[Kernell]

Мой сервер постоянно висит под атаками, которые все так привыкли называть DDoS. Однажды были заполнены все 484 слота, из них ~30 игрок и 10 NPC, всё остальное забито пакетами DDoS`а. Недавно с одним администратором написали скрипт защиты (на самом Linux) который банил IP если он подключается слишком часто. (На сколько я знаю, DDoS программа в бесконечном цикле подключается к серверу и только до начальной стадии, когда выделяется слот, но не создаётся игрок, потом слот освобождается по таймауту 10 сек). DDoS атаки прекратились, но стало банить простых игроков (то ли они реально атакуют либо используют какие-то сторонние программы).
Ещё интересно, что вот это значит (явно что-то не хорошее):

Код:

16:25:09.321340 IP 95.191.138.33.1227 > x.x.x.x.7777: UDP, length 3
16:25:10.328312 IP 95.191.138.33.1227 > x.x.x.x.7777: UDP, length 3
16:25:11.332333 IP 95.191.138.33.1227 > x.x.x.x.7777: UDP, length 3
16:25:12.384978 IP 95.191.138.33.1229 > x.x.x.x.7777: UDP, length 3
16:25:13.390103 IP 95.191.138.33.1229 > x.x.x.x.7777: UDP, length 3
16:25:14.395570 IP 95.191.138.33.1229 > x.x.x.x.7777: UDP, length 3
16:25:15.401046 IP 95.191.138.33.1229 > x.x.x.x.7777: UDP, length 3
16:25:16.408315 IP 95.191.138.33.1229 > x.x.x.x.7777: UDP, length 3
16:25:17.413666 IP 95.191.138.33.1229 > x.x.x.x.7777: UDP, length 3

P.S. x.x.x.x.7777 - замаскировал да бы не посчитали за рекламу.

Что посоветуете для защиты сервера? (ОС Linux)

P.S.S. Поиск юзал

[lost13]

а что на хосте защиты нет?

[Kernell]

Наверное я не просто так тему создал? Предлагай варианты. На хосте мы с сис.админом сделали защиту, но она банит любого подозреваемого, лог выше!

[Stepashka]

Уволь своего сис.админа если он сервер не способен защитить от доса.

[MX_Master]

Это не DDoS, а DoS, что значит, что флуд идет только с 1 IP адреса. Чтобы написать защиту, нужно просмотреть реальную статистику подключений игроков. Также нужно знать какие пакеты можно пропускать много раз от 1 IP, а какие нет. Защита сама может быть организована с помощью iptables и его модулей. Уж извините, я не мастер по iptables. Могу сказать, что по iptables много доков в сети, причем, на русском языке.

Допустим, лог показывает, что с 1 IP идет постоянный флуд из 1 пакета. Этот пакет говорит серверу, что это клиент, который хочет подключится. Вот как раз лимит таких пакетов от 1 IP и нужно ограничить. Насколько я понял, админ ограничил просто кол-во соединений по ТАКОМУ-ТО порту и ТАКОМУ-ТО протоколу, что, конечно, может препятствовать отправке/получению пакетов от нормальных клиентов.

[lost13]

я видал скрипт, анти реконнект мб он подойдет? только хз где его найти...

[CrunkBankS]

Не поможет анти реконнект, тут только iptables прокатит, либо посадить сис.админа чтоб круглые сутки сидел следил за соединениями и отслеживал кто пытаеться положить сервер. Если атака серьезная забивают весь канал соединения, то тут уже надо обращаться к тем у кого сервер арендуете

[Kernell]

Сис. админ у нас нормальный. Я выше писал о том, что мы с ним написали защиту и что DoS атаки прекратились, но стали попадать многие игроки как подозреваемые и их IP банился.
MX_Master,
Мы по длине пакета, тестировали много раз, ибо у нормального игрока длина пакета идёт сначало 3, а потом 6 (если я не ошибаюсь), а у дос атаки вроде только 3. Всё верно?

[dimonml]

Quote:

Originally Posted by Kernell Сис. админ у нас нормальный.

Если так, то проблем с файк подключениями быть не должно...
Также в 0.3b система авторизации изменилась, поэтому уже запрос подключения идет не тремя байтами, поэтому можно просто использовать текущий софт?

Повторю мысль, изложенную ранее тут: настройте iptables должным образом на сервере и никаких проблем с DoSом не будет. А от DDoS поможет только отключения сервера от сети По рассказам ИгроХоста настоящий DDoS на короткий промежуток времени был один раз за 4 года - это так, инфа чтобы подумать, так как DDoS стоит хороших денег и поэтому в сампе практически не встречается.

[MX_Master]

Quote:

Originally Posted by Kernell Сис. админ у нас нормальный. Я выше писал о том, что мы с ним написали защиту и что DoS атаки прекратились, но стали попадать многие игроки как подозреваемые и их IP банился. MX_Master, Мы по длине пакета, тестировали много раз, ибо у нормального игрока длина пакета идёт сначало 3, а потом 6 (если я не ошибаюсь), а у дос атаки вроде только 3. Всё верно?

Честно говоря, я не знаю какая длина у пакетов для начала соединения со стороны клиента. Также не в курсе какая последовательность. Но раз вы уже протестировали, то желательно эту самую последовательность побайтно и проверять.

Допустим, если предыдущий пакет, такой же как и текущий (и длина, и содержимое) и является пакетом для подключения, то увеличить значение счетчика неверных подключения с этого IP. Как только кол-во неверных подключений превышает лимит (допустим 20), - запретить доступ в течении 15 минут на ТАКОЙ-ТО порт с ТАКОГО-ТО IP адреса. Варианты ту любые по желанию.

Как я и говорил, я не мастер по iptables и его модулям. Думаю, в этом деле как раз мастер тот админ.