Skocz do zawartości
  • Cześć!

    Witaj na forum RootNode - aby pisać u nas musisz się zarejestrować, a następnie zalogować. Posty pisane z kont niezarejestrowanych nie są widoczne publicznie.

Ataki DDOS typu flood jak zabezpieczyć


Rafi

Rekomendowane odpowiedzi

Witam serdecznie posiadam serwer dedykowany w OVH z linii GAME i na nim znajduje sie VS na proxmox  na którym hostowane są gry o portach w różnych zakresach  .

 

Od kilku dni na serwer VPS przeprowadzane są ataki typu UDP FLOOD zrobiłem plik tcp dump w którym pisze że ataki wykonywane są z różnych adresów ip oraz na różne porty .

 

OVH podpowiedział że trzeba skonfigurować zaporę na kontenerze i tutaj moje pytanie czy ktoś z was pomógł by mi ustawić reguły podać kilka reguł które to zahamują 

 

Plik dump wygląda następująco :

 

http://prntscr.com/k8x48d

http://prntscr.com/k8x4n3

 

 

Serdecznie prosze o pomoc 

Edytowane przez Rafi
Odnośnik do komentarza
Udostępnij na innych stronach

Witaj, temat ataków na serwery gier jest mi bliski więc wypowiem się w tej sprawie.

 

OVH słusznie podpowiedziało, że musisz napisać własne reguły w firewallu programowym. To nie jest tak, że OVH ochroni Twoje usługi przed każdym możliwym atakiem, nawet w ofercie GAME. OVH świetnie chroni usługi przed typowymi, znanymi atakami DDoS. Dużo gorzej jest jednak z różnego rodzaju drobnymi floodami które dla infrastruktury OVH nie są żadnym zagrożeniem a dla serwerów gier są wręcz zabójcze.

 

Musisz zaprojektować własny system ochrony serwerów gier przed tego typu drobnymi atakami. Nie wzoruj się tym jednym atakiem. Jeżeli zablokujesz ten jeden atak, pojawią się ataki innego typu. Twoje działania będą więc typową walką z wiatrakami. Musi to być rozwiązanie kompleksowe które sprawdzi się niezależnie od tego na jaki atak zdecyduje się osoba atakująca. Tutaj wspólną cechą jest długość pakietów i dzięki niej atak można łatwo odeprzeć blokując pakiety o takiej właśnie długości. Z tym, że tak jak wspomniałem to będzie rozwiązanie chwilowe. Nie spowoduje to w żaden sposób tego, że hostowane przez Ciebie serwery gier będą bezpieczne.

Odnośnik do komentarza
Udostępnij na innych stronach

4 minuty temu, Suspect napisał:

Witaj, temat ataków na serwery gier jest mi bliski więc wypowiem się w tej sprawie.

 

OVH słusznie podpowiedziało, że musisz napisać własne reguły w firewallu programowym. To nie jest tak, że OVH ochroni Twoje usługi przed każdym możliwym atakiem, nawet w ofercie GAME. OVH świetnie chroni usługi przed typowymi, znanymi atakami DDoS. Dużo gorzej jest jednak z różnego rodzaju drobnymi floodami które dla infrastruktury OVH nie są żadnym zagrożeniem a dla serwerów gier są wręcz zabójcze.

 

Musisz zaprojektować własny system ochrony serwerów gier przed tego typu drobnymi atakami. Nie wzoruj się tym jednym atakiem. Jeżeli zablokujesz ten jeden atak, pojawią się ataki innego typu. Twoje działania będą więc typową walką z wiatrakami. Musi to być rozwiązanie kompleksowe które sprawdzi się niezależnie od tego na jaki atak zdecyduje się osoba atakująca. Tutaj wspólną cechą jest długość pakietów i dzięki niej atak można łatwo odeprzeć blokując pakiety o takiej właśnie długości. Z tym, że tak jak wspomniałem to będzie rozwiązanie chwilowe. Nie spowoduje to w żaden sposób tego, że hostowane przez Ciebie serwery gier będą bezpieczne.

A czy mógłbyś chociaż podpowiedzieć jak zacząć i gdzie szukać ewentualnej pomocy w pisaniu takiego zabezpieczenia ? gdyż nie umiem operować w ip tables 

Odnośnik do komentarza
Udostępnij na innych stronach

34 minuty temu, Rafi napisał:

Witam serdecznie posiadam serwer dedykowany w OVH z linii GAME i na nim znajduje sie VS na proxmox  na którym hostowane są gry o portach w różnych zakresach  .

