Защита от DDOS-атак (ipfw и limit connection udp)

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
kalifcd
рядовой
Сообщения: 11
Зарегистрирован: 2011-03-18 13:34:25

Защита от DDOS-атак (ipfw и limit connection udp)

Непрочитанное сообщение kalifcd » 2011-03-18 13:45:05

Есть сервера Left 4 Dead, установленые на FreeBSD.Все отлично работаэт, но есть проблема с DDOS-атаками по UDP портам. Может кто подскажет нормальную защиту, пробывали ipfw и pf, но правельный конфигов так и не нашли. Нужно ограничить кол-во подключений(на ipfw не нашел limit connection udp).Помогите советом, если кто-то знает.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Гость
проходил мимо

Re: Защита от DDOS-атак (ipfw и limit connection udp)

Непрочитанное сообщение Гость » 2011-03-18 13:47:24

если канал забьют флудом
то никакой фаервол не поможет

Аватара пользователя
kalifcd
рядовой
Сообщения: 11
Зарегистрирован: 2011-03-18 13:34:25

Re: Защита от DDOS-атак (ipfw и limit connection udp)

Непрочитанное сообщение kalifcd » 2011-03-18 13:53:02

Гость писал(а):если канал забьют флудом
то никакой фаервол не поможет
От флуда защита есть, там не сложно. А по портам UDP пока конфига неподобрали.

Гость
проходил мимо

Re: Защита от DDOS-атак (ipfw и limit connection udp)

Непрочитанное сообщение Гость » 2011-03-18 13:56:14

вы наивный и глупый
от флуда защиты нет
если вам весь канал забьют флудом, то ни один пользователь к вам не достучится к вашему айпи, а не то что к какому то порту который вы собираетесь как то ограничивать

Аватара пользователя
kalifcd
рядовой
Сообщения: 11
Зарегистрирован: 2011-03-18 13:34:25

Re: Защита от DDOS-атак (ipfw и limit connection udp)

Непрочитанное сообщение kalifcd » 2011-03-18 14:01:15

Гость писал(а):вы наивный и глупый
от флуда защиты нет
если вам весь канал забьют флудом, то ни один пользователь к вам не достучится к вашему айпи, а не то что к какому то порту который вы собираетесь как то ограничивать
По поводу флуда есть конфиг, довольно распространённый:
kern.ipc.somaxconn=1024
net.inet.icmp.drop_redirect=1
net.inet.icmp.log_redirect=1
net.inet.ip.redirect=0
net.inet6.ip6.redirect=0
net.inet.tcp.sendspace=32768
net.inet.tcp.recvspace=32768
net.link.ether.inet.max_age=1200
net.inet.ip.sourceroute=0
net.inet.ip.accept_sourceroute=0
net.inet.icmp.bmcastecho=0
net.inet.icmp.maskrepl=0


А вот по поводу ограничений на UDP-порта, то на Линуксе есть и прекрасно работае:
http://forums.alliedmods.net/showthread.php?t=106378
Вот такое нада и на Free.

Аватара пользователя
kalifcd
рядовой
Сообщения: 11
Зарегистрирован: 2011-03-18 13:34:25

Re: Защита от DDOS-атак (ipfw и limit connection udp)

Непрочитанное сообщение kalifcd » 2011-03-18 14:05:51

И мне флуд не столь важен сейчас, мне нужна защита от DDos-атак по портам, где запускаются игровые сервера.

Гость
проходил мимо

Re: Защита от DDOS-атак (ipfw и limit connection udp)

Непрочитанное сообщение Гость » 2011-03-18 14:14:48

весь ваш конфиг в попу, если вы не понимаете что такое флуд
и если вы на линуксе ограничиваете лимит айпи ради защиты от выдуманого ддоса, то флаг вам в руки
как вы думаете апач люди тоже ограничивают по 80 порту? :-D
ответ - НИКОГДА, НИКОГДА, НИКОГДА
если ваши гейм сервера спроектированы что после 20 коннектов они вешаются потому что не выносят нагрузку
то выбросте их нахрен

