Dedicated-Server.RU  


Ответ
 
Опции темы Опции просмотра
Старый 01.07.2017, 23:28   #16
Эксперт
 
Регистрация: 02.09.2005
Адрес: Евпатория
Сообщений: 434
Сказал спасибо: 19
Поблагодарили 209 раз(а) в 71 сообщениях
По умолчанию

iptables -I PREROUTING -t raw -p udp --sport 27015 -j DROP
And you can block ttl 237 - isn't valid ttl
ps\\ no checksum can be at the valid clients
__________________
MP
Администрирование серверов.
Cisco Certified Network Associate & Network Security
Fire вне форума   Ответить с цитированием
Пользователь сказал cпасибо:
-Player- (02.07.2017)
Старый 01.07.2017, 23:30   #17
Эксперт
 
Регистрация: 02.09.2005
Адрес: Евпатория
Сообщений: 434
Сказал спасибо: 19
Поблагодарили 209 раз(а) в 71 сообщениях
По умолчанию

if hoster use juniper, try this:
Код:
set firewall family inet filter some_server term game_server_responces from protocol udp
set firewall family inet filter some_server term game_server_responces from source-port 27015-28000
set firewall family inet filter some_server term game_server_responces from destination-port-except 26900-26920
set firewall family inet filter some_server term game_server_responces then discard
__________________
MP
Администрирование серверов.
Cisco Certified Network Associate & Network Security
Fire вне форума   Ответить с цитированием
Старый 02.07.2017, 01:07   #18
Не проверенный
 
Регистрация: 11.11.2013
Адрес: Иваново
Сообщений: 531
Сказал спасибо: 13
Поблагодарили 198 раз(а) в 136 сообщениях
По умолчанию

Цитата:
Сообщение от Fire Посмотреть сообщение
And you can block ttl 237 - isn't valid ttl
It is unusual, but not invalid.
PRoSToTeM@ вне форума   Ответить с цитированием
Старый 02.07.2017, 04:30   #19
Эксперт
 
Регистрация: 02.09.2005
Адрес: Евпатория
Сообщений: 434
Сказал спасибо: 19
Поблагодарили 209 раз(а) в 71 сообщениях
По умолчанию

Цитата:
Сообщение от PRoSToTeM@ Посмотреть сообщение
It is unusual, but not invalid.
Это результат кривых провайдеров с натом, огромная редкость. В нормальной ситуации такого нет.
__________________
MP
Администрирование серверов.
Cisco Certified Network Associate & Network Security
Fire вне форума   Ответить с цитированием
Старый 02.07.2017, 14:23   #20
Не проверенный
 
Регистрация: 29.06.2017
Адрес: Unknown
Сообщений: 10
Сказал спасибо: 6
Поблагодарили 1 раз в 1 сообщении
По умолчанию

Цитата:
Сообщение от Fire Посмотреть сообщение
iptables -I PREROUTING -t raw -p udp --sport 27015 -j DROP
I use this also but some of packets still come but i use "INPUT" I'll try "PREROUTING" may it solve the problem.

Цитата:
Сообщение от Fire Посмотреть сообщение
And you can block ttl 237 - isn't valid ttl
Will try this also.

Цитата:
Сообщение от Fire Посмотреть сообщение
ps\\ no checksum can be at the valid clients
So also valid client can get 27015 port? If he can get this port so checksum and port block are same.
-Player- вне форума   Ответить с цитированием
Старый 02.07.2017, 15:42   #21
Эксперт
 
Регистрация: 02.09.2005
Адрес: Евпатория
Сообщений: 434
Сказал спасибо: 19
Поблагодарили 209 раз(а) в 71 сообщениях
По умолчанию

No, valid clients can't get sport 27015.
No checksum - some no-steam clients and monitorings
__________________
MP
Администрирование серверов.
Cisco Certified Network Associate & Network Security
Fire вне форума   Ответить с цитированием
Пользователь сказал cпасибо:
-Player- (02.07.2017)
Старый 02.07.2017, 17:35   #22
Не проверенный
 
Регистрация: 11.11.2013
Адрес: Иваново
Сообщений: 531
Сказал спасибо: 13
Поблагодарили 198 раз(а) в 136 сообщениях
По умолчанию

Цитата:
Сообщение от Fire Посмотреть сообщение
No checksum - some no-steam clients
??? Есть нон-стим клиенты, которые посылают сырые пакеты без чексуммы?
PRoSToTeM@ вне форума   Ответить с цитированием
Старый 02.07.2017, 17:43   #23
Эксперт
 
