dDOS атака на сервер "udp spoofing"

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
padonak
рядовой
Сообщения: 37
Зарегистрирован: 2008-07-08 20:56:44
Откуда: Солнцево
Контактная информация:

dDOS атака на сервер "udp spoofing"

Непрочитанное сообщение padonak » 2009-07-22 23:47:18

Есть сервер, под управлением OS Linux . На нём игровые сервера контры . В последнее время на него начали атаки . tcpdump :

Код: Выделить всё

13:11:17.291486 IP 95-24-141-40.broadband.corbina.ru.1994 > 89.208.136.48.27015: UDP, length 0
13:11:17.291488 IP 95-24-141-40.broadband.corbina.ru.1995 > 89.208.136.48.27015: UDP, length 0
13:11:17.351710 IP 95-24-141-40.broadband.corbina.ru.1969 > 89.208.136.48.27015: UDP, length 0
13:11:17.351712 IP 95-24-141-40.broadband.corbina.ru.1972 > 89.208.136.48.27015: UDP, length 0
13:11:17.351714 IP 95-24-141-40.broadband.corbina.ru.1973 > 89.208.136.48.27015: UDP, length 0
13:11:17.351716 IP 95-24-141-40.broadband.corbina.ru.1970 > 89.208.136.48.27015: UDP, length 0
13:11:17.351718 IP 95-24-141-40.broadband.corbina.ru.1971 > 89.208.136.48.27015: UDP, length 0
13:11:17.351721 IP 95-24-141-40.broadband.corbina.ru.1974 > 89.208.136.48.27015: UDP, length 0
13:11:17.351724 IP 95-24-141-40.broadband.corbina.ru.1975 > 89.208.136.48.27015: UDP, length 0
13:11:17.351987 IP 95-24-141-40.broadband.corbina.ru.1978 > 89.208.136.48.27015: UDP, length 0
13:11:17.351992 IP 95-24-141-40.broadband.corbina.ru.1979 > 89.208.136.48.27015: UDP, length 0
13:11:17.351994 IP 95-24-141-40.broadband.corbina.ru.1976 > 89.208.136.48.27015: UDP, length 0
13:11:17.351997 IP 95-24-141-40.broadband.corbina.ru.1977 > 89.208.136.48.27015: UDP, length 0
13:11:17.352003 IP 95-24-141-40.broadband.corbina.ru.1980 > 89.208.136.48.27015: UDP, length 0
13:11:17.352006 IP 95-24-141-40.broadband.corbina.ru.1981 > 89.208.136.48.27015: UDP, length 0
13:11:17.352012 IP 95-24-141-40.broadband.corbina.ru.1984 > 89.208.136.48.27015: UDP, length 0
13:11:17.352014 IP 95-24-141-40.broadband.corbina.ru.1982 > 89.208.136.48.27015: UDP, length 0
13:11:17.352016 IP 95-24-141-40.broadband.corbina.ru.1983 > 89.208.136.48.27015: UDP, length 0
13:11:17.352019 IP 95-24-141-40.broadband.corbina.ru.1986 > 89.208.136.48.27015: UDP, length 0
13:11:17.352021 IP 95-24-141-40.broadband.corbina.ru.1987 > 89.208.136.48.27015: UDP, length 0
13:11:17.352023 IP 95-24-141-40.broadband.corbina.ru.1985 > 89.208.136.48.27015: UDP, length 0
13:11:17.352025 IP 95-24-141-40.broadband.corbina.ru.1988 > 89.208.136.48.27015: UDP, length 0
13:11:17.352027 IP 95-24-141-40.broadband.corbina.ru.1989 > 89.208.136.48.27015: UDP, length 0
13:11:17.352031 IP 95-24-141-40.broadband.corbina.ru.1992 > 89.208.136.48.27015: UDP, length 0
13:11:17.352033 IP 95-24-141-40.broadband.corbina.ru.1993 > 89.208.136.48.27015: UDP, length 0
13:11:17.352035 IP 95-24-141-40.broadband.corbina.ru.1996 > 89.208.136.48.27015: UDP, length 0
13:11:17.352037 IP 95-24-141-40.broadband.corbina.ru.1997 > 89.208.136.48.27015: UDP, length 0
13:11:17.352039 IP 95-24-141-40.broadband.corbina.ru.1998 > 89.208.136.48.27015: UDP, length 0
13:11:17.352240 IP 95-24-141-40.broadband.corbina.ru.1990 > 89.208.136.48.27015: UDP, length 0
