ДДос атака. Каким файрволом зарезать пакеты опр. длины

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Anti-DDos
проходил мимо

ДДос атака. Каким файрволом зарезать пакеты опр. длины

Непрочитанное сообщение Anti-DDos » 2012-02-15 0:07:42

Мой игровой сервак Call of duty 4 постоянно ддосят запросами статуса.
Т.е. приходит пакет UDP на сервер с запросом ....getstatus..
Сервак отправляет ответ с инфой сколько игроков и т.д.

Я защитился блокированием диапазонов адресов.

Код: Выделить всё

# cod4_rules_file
# IPFILTER ipf rules
#
block in log quick from 50.57.34.86/32 to any
block in log quick from 61.14.142.157/32 to any
block in log quick from 61.14.0.0/16 to any
block in log quick from 66.101.212.95/32 to any
block in log quick from 66.101.0.0/16 to any
block in log quick from 69.42.213.194/32 to any
block in log quick from 69.42.0.0/16 to any
block in log quick from 70.39.101.130/32 to any
block in log quick from 70.39.0.0/16 to any
block in log quick from 90.151.208.0/20 to any
block in log quick from 90.151.220.181/32 to any
block in log quick from 95.0.239.99/32 to any
block in log quick from 95.0.0.0/16 to any
block in log quick from 184.172.248.133 to any
block in log quick from 199.83.0.0/16 to any
block in log quick from 199.83.128.94/32 to any
block in log quick from 199.83.130.94/32 to any
block in log quick from 199.255.166.25/32 to any
block in log quick from 199.255.166.99/32 to any
block in log quick from 199.255.0.0/16 to any
block in log quick from 204.93.213.40/32 to any
block in log quick from 204.93.0.0/16 to any
block in log quick from 208.45.0.0/16 to any
block in log quick from 208.82.0.0/16 to any
block in log quick from 209.87.152.138/32 to any
block in log quick from 209.87.0.0/16 to any
Но это не выход, постоянно ручками вбивать.

В инете нашел правила для линуха на iptables, но уменя freebsd =)

http://forum.4gf.cz/topic/957-ddos-utok ... 4-servery/

Смысл прост, если приходит пакет с определенным размером (от 45 до 47 байт) на порт UDP 28960,
то пропускать не более 20 пакетов за одну секунду, всё остальное дропать.

Код: Выделить всё

iptables -A INPUT -p UDP -m length --length 42:45 -m recent --set --name getstatus_cod
iptables -A INPUT -p UDP -m string --algo bm --string "getstatus" -m recent --update --seconds 1 --hitcount 20 --name getstatus_cod -j DROP
Тема будет полезной, ведь можно и не для игрушки применить, к DNS серверу тоже можно.


Есть ли у BSD`эшных файрволов (pf, ipf, ipfw) что-то подобное?

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
manefesto
Группенфюррер
Сообщения: 6934
Зарегистрирован: 2007-07-20 8:27:30
Откуда: Пермь
Контактная информация:

Re: ДДос атака. Каким файрволом зарезать пакеты опр. длины

Непрочитанное сообщение manefesto » 2012-02-15 7:26:46

pf умеет при срабатывания правила допустим 10 раз в секунду блокирует атакующего
_http://johan.fredin.info/openbsd/block_ssh_bruteforce.html
я такой яростный шо аж пиздеЦ
Изображение

Bayerische
капитан
Сообщения: 1820
Зарегистрирован: 2010-12-25 20:41:50
Откуда: Хлебная столица

Re: ДДос атака. Каким файрволом зарезать пакеты опр. длины

Непрочитанное сообщение Bayerische » 2012-02-15 9:02:55

У ipfw есть limit src-addr

harmless
лейтенант
Сообщения: 715
Зарегистрирован: 2007-08-23 10:56:51
Откуда: Украина, г. Киев, г. Белая Церковь
Контактная информация:

Re: ДДос атака. Каким файрволом зарезать пакеты опр. длины

Непрочитанное сообщение harmless » 2012-02-15 10:50:16

Bayerische писал(а):У ipfw есть limit src-addr
Это ограничит только кол-во подключенных клиентов к серваку, но никак не кол-во их пакетов в секунду!