Не блокируется айпи злоумышленника

176.123.162.0/24, 90.156.218.0/24, 90.156.219.0/24

nftables так и принял мои команды, на последнем скриншоте видно. Я уже и просто добавил эти адреса без подсетей. Всё равно не блокирует(

Принципиально использовать именно nftables?

Нет. Так как он в дебиан11 заменил собой iptables, я начал использовать его. Сейчас для эксперимента попробовал заблокировать свою подсеть, и, как и положено, я не смог подключиться к серверу. То есть правила работают, но тогда я не понимаю почему во время атаки я продолжаю видеть всё те же адреса, которые я уже заблокировал

То что правила работают можно было просто добавить ... drop counter и наблюдать за цифрами в nft list ruleset.

nftables скорее всего работает корректно и до юзерспейса эти пакеты не доходят. А вот заставить сетевую карту их дропать ещё до того, как она отправит их процу, файрволл не может. tcpdump показывает пакеты именно в самом начале пути, ещё до файрволла.

Давай представим, что кафе, в который ходят сотрудники одного офиса, покупают у тебя еду, едят, они носят красную одежду. И в очереди стали появляться сотрудники другого офиса, они носят синюю одежду. Ты решил не обслуживать сотрудников в синей форме, но они всё равно стоят в очереди и ты их видишь.

Так вот, твоя блокировка лишь блокирует пакеты и говорит им - мы вас обслуживать будем. Но эти пакеты так и стоят в очереди, занимают пропускную способность и процессорное время на ответ, чтобы они были отброшены.

Поэтому, если в логах трафика, числа входящих пакетов ты видишь пакеты с заблокированных адресов - это нормально и то, что трафик не уменьшился тоже. А вот если сотрудники твоего кафе всё же обслуживают заказы от сотрудников офиса в синей форме - значит ты неправильно настроил блокировку.

Смотри логи того сервиса, который ослуживает порты, запросы на которые ты блокируешь для определённых адресов, если в них нет обработки этих пакетов - значит всё правильно настроено.

Чтобы убрать трафик с нежелательных IP адресов тебе нужно обращаться к провайдеру или хостингу или надеяться, что сотрудники офиса в синей форме, т.е. злоумышленник умный и перестанет слать запросы / приходить, если его не обслуживают.

Если его цель забивать канал / очередь - он так и будет слать пакеты.

Поправлю текст:

Давай представим, что *У ТЕБЯ ЕСТЬ кафе, в который ходят сотрудники одного офиса, покупают у тебя еду, едят, они носят красную одежду. И в очереди стали появляться сотрудники другого офиса, они носят синюю одежду. Ты решил не обслуживать сотрудников в синей форме, но они всё равно стоят в очереди и ты их видишь.

Так вот, твоя блокировка лишь блокирует пакеты и говорит им - мы вас обслуживать НЕ будем. Но эти пакеты так и стоят в очереди, занимают пропускную способность и процессорное время на ответ, чтобы они были отброшены.

Спасибо за подробный ответ. Да, канал забивается и злоумышленник добивается своей цели. Сейчас он пытается выманить деньги, чтобы прекратить атаки. Но ведь я знаю айпи адреса с которых идёт атака, неужели я ничего не могу сделать в этом случае? С вероятностью 99% провайдер никак в этом случае не поможет, потому что это ростелеком

А вот это реальная причина почему cloudflare и иже с ним живы и нужны, не смотря на вой некоторых лоровцев и прочих странных личностей. Суть такая ты либо сам держишь жирный канал и мощное железо чтоб дропать атакующих, либо прячешься за кем-то с жирным каналом и мощным железом. Их атаковать малополезно (у них жирный канал и мощное железо) и потому и от тебя отстанут. Понятно что IP твой атакуемый придётся менять.

А что за сервер-то? Интернет какой? Оптика или витая пара? Сетевая карта какая? Сетевая карта подключена к какому-то роутеру?

На своём сервере посредством пакетного фильтра ты можешь только блокировать пакеты, отбрасывать их, чтобы они не попадали на сервис, который слушает порты, но пакеты так и будут идти. У тебя нет доступа до управления каналом, который идёт до твоего сервера.

Обращайся к провайдеру, меняй внешний IP, меняй доменное имя.

Я специально написал пример, а ты его не понял и выводы не сделал.

Странно.

Это не работа провайдера, тебя от доса и дудоса защищать.

Где я это сказал? Я сказал: обращайся к провайдеру, меняй IP. И меняй доменное имя.