13:11:17.352245 IP 95-24-141-40.broadband.corbina.ru.1991 > 89.208.136.48.27015: UDP, length 0
13:11:17.352247 IP 95-24-141-40.broadband.corbina.ru.1994 > 89.208.136.48.27015: UDP, length 0
13:11:17.352252 IP 95-24-141-40.broadband.corbina.ru.1995 > 89.208.136.48.27015: UDP, length 0
13:11:17.399963 IP 95-24-141-40.broadband.corbina.ru.1969 > 89.208.136.48.27015: UDP, length 0
13:11:17.399968 IP 95-24-141-40.broadband.corbina.ru.1972 > 89.208.136.48.27015: UDP, length 0
13:11:17.399974 IP 95-24-141-40.broadband.corbina.ru.1973 > 89.208.136.48.27015: UDP, length 0
13:11:17.399976 IP 95-24-141-40.broadband.corbina.ru.1970 > 89.208.136.48.27015: UDP, length 0
13:11:17.399978 IP 95-24-141-40.broadband.corbina.ru.1974 > 89.208.136.48.27015: UDP, length 0
13:11:17.399980 IP 95-24-141-40.broadband.corbina.ru.1975 > 89.208.136.48.27015: UDP, length 0
13:11:17.399983 IP 95-24-141-40.broadband.corbina.ru.1976 > 89.208.136.48.27015: UDP, length 0
13:11:17.399985 IP 95-24-141-40.broadband.corbina.ru.1971 > 89.208.136.48.27015: UDP, length 0
13:11:17.399988 IP 95-24-141-40.broadband.corbina.ru.1978 > 89.208.136.48.27015: UDP, length 0
13:11:17.399990 IP 95-24-141-40.broadband.corbina.ru.1979 > 89.208.136.48.27015: UDP, length 0
13:11:17.399992 IP 95-24-141-40.broadband.corbina.ru.1977 > 89.208.136.48.27015: UDP, length 0
13:11:17.399995 IP 95-24-141-40.broadband.corbina.ru.1984 > 89.208.136.48.27015: UDP, length 0
13:11:17.399997 IP 95-24-141-40.broadband.corbina.ru.1980 > 89.208.136.48.27015: UDP, length 0
13:11:17.400000 IP 95-24-141-40.broadband.corbina.ru.1981 > 89.208.136.48.27015: UDP, length 0
13:11:17.400002 IP 95-24-141-40.broadband.corbina.ru.1986 > 89.208.136.48.27015: UDP, length 0
13:11:17.400006 IP 95-24-141-40.broadband.corbina.ru.1987 > 89.208.136.48.27015: UDP, length 0
13:11:17.400009 IP 95-24-141-40.broadband.corbina.ru.1985 > 89.208.136.48.27015: UDP, length 0
13:11:17.400011 IP 95-24-141-40.broadband.corbina.ru.1982 > 89.208.136.48.27015: UDP, length 0
13:11:17.400013 IP 95-24-141-40.broadband.corbina.ru.1983 > 89.208.136.48.27015: UDP, length 0
13:11:17.400268 IP 95-24-141-40.broadband.corbina.ru.1988 > 89.208.136.48.27015: UDP, length 0
13:11:17.400273 IP 95-24-141-40.broadband.corbina.ru.1989 > 89.208.136.48.27015: UDP, length 0
13:11:17.400276 IP 95-24-141-40.broadband.corbina.ru.1992 > 89.208.136.48.27015: UDP, length 0
13:11:17.400278 IP 95-24-141-40.broadband.corbina.ru.1993 > 89.208.136.48.27015: UDP, length 0
13:11:17.400281 IP 95-24-141-40.broadband.corbina.ru.1998 > 89.208.136.48.27015: UDP, length 0
13:11:17.400283 IP 95-24-141-40.broadband.corbina.ru.1996 > 89.208.136.48.27015: UDP, length 0
13:11:17.400285 IP 95-24-141-40.broadband.corbina.ru.1997 > 89.208.136.48.27015: UDP, length 0
13:11:17.400288 IP 95-24-141-40.broadband.corbina.ru.1990 > 89.208.136.48.27015: UDP, length 0
13:11:17.400292 IP 95-24-141-40.broadband.corbina.ru.1991 > 89.208.136.48.27015: UDP, length 0
13:11:17.400294 IP 95-24-141-40.broadband.corbina.ru.1994 > 89.208.136.48.27015: UDP, length 0
13:11:17.400297 IP 95-24-141-40.broadband.corbina.ru.1995 > 89.208.136.48.27015: UDP, length 0
Правило :

Код: Выделить всё

/sbin/iptables -I FORWARD -p udp -m length --length 0 -j DROP
не помогает .

