Flooding attack POMOCY

[mauzer]

Witam

Niewiem w zasadzie od czego zaczac, chodzi o to ze jestem wlascicielem jednego z najwiekszych serwerow gier do cs:s i komus sie to bardzo nie podoba :/
flooduje port 27015 co powoduje zawieszenia serwera i pingi w grze na poziomie kilku sekund. prosze pomozcie mi jak poradzic sobie z takim atakiem
Uzywam linuxa SUSE 10.02 i mam dostep do konsoli przez program PUTTY

[TQM]

Moze to nie flood ale slow-ping - czasami sa ludzie co wlaza na serwer - 1 osoba co ma zepsutego pinga i cala gra w du*e bierze bo ping skacze wszystkim >150 a czasami i wyzej (z okolo 20 jak jest normalnie). Ja grywam na serwerach dumbclan'u i tam szybko admini wiedza kto to i wycinaja delikwenta by nie psul zabawy.

W UDP ciezko powiedziec czy to flood czy nie flood - protokol jest bezstanowy, mozna spoofowac dowoli... Jak ktos zapycha Ci lacze to zwiekszyc przepustowosc, wymienic firewall'e na bardziej wydajne, jesli masz tylko softowy na SuSe to skrocic regulki do minimum i ulozyc w odpowiendiej kolejnosci, zmienic dlugosc kolejek w konfiguracji kernela itd... moze QoS - jakis TBF na wejsciu albo cos w tym rodzaju.

Podales za malo informacji - w sumie nie wiesz nic, poza tym ze ktos prawdopodobnie flooduje - w ten sposob niewiele sie dowiesz bo to bedzie wrozenie z fusow co najwyzej.

[tanaka]

Witam

Niewiem w zasadzie od czego zaczac, chodzi o to ze jestem wlascicielem jednego z najwiekszych serwerow gier do cs:s i komus sie to bardzo nie podoba :/
flooduje port 27015 co powoduje zawieszenia serwera i pingi w grze na poziomie kilku sekund. prosze pomozcie mi jak poradzic sobie z takim atakiem
Uzywam linuxa SUSE 10.02 i mam dostep do konsoli przez program PUTTY

ja za BAN za skilla zrobilbym to samo

czym serwer jest floodowany? --> tcpdump

[mauzer]

tu nie chodzi o skila. na serwer wszedl cziter i napisal ze jak niepozwolilmy mu czitowowac to zflooduje serwer ja sie oczywiscie nieprzejolem bo myslalem ze to kolejny *cenzura* dzieciak i perm polecial odrazu i od tamtej pory serw ciagle jest atakowany

server jest floodowany programem jakims jak wpisuje tcpdump to sie pokazuje iles tam stron na sekunde o dlugosci pakietu 0 ustawilem w iptables zeby akceptowalo tylko pakiety o dlugosci od 30 do 65k ale niedalo to rady

----

udalo mi sie zdobyc kopie tego programu co on uzywa. moge wrzucic na speedyshare albo cos zebyscie zobaczyli o co tu chodzi i pomogli mi przeciwdzialac temu

[tanaka]

tu nie chodzi o skila. na serwer wszedl cziter i napisal ze jak niepozwolilmy mu czitowowac to zflooduje serwer ja sie oczywiscie nieprzejolem bo myslalem ze to kolejny *cenzura* dzieciak i perm polecial odrazu i od tamtej pory serw ciagle jest atakowany

server jest floodowany programem jakims jak wpisuje tcpdump to sie pokazuje iles tam stron na sekunde o dlugosci pakietu 0 ustawilem w iptables zeby akceptowalo tylko pakiety o dlugosci od 30 do 65k ale niedalo to rady

----

udalo mi sie zdobyc kopie tego programu co on uzywa. moge wrzucic na speedyshare albo cos zebyscie zobaczyli o co tu chodzi i pomogli mi przeciwdzialac temu

Witaj,
1. nawet jesli to sto stron to dobrzeby bylo zebys dał linka do zrzutu tcpdump, przy tego typu atakach dobrze przeanalizowc pakiety i znalezc ich unikatową cechę....
2. Mozna wiedziec jakiej składni użyłes do zablokowania tych pakietów... moze faktycznie to wystarczy , a jedynie jakis blad w skladni jest.
3. Czekam na link do programiku.

pozdrawiam

[mauzer]

iptables -A FORWARD -p icmp --icmp-type echo-request -m length --length 30:65535 -j ACCEPT

tej komendy uzylem. narazie kolega haker przestal atakowac wiec niemam jak wkleic tu zrzutu z tcpdump chyba ze jest to ggdzies przechowywane w logach.

a programiku bezpieczniej bedzie jak nie udostepnie publicznie

tu jest zrzut ekranu jak wyglada ten program
http://img81.imageshack.us/img81/3543/obrazekly6.jpg

[TQM]

Jesli ping nie jest krytyczny (ICMP ping) to mozesz uzyc --limit i podac ile moze wejsc w jednostce czasu...

[mauzer]

iptables -A INPUT -p tcp --syn -m limit --limit 3/s -j ACCEPT

niewiem czy poprawnie wpisalem komende

[tanaka]

iptables -A INPUT -p tcp --syn -m limit --limit 3/s -j ACCEPT

niewiem czy poprawnie wpisalem komende

no tak ale wpierw twoja regulka dotyczyla pakietu ICMP wiec i limit jaki nakladasz powinien byc na ICMP, to co napisales powyzej pozwala na max 3/s nowe polaczenia do serwera i zabezpiecza cie przed SYN floodem.
Tak wiec musisz sie zdecydowac czym cie flooduja, ICMP czy SYN'ami


A co do wczesniejszego twojego postu , to proponuje :
DROP na długosc 0:30 a nie ACCEPT 30:...
w przeciwnym wypadku musialbys ustawic domyslna polityke na echo request na DROP , i nie FORWARD a INPUT

No a teraz tak patrze ze mowiles ze flooduja ci port 27015, a to juz oznacza ze nie dotyczy to ICMP.
Poraz kolejny proponuje zrobic zrzut z tcpdumpa, inaczej to blokowac sobie mozemy na chybil trafil.

[mauzer]

kolega haker powiedzial mi tylko ping of death czy cos takiego ;/ ja zabardzo sie nieznam na tym wiec ciezko mi stwierdzic czy to ICMP czy SYN. zaraz wam dam zrzut z komendy tcpdump