И сайт будет менять адрес и прятаться от поисковика? Классная идея, надёжная как швейцарские часы. Надёжнее только в полицию заявление написать, потому как ip-шники вроде как Московские и если дурачок дудосит со своего ip то есть шанс что его покарают.

И сайт будет менять адрес и прятаться от поисковика?

Судя по первой картинке, это не сайт, а какой то игровой сервер.

Это уже решение ТС, что делать дальше. Либо он что-то сделал и где-то засветил свой IP, доменное имя, либо его просто нашли.

Он может идти с обращением в полицию, но достаточто купить новый домен и сменить IP адрес и дальше его не светить там где не надо и не делать тех же действий, что до этого.

А вообще, купить VDS и поднять всё там.

Linux детям не игрушки. Ещё одно свидетельство того, что занимается чем-то не тем. И нашёл ещё одного такого же заигравшегося.

Постараюсь ответить. У меня не сайт, а игровой сервер на статическом айпи, который находится дома, роутера нет, кабель напрямую подключается к сетевой карте (Intel I219-V). Интернет 100мб витая пара (больше ростелеком не позволяет), вариант только сменить провайдера на дом.ру 1000 мбит, но сильно ли это меня защитит? Не светить айпи я не могу, так как по нему подключаются игроки к серверу. Я с радостью бы заплатил человеку, который поможет мне выстроить защиту от подобных атак или как-то проконсультирует по этому вопросу, так как я понимаю, что в этой области у меня знаний немного. На всякий случай оставлю телеграм для связи - @dht18. Пока что попробую связаться с провайдером

Я с радостью бы заплатил человеку, который поможет мне выстроить защиту от подобных атак

Ещё раз, защититься от трафика, который будет идти по твоему каналу на твой IP адрес в твоей ситуации невозможно. Ты можешь только отбрасывать пакеты с IP адреса злоумышленника, но трафик идти будет. В твоей ситуации надеяться, что злоумышленник отстанет. А так, либо обращайся в полицию, к провайдеру, если они войдут в положение. Или выноси сервера на VDS и там подключай услугу файрволл, где ты сможешь указывать какие адреса блокировать.

Ну учитывая что это игровой сервер (кубики поди крякнутые, что у нас ещё под линуксом можно поднять из серверов), тебе надо знать какой пинг у тебя важен, какие задержки сети и т.д. и уже исходя из этого думать как защищаться от дудоса. Но анон тебе правду пишет - защиты от дудоса как таковой нет. Единственный вариант - иметь более жирный канал и более мощное оборудование чем у дудосящего. При том, учитывая что у тебя игровой сервер то тебе задержки могут быть критичны (тут зависит от игры конечно, обычно они критичны, но не всегда) то прятаться тебе за чужими айпишниками как с cloudflare будет весьма трудно по 2 причинам. Первая - они увеличат твой пинг и ухудшат качество твоей сети, вторая - большинство таких решений заточены именно под сайты и не готовы работать с другими видами трафика. Так что да, чужой сервер с жирным каналом и мощным оборудованием могут помочь, там владельцы такой системы если это не совсем Васяны вкладываются в оборудование и канал в достаточной мере, чтоб справляться с нагрузкой от 5 айпишников по 100 мегабит каждый.

Написал в Telegram.

что у нас ещё под линуксом можно поднять из серверов

Counter-Strike, SAMP, RAGEMP, серверы MMORPG (WoW, Perfect World, Aion, Lineage 2).

Я думаю серверов по кубикам больше, чем по всем этим играм вместе взятым )

Так проблема то в чём?

Виснет игровой сервер или, судя по второй картинке с общим трафиком, dos упирается в канал? Если первое, то файрвола хватит, если второе - поставь на гигабитный канал игровой сервер.

P.S. Атакующий дичайший идиот, запустил досилки со сберклауда и вк клауда, находится легко, поднимает себе одновременно 2 статьи: 273 УК РФ и 163 УК РФ.

Много чая анону!

Виснет игровой сервер или, судя по второй картинке с общим трафиком, dos упирается в канал?

Да, сервер практически перестаёт функционировать из-за забитого канала

находится легко

да уже найден даже - 176.213.244.19, жаль, что полиция не будет такими вещами заниматься. По поводу блокировки со стороны провайдера - ответили, что не могут помочь, нужно быть подключённым у них как юр. лицо 🤷‍♂️

Если это так, то можно обратиться в техпод этих сервисов, описать что из их сети идёт дос атака и попросить принять меры

и процессорное время на ответ, чтобы они были отброшены.

Зависит от... если атакующий ждет ответа, то DROP ещё как помогает.