Нуждаюсь в помощи спецов . Очень .
http://www.drivesource.ru
Counter-Strike Source: css.drivesource.ru:27015, dust2.drivesource.ru:27016

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35126
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: dDOS атака на сервер "udp spoofing"

Непрочитанное сообщение Alex Keda » 2009-09-06 23:35:20

поставить фрю?
Убей их всех! Бог потом рассортирует...

Аватара пользователя
helloworld
ст. сержант
Сообщения: 368
Зарегистрирован: 2007-10-03 8:06:37
Откуда: Northern Colorado

Re: dDOS атака на сервер "udp spoofing"

Непрочитанное сообщение helloworld » 2009-09-07 1:13:27

Ядро фри до сих пор "не понимает" udp пакеты ? :-D :-D

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35126
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: dDOS атака на сервер "udp spoofing"

Непрочитанное сообщение Alex Keda » 2009-09-07 1:33:07

helloworld писал(а):Ядро фри до сих пор "не понимает" udp пакеты ? :-D :-D
нет, но там есть файрволлы с человеческим лицом =)
и вероятность получения помощи на этом форуме - выше =)
Убей их всех! Бог потом рассортирует...

Anton.M
рядовой
Сообщения: 37
Зарегистрирован: 2009-08-15 19:51:59
Откуда: Ukraine, Simferopol
Контактная информация:

Re: dDOS атака на сервер "udp spoofing"

Непрочитанное сообщение Anton.M » 2009-09-07 9:52:18

padonak писал(а):Есть сервер, под управлением OS Linux . На нём игровые сервера контры . В последнее время на него начали атаки .

Правило :

Код: Выделить всё

/sbin/iptables -I FORWARD -p udp -m length --length 0 -j DROP
не помогает .

Нуждаюсь в помощи спецов . Очень .
Если выхлоп фаервола с самого сервака с игрушками, то -I INPUT, не FORWARD.

Аватара пользователя
Sun
прапорщик
Сообщения: 486
Зарегистрирован: 2008-07-14 18:27:14
Откуда: Красноярск
Контактная информация:

Re: dDOS атака на сервер "udp spoofing"

Непрочитанное сообщение Sun » 2009-09-10 8:20:14

народ а как на фре защититься от dos & ddos, просто сейчас нужно модернизировать сеть учреждения,нужно с 4 на 7 переводить сервера, а вот с этим вопросом в плане защиты как то не очень осведомлен подскажите кто что юзает(бюджетное,сиски не предлагать,все равно денег не дадут:)), скажем так сейчас на шлюзе крутиться много сервисов,хочется их убрать на другую машину за шлюзом, а вот на шлюзе уже крутить защиту от разных уродов

Аватара пользователя
padonak
рядовой
Сообщения: 37
Зарегистрирован: 2008-07-08 20:56:44
Откуда: Солнцево
Контактная информация:

Re: dDOS атака на сервер "udp spoofing"

Непрочитанное сообщение padonak » 2009-09-10 10:31:33

Anton.M писал(а): Если выхлоп фаервола с самого сервака с игрушками, то -I INPUT, не FORWARD.

Выхлоп не с сервера идёт - а на сервер . Дело в том, что там 3 виртуальных адреса :
eth0
eth0:1
eth0:2
eth0:3

правило не убивает пакеты ни в таблице NAT с PREROUTING, ни в INPUT . Пробовал в FORWARD на виртуальные интерфейсы .
http://www.drivesource.ru
Counter-Strike Source: css.drivesource.ru:27015, dust2.drivesource.ru:27016


Аватара пользователя
Sun
прапорщик
Сообщения: 486
Зарегистрирован: 2008-07-14 18:27:14
Откуда: Красноярск
Контактная информация:

Re: dDOS атака на сервер "udp spoofing"

Непрочитанное сообщение Sun » 2009-09-11 13:14:55

to camelium спс :smile: