 | awk '{print $1," ",$2}' | sort | uniq -c | sort -nr | awk '$1 > 100'

Оффлайн sm0k3

  • Новичок
  • *
  • Сообщений: 2
  • http://sm0k3.net
    • Просмотр профиля
    • Sm0k3 HQ
Re: DDoS по портам
« Ответ #12 : 09 Февраля 2012, 17:10:20 »
UDP Флуд ето, как защитится?
Лог
(Нажмите, чтобы показать/скрыть)

 ipfw -> ограничение на кол-во подключений с одного IP (2-5 подключений вполне хватит) -> Profit !
 Помогал с такой схемкой на винде знакомому, на wipfw, прокатило на ура...
 з.ы. ninja edit: список правил для фв можно найти в гугле (поиск!).
« Последнее редактирование: 09 Февраля 2012, 17:19:50 от sm0k3 »
Weakness can only mean death...
sm0k3.net

Оффлайн SangreEdessa

  • Новичок
  • *
  • Сообщений: 17
    • Просмотр профиля
Re: DDoS по портам
« Ответ #13 : 10 Февраля 2012, 17:11:13 »
Сморите утилитку fail2ban, читает логи iptables и на основе их добавляет нужные правила.
(В теории.Сам ещё не пробовал)

 

Страница сгенерирована за 0.036 секунд. Запросов: 26.