ну а если же вы все таки дубовый и упорно хотите что то ограничивать, то флаг вам
http://forum.lissyara.su/viewtopic.php? ... 04&start=0
http://forum.lissyara.su/viewtopic.php? ... 7&start=25
http://forum.lissyara.su/viewtopic.php?f=4&t=23028

и харе меня квотить
кнопочка ОТВЕТИТЬ - слева внизу

Аватара пользователя
hizel
дядя поня
Сообщения: 9032
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: Защита от DDOS-атак (ipfw и limit connection udp)

Непрочитанное сообщение hizel » 2011-03-18 14:24:12

как всетаки гость надоел :-(

топикстартер, такой возможности как в в приведенной вами ссылке в ipfw нет
надо самому писать нашлепку, но как бы нашлепка сама не сдохла от такого трафика, эх был бы ipfw модульным :-(
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

Гость
проходил мимо

Re: Защита от DDOS-атак (ipfw и limit connection udp)

Непрочитанное сообщение Гость » 2011-03-18 14:39:45

поддерживаю хизель не нужен
а если хизеля и ТС отправить по ссылкам выше
то они там найдут
limit {src-addr | src-port | dst-addr | dst-port} N
То же, что и keep-state, но динамическое правило заводится только в том случае, если не превышен указанный предел. Таким образом, можно легко ограничить количество одновременных подключений к некоторому хосту или порту.

Аватара пользователя
hizel
дядя поня
Сообщения: 9032
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: Защита от DDOS-атак (ipfw и limit connection udp)

Непрочитанное сообщение hizel » 2011-03-18 14:47:16

кретин, эта rule опция не является законченным решением проблемы топикстаретра, открой приведенную топикстартером ссылку и включи мозги

как минимум если сувать в лог по этой rule options быстро перевалит за LOG_LIMIT :-\
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

Гость
проходил мимо

Re: Защита от DDOS-атак (ipfw и limit connection udp)

Непрочитанное сообщение Гость » 2011-03-18 14:50:21

сам критин
зачем что то заваливать в лог?

Аватара пользователя
hizel
дядя поня
Сообщения: 9032
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: Защита от DDOS-атак (ipfw и limit connection udp)

Непрочитанное сообщение hizel » 2011-03-18 14:52:26

я же сказал - включи мозги
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

Гость
проходил мимо

Re: Защита от DDOS-атак (ipfw и limit connection udp)

Непрочитанное сообщение Гость » 2011-03-18 14:58:28

иди сам включай мозги
количество динамических правил максимум 8192, с него хватит как лимит
остальное в /dev/null
http://www.opennet.ru/openforum/vsluhfo ... /3505.html

но как я сказал
ТС копает не в ту сторону

покажите мне реальные примеры на промышленных апачах, когда кто то ограничивает количество коннектов в порту 80, например

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35454
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Защита от DDOS-атак (ipfw и limit connection udp)

Непрочитанное сообщение Alex Keda » 2011-03-18 15:06:40

Код: Выделить всё

srv0# ipfw show | grep 80
00100  9834432 5809025647 allow ip from me to me
00400      148       7800 deny ip from table(80) to me dst-port 80
00800        0          0 reject log logamount 1000 tcp from any to any not established tcpflags fin
01300  3756146 2336254820 allow tcp from any to me dst-port 80 setup limit src-addr 15
srv0# 
я ограничиваю. а что?
Убей их всех! Бог потом рассортирует...

Гость
проходил мимо

Re: Защита от DDOS-атак (ipfw и limit connection udp)

Непрочитанное сообщение Гость » 2011-03-18 15:09:37

ты ограничиваешь количество запросов с одного клиента(src)
а не количество запросов на сервер(dst)

Аватара пользователя
kalifcd
рядовой
Сообщения: 11
Зарегистрирован: 2011-03-18 13:34:25

Re: Защита от DDOS-атак (ipfw и limit connection udp)

Непрочитанное сообщение kalifcd » 2011-03-18 15:10:09

Сервер выдерживает нагрузку и до 20 игровых серверов но при ддосе виснет сам сервер игры, а не машина!

