Атака «Стрессером»

Ну какой может быть ботнет из 3 хостов, тем более что все адреса у одного провайдера. Если с них атаковали исключительно последовательно, то скорее всего хост один единственный, просто динамический адрес менялся.

Не понятно, что тут вообще обсуждать. Очередной школьник обосрался. Если так хочется реального возмездия, напиши заявление в полицию.

То что это не ботнет дураку понятно, иначе мы бы упали полностью, и не вставали. Да дело то не в возмездии, просто я сам не очень варю. Как закрыть ему доступ к тачке, если «хост» один? Получается всех Ростелекомовцев дропать? Просто я так понял, ему достаточно айпи сменить (что он и делает), и возобновить «ddos»? И всё таки это получается не стрессер?

Есть обиженный ребенок со скриптами и аж целым 1 IP, не осиливший даже прокси. Если заблочить этот IP, то «атака» прекращается. Вопрос-то в чем ?

можно атаковать так, что ложиться только один сервер, а все остальные сервисы, даже не нагружаются

Легко. Ибо сервер получает пакет и как-то его обрабатывает. А эта обработка может занимать значительно больше ресурсов, чем приём пакета сам по себе. Плюс раз это сервер игры, то от пакета одного игрока зависит то, что получат другие и поэтому пока этот пакет не обработается сервер висит.А ещё можно специально сформировать такой пакет, чтобы сервер его подольше обрабатывал.

Касательно защиты - банить динамические IP плохая идея. Ибо так можно зацепить других игроков. Особенно если банить целого провайдера, а без этого злоумышленнику будет не трудно обойти. Решение - ручная или эврестическая временная блокировка IP.

То есть видим аномально высокое количество запросов (которое нормальный клиент никогда не отправит) в течении пары секунд - баним на 5 минут/полчаса/час. И всё. Атака становится резко неэффективной, ибо хакер задолбается перезагружать роутер ради секундного лага сервера.

А сколько пользователей-игроков всего? 1 (Один) ?)

А не подскажете какой-нибудь скрипт для этого? А то тот же FastNetMon одно время поработал, а теперь сдох, и непонятно почему) Поставил Fail2Ban, но видимо, он тоже не по этой части.

В том то и дело, что айпи динамик, а не статика.

Да, всего один. Он этим и занимается. Честно говоря, у меня вообще есть подозрения, что это нечто типо hoic.

Ну значит и банить надо динамически и на короткие периоды времени. Скорее всего проще будет банить средствами игрового сервера, но тут нужно уже конкретно сидеть разбираться.

Смысла делать этого средствами игрового сервера нет, т.к. делать то это он может не находясь на самом сервере. А значит это уже бесполезно.

Не подскажете как перезапустить fastnetmon?

systemctl restart fastnetmon не работает, пишет «неизвестная команда systemctl»

Пробовал так service fastnetmon restart и service fastnetmon.service restart, тоже не помогает. Ось debian 7.

Напиши в полицию и кинь сканы заявлений умнику.

Доступ к исходникам игрушки есть ?

Не подскажете как перезапустить fastnetmon?

sudo service fastnetmot restart || sudo /etc/init.d/fastnetmon restart

Мне нужна защита. Этот способ избавит меня только от одного таракана, а таких тараканов может ещё огого выползти.

Я поставил fastnetmon, но после установки, при попытке открыть текущую стату (/opt/fastnetmon/fastnetmon/fastnetmon_client), мне выдаёт Can't open stats file

А логов по пути /var/log/fastnetmon.log нет. Подскажете как быть?

Странно, чекнул список сервисов, там такого fastnetmon нет... Но при установке явно был указан fastnetmon.service

Нет, исходников той проги нет. Видел, что есть ещё способ через conntrack подобное сделать.

А шо нам говорят locate fastnetmon.service, dpkg -l | grep systemd и which systemctl ?

1) root@extreme-host:~# locate fastnetmon.service /etc/systemd/system/fastnetmon.service

2) root@extreme-host:~# dpkg -l | grep systemd ii libsystemd-login0:amd64 44-11+deb7u4 amd64 systemd login utility library rc systemd 44-11+deb7u4 amd64 system and service manager

3) Отклика нет.

Занятно.

dpkg -L systemd

root@extreme-host:~# dpkg -L systemd

/var

/var/lib

/var/lib/systemd

/etc

/etc/systemd

/etc/systemd/systemd-journald.conf

/etc/systemd/user.conf

/etc/systemd/system.conf

/etc/systemd/systemd-logind.conf

/etc/bash_completion.d

/etc/bash_completion.d/systemd-bash-completion.sh

/etc/dbus-1

/etc/dbus-1/system.d

/etc/dbus-1/system.d/org.freedesktop.login1.conf

/etc/dbus-1/system.d/org.freedesktop.systemd1.conf

/etc/dbus-1/system.d/org.freedesktop.locale1.conf

/etc/dbus-1/system.d/org.freedesktop.timedate1.conf

/etc/dbus-1/system.d/org.freedesktop.hostname1.conf

Может конечно я не прав, но ИМХО что-то с этим systemd не в порядке - какой-то он обрезанный

Вытащили прогу которой он бомбит. Я не нашёл где её скачать, но завтра обещал кинуть. Называется AuraStresser.