 

Od kilku dni na serwer VPS przeprowadzane są ataki typu UDP FLOOD zrobiłem plik tcp dump w którym pisze że ataki wykonywane są z różnych adresów ip oraz na różne porty .

 

OVH podpowiedział że trzeba skonfigurować zaporę na kontenerze i tutaj moje pytanie czy ktoś z was pomógł by mi ustawić reguły podać kilka reguł które to zahamują 

 

Plik dump wygląda następująco :

 

http://prntscr.com/k8x48d

http://prntscr.com/k8x4n3

 

 

Serdecznie prosze o pomoc 

IP-Spoofing więc o blokowaniu IP nawet nie myśl. Drugą sprawą jest ogarnięcie skryptu na automatyczny tcpdump gdy zostanie wykryta większa ilość pps.

Co do samego ataku to po prostu zablokuj tą długość pakietu. Wiadomo to rozwiązanie na chwilę dlatego pomysl nad jakimś własnym  systemem. 

 

 

iptables -A INPUT -p udp -m length --length 1 -j DROP

 

Zamiast 1 wstaw długość 

Edytowane przez #Gremsonkowy#
Odnośnik do komentarza
Udostępnij na innych stronach

@Rafi Jeżeli chcesz samodzielnie odpierać ataki to bez znajomości iptables nic nie zrobisz. To nie jest do napisania w jedną czy dwie regułki iptables i nikt też gotowych reguł Ci nie przedstawi ponieważ blokowanie ataków musi być dopasowane do charakterystyki Twojego ruchu a ta jest różna w zależności od rodzaju gry którą obsługuje serwer. Aby napisać kompeksowe rozwiązanie tego problemu trzeba mieć próbki jak największej ilości ataków, przeanalizować je, następnie porównać z prawidłowym ruchem i na podstawie wniosków napisać odpowiednie regułki. Kilka lat temu byłem w tej samej sytuacji. Nie miałem kompletnie żadnej wiedzy na temat iptables a ataków na serwery gier miałem i mam mnóstwo. Nie stać mnie było na zlecenie ich odpierania zewnętrznym firmom więc decyzja mogła być tylko jedna - intensywna nauka iptables i pracowanie nad własnym systemem ochrony przed atakami. Jeżeli będziesz zawzięcie dążył do celu to poradzisz sobie z każdym atakiem tak samo jak ja to robię obecnie.

 

Mój przedmówca wskazał Ci przykład blokowania pakietów po ich długości z tym, że tak jak już wspomniałem to nic nie zmieni w kwestii bezpieczeństwa Twoich serwerów gier. Potraktuj to jako chwilowe rozwiązanie problemu i pracuj w tym czasie nad rozwiązaniem kompleksowym.

Odnośnik do komentarza
Udostępnij na innych stronach

7 godzin temu, #Gremsonkowy# napisał:

IP-Spoofing więc o blokowaniu IP nawet nie myśl. Drugą sprawą jest ogarnięcie skryptu na automatyczny tcpdump gdy zostanie wykryta większa ilość pps.

Co do samego ataku to po prostu zablokuj tą długość pakietu. Wiadomo to rozwiązanie na chwilę dlatego pomysl nad jakimś własnym  systemem. 

 

 

iptables -A INPUT -p udp -m length --length 1 -j DROP

 

Zamiast 1 wstaw długość 

Tylko jak to wprowadzić w proxmoxa

Odnośnik do komentarza
Udostępnij na innych stronach

@Rafi jeżeli oferujesz komuś usługę to staraj się poszerzać swoją wiedzę, bo jeżeli nie potrafisz obsłużyć iptables to o innych rzeczach już nie wspomnę. 

 

Wracając do tematu, na kontynentach promox możesz zainstalować sobie CSF który pomoże ci zarządzać firewallem. Poradników w google jest masa więc za nim napiszesz pytanie sprawdź czy już gdzieś zostało omówione. 

Edytowane przez MateuszCODE
Odnośnik do komentarza
Udostępnij na innych stronach

6 minut temu, MateuszCODE napisał:

@Rafi jeżeli oferujesz komuś usługę to staraj się poszerzać swoją wiedzę, bo jeżeli nie potrafisz obsłużyć iptables to o innych rzeczach już nie wspomnę. 

 

Wracając do tematu, na kontynentach promox możesz zainstalować sobie CSF który pomoże ci zarządzać firewallem. Poradników w google jest masa więc za nim napiszesz pytanie sprawdź czy już gdzieś zostało omówione. 

OK :)

Odnośnik do komentarza
Udostępnij na innych stronach

  • 2 miesiące temu...

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Korzystając z forum, wyrażasz zgodę na: Warunki użytkowania, Regulamin, Polityka prywatności.