Атака «Стрессером»

1

2

Здравствуйте. В общем есть некий пользователь, который атаковал игровой сервер (То есть, конкретный порт). Сначала заливал мне про ботнет, но потом сказал, что стрессер. Вопрос просто в том, что разве стрессером можно атаковать так, что ложиться только один сервер, а все остальные сервисы, даже не нагружаются? После того как я дропнул его айпи, атака резко прекратилась со словами «комп залагал, я не дома, и т.п.». Вот 3 его айпи (Все с Ростелекома)

178.45.51.45 - подозреваю, что «основной», т.к. долго с него сидел 80.234.113.254 80.234.0.64

Надеюсь кто-нибудь мне поможет. Потому что сильные сомнения меня берут по поводу того, что это стрессер. Разве его можно так просто дропнуть? Ибо слабо верю я в совпадение о том, что как только я дропнул айпи, у него залагало, и он прекратил атаку.

P.S. Вот какие правила юзаю для защиты

iptables -A INPUT -p udp -m udp --dport 27016 -m state --state RELATED,ESTABLISHED -j ACCEPT

iptables -A INPUT -p udp --dport 27016 -m state --state NEW -m hashlimit --hashlimit 100/s --hashlimit-burst 100 --hashlimit-mode srcip --hashlimit-name CSS -j ACCEPT

iptables -A INPUT -p udp --dport 27016 -j DROP

Заранее спасибо!

P.S.S. Прошу прощения, если написал не в тот раздел

Ссылка

←	Шейпер трафика в юзерспейсе (NFQUEUE + raw sockets)

Как настроить: при входе по ssh Last login печатает dns-имя вместо ip

→

← 1 2 →

Ответ на: комментарий от Night_FoX 09.09.16 20:06:57 MSK

Мистика... Давайте уж последнее посмотрим cat /etc/init.d/rc.local
И еще посмотрите логи после запуска вдруг чего там в них будет.... но это уже совсем с горя...

anc ★★★★★
(09.09.16 21:39:58 MSK)

Ответ на: комментарий от anc 09.09.16 21:39:58 MSK

Отклик

root@extreme-host:~# cat /etc/init.d/rc.local
#! /bin/sh
### BEGIN INIT INFO
# Provides:          rc.local
# Required-Start:    $all
# Required-Stop:
# Default-Start:     2 3 4 5
# Default-Stop:
# Short-Description: Run /etc/rc.local if it exist
### END INIT INFO


PATH=/sbin:/usr/sbin:/bin:/usr/bin

. /lib/init/vars.sh
. /lib/lsb/init-functions

do_start() {
        if [ -x /etc/rc.local ]; then
                [ "$VERBOSE" != no ] && log_begin_msg "Running local boot script                                                                                        s (/etc/rc.local)"
                /etc/rc.local
                ES=$?
                [ "$VERBOSE" != no ] && log_end_msg $ES
                return $ES
        fi
}

case "$1" in
    start)
        do_start
        ;;
    restart|reload|force-reload)
        echo "Error: argument '$1' not supported" >&2
        exit 3
        ;;
    stop)
        ;;
    *)
        echo "Usage: $0 start|stop" >&2
        exit 3
        ;;
esac

По поводу логов запуска, честно, не знаю где их брать, но гугл подсказал мне это (Даже похоже на правду, но не знаю, это ли Вы имели ввиду). Вот.

Night_FoX
(09.09.16 22:51:54 MSK) автор топика

Ответ на: комментарий от Night_FoX 09.09.16 22:51:54 MSK

Кажется догадался.
1. cat /etc/rc.local сюда
2. Для проверки что он всетаки стартует закоментируйте все строчки в нем кроме того что я написал. Т.е. должно быть приблизительно так

#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will "exit 0" on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.

/bin/touch /home/test-file
exit 0

Смысл в том, что если у вас есть команда вызывающая ошибку до /bin/touch /home/test-file то следующие команды не выполняться

anc ★★★★★
(09.09.16 23:13:06 MSK)

Ответ на: комментарий от anc 09.09.16 23:13:06 MSK

root@extreme-host:~# cat /etc/rc.local
#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will "exit 0" on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.

/etc/init.d/ddos_block.lua
/opt/fastnetmon/fastnetmon --daemonize
/sbin/iptables-restore < /etc/iptables.rules
/bin/touch /home/test-file
exit 0root@extreme-host:~#

Всё получилось! Действительно была ошибка! Вот в самой первой строке и была

/etc/init.d/ddos_block.lua

Удалил её, и всё заработало! Спасибо Вам ОГРОМНОЕ!!!

P.S. Кстати, это тот скрипт от DDoS, который мне кидали выше. Притом, что я его не устанавливал. Чёт падазрительна.

Night_FoX
(10.09.16 04:31:26 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

← 1 2 →

←	Шейпер трафика в юзерспейсе (NFQUEUE + raw sockets)

Admin

Как настроить: при входе по ssh Last login печатает dns-имя вместо ip

→

Похожие темы