Регистрация: 02.09.2005
Адрес: Евпатория
Сообщений: 434
Сказал спасибо: 19
Поблагодарили 209 раз(а) в 71 сообщениях
По умолчанию

Цитата:
Сообщение от PRoSToTeM@ Посмотреть сообщение
??? Есть нон-стим клиенты, которые посылают сырые пакеты без чексуммы?
Да, попадались переодически. Можешь сам половить у себя.
__________________
MP
Администрирование серверов.
Cisco Certified Network Associate & Network Security
Fire вне форума   Ответить с цитированием
Старый 02.07.2017, 17:58   #24
Не проверенный
 
Регистрация: 29.06.2017
Адрес: Unknown
Сообщений: 10
Сказал спасибо: 6
Поблагодарили 1 раз в 1 сообщении
По умолчанию

Цитата:
Сообщение от Fire Посмотреть сообщение
No, valid clients can't get sport 27015.
No checksum - some no-steam clients and monitorings
That's ok now i use your rule in "PREROUTING" but still some packets can pass but now i can't see packets on tcpdump, If i used INPUT policy it do same but in this case i can see his attacks in tcpdump.

So just question, This attack or similar can be done with different ports? Every packet with port? or the port should be constant along the attack? Also if my server port was 27014 he should flood from same port?
-Player- вне форума   Ответить с цитированием
Старый 02.07.2017, 18:19   #25
Проверенный
 
Регистрация: 02.06.2016
Адрес: Одесса
Сообщений: 453
Сказал спасибо: 92
Поблагодарили 90 раз(а) в 75 сообщениях
По умолчанию

Цитата:
Сообщение от Fire Посмотреть сообщение
Да, попадались переодически. Можешь сам половить у себя.
В природе таких нету.
Чексума на маршрутизаторах отключается обычно, по простой причине что накладно её проверять при больших объёмах трафика.
В локалке её обычно тоже нету, так как подразумевается что потерь быть не может.

По этой же причине и нет смысла блокировать пакеты без чексумы, могут прийти как от флудера, так и нормального клиента.
Nardamon вне форума   Ответить с цитированием
Старый 02.07.2017, 21:33   #26
Администратор
 
Регистрация: 20.10.2010
Адрес: Москва
Сообщений: 2,795
Сказал спасибо: 426
Поблагодарили 2,231 раз(а) в 720 сообщениях
По умолчанию

Nardamon, невыставленность флага проверки чексуммы не означает её отсутствие.
Asmodai на форуме   Ответить с цитированием
Старый 03.07.2017, 13:03   #27
Проверенный
 
Регистрация: 02.06.2016
Адрес: Одесса
Сообщений: 453
Сказал спасибо: 92
Поблагодарили 90 раз(а) в 75 сообщениях
По умолчанию

Asmodai, Ну не в этом суть.
В чексуме может быть любое произвольное значение, либо вообще не быть, и это не является чем-то необычным или особенным.
Тоже касательно и TTL, его могут произвольно менять как хотят, и это тоже вполне себе норма.
Nardamon вне форума   Ответить с цитированием
Старый 03.07.2017, 18:49   #28
Администратор
 
Регистрация: 20.10.2010
Адрес: Москва
Сообщений: 2,795
Сказал спасибо: 426
Поблагодарили 2,231 раз(а) в 720 сообщениях
По умолчанию

Nardamon, суть в том, что некоторые флудерописатели слишком ленивы и потому забивают на нормальное заполнение заголовков. Либо пользуются лишь спецификацией протокола и плохо знакомы с тем, как оно на практике работает. На одном из этого их и ловят.
Asmodai на форуме   Ответить с цитированием
3 пользователей сказали cпасибо:
Fire (03.07.2017), kaldun (03.11.2017), Nardamon (03.07.2017)
Старый 01.01.2018, 17:51   #29
Зарегистрированный
 
Регистрация: 22.12.2016
Адрес: INDORE
Сообщений: 27
Сказал спасибо: 1
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию FLOODING SERVER

Hey, I'm having query flood at my server too. Above iptables rule didnt prove to help out. Could you please tell how to record the traffic so I post it here and maybe someone could then help me out?
ish12321 вне форума   Ответить с цитированием
Ответ

Метки
ddos, query flood, regamedll, rehlds, reunion


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 
Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 23:34. Часовой пояс GMT +3.


Лицензия принадлежит Dedicated-Server.Ru