Защита от DDOS-атак (ipfw и limit connection udp)

[kalifcd]

Есть сервера Left 4 Dead, установленые на FreeBSD.Все отлично работаэт, но есть проблема с DDOS-атаками по UDP портам. Может кто подскажет нормальную защиту, пробывали ipfw и pf, но правельный конфигов так и не нашли. Нужно ограничить кол-во подключений(на ipfw не нашел limit connection udp).Помогите советом, если кто-то знает.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Гость]

если канал забьют флудом
то никакой фаервол не поможет

[kalifcd]

если канал забьют флудом
то никакой фаервол не поможет

От флуда защита есть, там не сложно. А по портам UDP пока конфига неподобрали.

[Гость]

вы наивный и глупый
от флуда защиты нет
если вам весь канал забьют флудом, то ни один пользователь к вам не достучится к вашему айпи, а не то что к какому то порту который вы собираетесь как то ограничивать

[kalifcd]

вы наивный и глупый
от флуда защиты нет
если вам весь канал забьют флудом, то ни один пользователь к вам не достучится к вашему айпи, а не то что к какому то порту который вы собираетесь как то ограничивать

По поводу флуда есть конфиг, довольно распространённый:
kern.ipc.somaxconn=1024
net.inet.icmp.drop_redirect=1
net.inet.icmp.log_redirect=1
net.inet.ip.redirect=0
net.inet6.ip6.redirect=0
net.inet.tcp.sendspace=32768
net.inet.tcp.recvspace=32768
net.link.ether.inet.max_age=1200
net.inet.ip.sourceroute=0
net.inet.ip.accept_sourceroute=0
net.inet.icmp.bmcastecho=0
net.inet.icmp.maskrepl=0

А вот по поводу ограничений на UDP-порта, то на Линуксе есть и прекрасно работае:
http://forums.alliedmods.net/showthread.php?t=106378
Вот такое нада и на Free.

[kalifcd]

И мне флуд не столь важен сейчас, мне нужна защита от DDos-атак по портам, где запускаются игровые сервера.

[Гость]

весь ваш конфиг в попу, если вы не понимаете что такое флуд
и если вы на линуксе ограничиваете лимит айпи ради защиты от выдуманого ддоса, то флаг вам в руки
как вы думаете апач люди тоже ограничивают по 80 порту?
ответ - НИКОГДА, НИКОГДА, НИКОГДА
если ваши гейм сервера спроектированы что после 20 коннектов они вешаются потому что не выносят нагрузку
то выбросте их нахрен

ну а если же вы все таки дубовый и упорно хотите что то ограничивать, то флаг вам
http://forum.lissyara.su/viewtopic.php? ... 04&start=0
http://forum.lissyara.su/viewtopic.php? ... 7&start=25
http://forum.lissyara.su/viewtopic.php?f=4&t=23028

и харе меня квотить
кнопочка ОТВЕТИТЬ - слева внизу

[hizel]

как всетаки гость надоел :-(

топикстартер, такой возможности как в в приведенной вами ссылке в ipfw нет
надо самому писать нашлепку, но как бы нашлепка сама не сдохла от такого трафика, эх был бы ipfw модульным :-(

[Гость]

поддерживаю хизель не нужен
а если хизеля и ТС отправить по ссылкам выше
то они там найдут

limit {src-addr | src-port | dst-addr | dst-port} N
То же, что и keep-state, но динамическое правило заводится только в том случае, если не превышен указанный предел. Таким образом, можно легко ограничить количество одновременных подключений к некоторому хосту или порту.

[hizel]

кретин, эта rule опция не является законченным решением проблемы топикстаретра, открой приведенную топикстартером ссылку и включи мозги

как минимум если сувать в лог по этой rule options быстро перевалит за LOG_LIMIT :-\

[Гость]

сам критин
зачем что то заваливать в лог?

[hizel]

я же сказал - включи мозги

[Гость]

иди сам включай мозги
количество динамических правил максимум 8192, с него хватит как лимит
остальное в /dev/null
http://www.opennet.ru/openforum/vsluhfo ... /3505.html

но как я сказал
ТС копает не в ту сторону

покажите мне реальные примеры на промышленных апачах, когда кто то ограничивает количество коннектов в порту 80, например

[Alex Keda]

Код: Выделить всё

srv0# ipfw show | grep 80
00100  9834432 5809025647 allow ip from me to me
00400      148       7800 deny ip from table(80) to me dst-port 80
00800        0          0 reject log logamount 1000 tcp from any to any not established tcpflags fin
01300  3756146 2336254820 allow tcp from any to me dst-port 80 setup limit src-addr 15
srv0# 

я ограничиваю. а что?

[Гость]

ты ограничиваешь количество запросов с одного клиента(src)
а не количество запросов на сервер(dst)

[kalifcd]

Сервер выдерживает нагрузку и до 20 игровых серверов но при ддосе виснет сам сервер игры, а не машина!

[kalifcd]

Вот простой FPinger по DDos валит только игровой сервер по UDP портам

[Гость]

80 setup limit src-addr 15

теперь понимаю почему иногда коннекты к форуму рвутся
если много сессий(закладок открыто)

Сервер выдерживает нагрузку и до 20 игровых серверов но при ддосе виснет сам сервер игры, а не машина!

вот с сервером и боритесь!
есть inetd для ограничения
есть tcpservice(или как то так он в портах гдето, daemontools/ucspi-tcp ) его еще часто к qmail в связке прикручивали
итд

[hizel]

kalifcd у вас какая структура флуда, много пакетов с одного ip или много пакетов с множества ip ?

когда гость отдуплится? ему о udp он tcp подсовывает

[Гость]

keep-state работает в равной мере и для udp тоже
флудите дальше
скучно с вами

[kalifcd]

kalifcd у вас какая структура флуда, много пакетов с одного ip или много пакетов с множества ip ?

С одного ip много пакетов. Но проблема в том, что если забанить его ip, он переходит на другой и повторяет все заново.

[hizel]

Код: Выделить всё

allow tcp from any to me dst-port 80 setup limit src-addr 15

на каждое уникальное входящие соединение создается пара:
<src-ip> <-> <me>
уникальность в
<src-ip><src-port> <-> <dst-ip><dst-port>
если таких пар больше 15, пользователь посылается нафиг
то есть это работает для flood-а - один клиент много соединений, от udp flood-а оно не спасет
в udp по одному соединению можно фигачить тучу пакетов без проблем, в tcp только первыми пакетами syn, но они закрыты у Лис-а раньше

[Гость]

лисяра двал мне ответ на мой вопрос, а не вопрос ТС
к чему обьяснения его примера?

пепла на хизеля нет что бы засыпать

[kalifcd]

Так не может быть, что на линуксе все это спокойно решаемос а на Фряхе нет((( Должно быть решение, ведь игровые сервера основном на UDP портах.

[Гость]

на фряхе тоже решаемо
просто вы не хотите думать, а хотите что бы вам дали готовые комнады ipfw