Аватара пользователя
kalifcd
рядовой
Сообщения: 11
Зарегистрирован: 2011-03-18 13:34:25

Re: Защита от DDOS-атак (ipfw и limit connection udp)

Непрочитанное сообщение kalifcd » 2011-03-18 15:13:14

Вот простой FPinger по DDos валит только игровой сервер по UDP портам
Изображение
Последний раз редактировалось kalifcd 2011-03-18 15:15:21, всего редактировалось 2 раза.

Гость
проходил мимо

Re: Защита от DDOS-атак (ipfw и limit connection udp)

Непрочитанное сообщение Гость » 2011-03-18 15:13:30

80 setup limit src-addr 15
теперь понимаю почему иногда коннекты к форуму рвутся
если много сессий(закладок открыто)

Сервер выдерживает нагрузку и до 20 игровых серверов но при ддосе виснет сам сервер игры, а не машина!
вот с сервером и боритесь!
есть inetd для ограничения
есть tcpservice(или как то так он в портах гдето, daemontools/ucspi-tcp ) его еще часто к qmail в связке прикручивали
итд

Аватара пользователя
hizel
дядя поня
Сообщения: 9032
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: Защита от DDOS-атак (ipfw и limit connection udp)

Непрочитанное сообщение hizel » 2011-03-18 15:17:53

kalifcd у вас какая структура флуда, много пакетов с одного ip или много пакетов с множества ip ?

когда гость отдуплится? ему о udp он tcp подсовывает
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

Гость
проходил мимо

Re: Защита от DDOS-атак (ipfw и limit connection udp)

Непрочитанное сообщение Гость » 2011-03-18 15:19:12

keep-state работает в равной мере и для udp тоже
флудите дальше
скучно с вами

Аватара пользователя
kalifcd
рядовой
Сообщения: 11
Зарегистрирован: 2011-03-18 13:34:25

Re: Защита от DDOS-атак (ipfw и limit connection udp)

Непрочитанное сообщение kalifcd » 2011-03-18 15:22:18

hizel писал(а):kalifcd у вас какая структура флуда, много пакетов с одного ip или много пакетов с множества ip ?
С одного ip много пакетов. Но проблема в том, что если забанить его ip, он переходит на другой и повторяет все заново.

Аватара пользователя
hizel
дядя поня
Сообщения: 9032
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: Защита от DDOS-атак (ipfw и limit connection udp)

Непрочитанное сообщение hizel » 2011-03-18 15:44:20

Код: Выделить всё

allow tcp from any to me dst-port 80 setup limit src-addr 15
на каждое уникальное входящие соединение создается пара:
<src-ip> <-> <me>
уникальность в
<src-ip><src-port> <-> <dst-ip><dst-port>
если таких пар больше 15, пользователь посылается нафиг
то есть это работает для flood-а - один клиент много соединений, от udp flood-а оно не спасет
в udp по одному соединению можно фигачить тучу пакетов без проблем, в tcp только первыми пакетами syn, но они закрыты у Лис-а раньше
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

Гость
проходил мимо

Re: Защита от DDOS-атак (ipfw и limit connection udp)

Непрочитанное сообщение Гость » 2011-03-18 15:49:30

лисяра двал мне ответ на мой вопрос, а не вопрос ТС
к чему обьяснения его примера?

пепла на хизеля нет что бы засыпать

Аватара пользователя
kalifcd
рядовой
Сообщения: 11
Зарегистрирован: 2011-03-18 13:34:25

Re: Защита от DDOS-атак (ipfw и limit connection udp)

Непрочитанное сообщение kalifcd » 2011-03-18 16:03:46

Так не может быть, что на линуксе все это спокойно решаемос а на Фряхе нет((( Должно быть решение, ведь игровые сервера основном на UDP портах.

Гость
проходил мимо

Re: Защита от DDOS-атак (ipfw и limit connection udp)

Непрочитанное сообщение Гость » 2011-03-18 16:05:39

на фряхе тоже решаемо
просто вы не хотите думать, а хотите что бы вам дали готовые комнады ipfw