Да это ничем не поможет. Разберись как средствами iptables-а банить тех кто сильно много пакетов выдает - для этого сначала разберись сколько пакетов выдает в минуту нормальный клиент, а потом уже пиши скрипты.

Спасибо большое, буду двигаться в этом направлении. Может Вы ещё и софт для замеров подскажете, пожалуйста?

Кстати, хотел узнать, через что показ оперативки точнее, через free -m

или

htop?

Тут например есть скрипт, с ним можно поиграться и на его основе сделать свой.

По второму вопросу не уверен, но вроде они данные берут из одного и того же источника так что все равно.

Странно, free -m свободной показывает 11580, в то время как htop только 5238. За ссылочку спасибо :)

Смотреть надо не сколько free, а сколько available

Поставьте пожалуйста тег cs 1.6 для этой темы

А cs 1.6 тут каким боком? Это CSS. Не могу найти кнопку редактирования, для добавления тега.

Поздравляю, Source-игры очень уязвимы к спаму пакетами. Решается никак.

Спасибо большое, но я так просто не сдамся. Так или иначе, но хотя бы изи панели я хочу попытаться гасить. Просто опыта у меня нуль, но ведь все с чего-то начинали. И я попробую.

Таки я сумел завести FastNetMon :D

Не знаю, адекватно ли, но тем не менее после

/opt/fastnetmon/fastnetmon restart

Всё завелось!) Ещё хотел задать вопрос, какова принципиальная разница у connlimit, и hashlimit? Можно ли им одинаковые значения задать, или у них всё таки есть какие -то различия?

Этл все потому, что в Debian 7 нет systemd.

какова принципиальная разница у connlimit, и hashlimit?

Если по простому то connlimit ограничивает кол-во соединений, hashlimit - кол-во пакетиков.

А Вы не подскажете как заставить процесс работать постоянно? А то, пока я его открываю в терминале, он работает, а когда закрываю терминал - прекращает. А так не канает. Прописал в /etc/rc.local

/opt/fastnetmon/fastnetmon --daemonize

Но что-то это особо мне не помогло.

Хоть и не в курсе что такое fastnetmon, но ради интереса установил в деб 7.10. Запускается если прописать в /etc/rc.local. Вы случайно не после строки exit 0 прописали?

Нет, вот само содержимое файла

/etc/init.d/ddos_block.lua

/opt/fastnetmon/fastnetmon --daemonize

iptables-restore < /etc/iptables.rules

exit 0

Я «решил» проблему просто прописав эту же строку в терминале (/opt/fastnetmon/fastnetmon --daemonize). Да вот только это всё придётся заново писать, при ребуте машины. Я с подгрузкой всяких «штук» при запуске машины уже давно маюсь. Пытался сделать автозагрузку правил iptables, да всё равно ни черта не вышло :(

А он у вас вообще стартует? Может его нэма в скриптах запуска посмотрите например в /etc/rc3.d/S*rc.local есть? И второе, у него права на выполнение есть?

Пытался сделать автозагрузку правил iptables, да всё равно ни черта не вышло

Если вы вот про это iptables-restore < /etc/iptables.rules то укажите полный путь до iptables-restore

Простите, пожалуйста, были проблемы с интернетом. Да, такой файл имеется, права также есть (777).

В смысле путь до iptables-restore? Не очень понимаю... К слову и у rc.local, и у iptables.rules права 755.

P.S. ПО ТЕМЕ: От этой бяки мне помог скрипт FastNetMon. Скачать можно на GitHub.

В смысле путь до iptables-restore? Не очень понимаю...

Полный путь /sbin/iptables-restore

Отредактировал, спасибо)

Если все заработало, то и ваш /opt/fastnetmon/fastnetmon --daemonize должен так же стартовать.

К сожалению, ничего не получилось.

Не понял, остальное выполняется? Можите проверить, прописать в /etc/rc.local строку /bin/touch /home/test-file (перед exit 0) после перезагрузки посмотреть появился ли файл /home/test-file

Здравствуйте. Нет, не создаётся...

На всякий случай, точно /etc/rc3.d/S*rc.local (посмотрите во всех /etc/rc*.d/) файл есть?

Скрин

Лучше так:

ls -l /etc/rc*.d/S*rc.local
ls -l /etc/rc.local

Вот

root@extreme-host:~# ls -l /etc/rc*.d/S*rc.local
lrwxrwxrwx 1 root root 18 Aug 30  2015 /etc/rc2.d/S20rc.local -> ../init.d/rc.lo                                                                                        cal
lrwxrwxrwx 1 root root 18 Aug 30  2015 /etc/rc3.d/S20rc.local -> ../init.d/rc.lo                                                                                        cal
lrwxrwxrwx 1 root root 18 Aug 30  2015 /etc/rc4.d/S20rc.local -> ../init.d/rc.lo                                                                                        cal
lrwxrwxrwx 1 root root 18 Aug 30  2015 /etc/rc5.d/S20rc.local -> ../init.d/rc.lo                                                                                        cal

root@extreme-host:~# ls -l /etc/rc.local
-rwxr-xr-x 1 root root 443 Sep  9 02:48 /etc/rc.local