С вероятностью 99% провайдер никак в этом случае не поможет, потому что это ростелеком

Пров как раз поможет, у него труба «ширше» и ему самому не особо выгодно находиться под каким-то флудом. Вы откажетесь от его услуг, а долбить же от этого не перестанут, так что это в его интересах помочь вам.

да уже найден даже - 176.213.244.19, жаль, что полиция не будет такими вещами заниматься.

А вы формулировку получше придумайте.

По поводу блокировки со стороны провайдера - ответили, что не могут помочь, нужно быть подключённым у них как юр. лицо

Вообще нэма вопросов, у большинства при отключении услуги статик ip и включении её назад, вам новый ip выдастся. Мне недавно так пчелы нагадили без моего ведома.

С вероятностью 99% провайдер никак в этом случае не поможет

Ты даже не попробовал. Вот если бы ты написал, что мол обратился к прову, а он не помог….

Атакующий ничего не ждёт, он просто флудит пакетами. И никаких ответов ему не отсылают скорее всего.

Да что ты говоришь? Всё ровно наоборот: провайдера атаковать перестанут как только сервер автора перестанет работать на его адресах. Так что в его интересах как раз побыстрее прогнать неудобного клиента который нецелевым образом использует домашний тариф. Спасает положение только то что это ростелеком которому плевать на эти атаки.

Вообще нэма вопросов, у большинства при отключении услуги статик ip и включении её назад, вам новый ip выдастся.

Это ничему не поможет. Ну может в первый раз этот фокус прокатит максимум на день, после чего атакер заметит что сервер почему-то заработал, сменит таргет своих атак на новый адрес и настроит автопроверку смен айпи жертвы.

Самое приятное тут конечно попытаться натравить на атакера правоохранительные органы, состав преступления (неправомерный доступ к ит + вымогательство) вполне имеется, преступник не прячется - всё вроде легко.

Если почему-то этот вариант не получится, то только уширять канал, свой или заказывать коммерческую защиту.

Не ясно как на основании показанного на скриншотах можно заключить что это именно атака.

ты представляешь себе чтобы полиция бегала по всему интернету за каждым флудерастом? а он потом скажет «эта не я, это мой компуктер». ))))))) да и как ты им это все объяснять собираешся? они ж ни слова не поймут, подумают что ты наркоман и тебя же самого и посадют. Один подумает, другой подкинет, третий дело нарисует, все получат по звездочке а ты срок. тебе нужно подключить свой сервер через cdn там и флуда можно защиту прикрутить и каналы большие и точек выхода много. 176.213.244.19 это не факт что ип злоумышленика. Там можно любой ип прописать хоть твой же собственный. Конкретно этот ип похож на домрушный. Проблема в том что хоум провайдеры кране нетолератно относятся если что то в их сетях начинает флудить. К примеру у меня на домрушке просто гасили линк когда я прикрутил торрент к shadowsocks. как оказалось они не поняли что это шадовсокс и подумали что вирусня кого то ддосит и это было еще так году в 16.

да и по поводу полиции. Запросы по душу всяких флудерастов приходят от однобуквенных управлений а не полиции. Если хочешь через полицию возможно стоит вот к этим сходить.

Я же и написал «Зависит от...»

Да что ты говоришь? Всё ровно наоборот: провайдера атаковать перестанут как только сервер автора перестанет работать на его адресах.

Сферической флудильне побарабану работает там что-то или нет.

Так что в его интересах как раз побыстрее прогнать неудобного клиента который нецелевым образом использует домашний тариф.

Что такое «нецелевым образом»? Возможно я что-то проспал и в 2024-ом «целевым» стало считаться только просмотр котиков и других быдлокласников?

Я же и написал «Зависит от...»

Сферической флудильне побарабану работает там что-то или нет.

Автор в первом же сообщении вполне однозначно описал (где своих слов не хватило - достаточно предоставленных скриншотов) что у него происходит. Так что всякие «зависит от» и «сферические флудильни» тут не к месту. Некий инициативный правонарушитель целенаправленно препятствует работе именно его сервера и не скрывает это. Очевидно, он будет подправлять настройки своей атаки, если у автора сменится адрес. Впрочем, от частых смен адреса отвалятся в первую очередь скорее всего легитимные посетители его сервера, которые не имеют, в отличие от атакера, мотивации следить за этими прятками, после чего поддерживать сервер в работе потеряет смысл уже для автора.

Что такое «нецелевым образом»?

Это значит что провайдер не планировал за цену домашнего интернета обеспечивать коммерческое качество канала (даже если из его рекламных материалов и создаётся впечатление что планировал).