Автор Тема: Как да защитя сървъра/машината си от удп флууд.  (Прочетена 12377 пъти)

Denko

  • Напреднали
  • *****
  • Публикации: 15
    • Профил
Здравейте на всички,
понеже съм нов във форума, незнам дали темата е на мястото, на което трябва да бъде, но ако не е, нека модератор я премести, без да я трие. Извинявам се предварително.

Та, нека преминем към същността на темата. От доста време държа сървър на ЦС (2 години) и все се появява някакво лапе, което ще реши да ме флууди и ще ми съсипе трафика, знаех, че линукс е доста по сигурна система и е по-вероятно да намеря решение там, затова скоро минах на линукс (убунту), за да пробвам дали аджаба, няма да мога да филтрирам флууда някъкси. Също така, ако може да ми кажете, как да видя някой лог, когато ме флуудят, понеже и това не знам. Мисля, че за линукс има и готови защитни стени, които биха ми помогнали, но не съм сигурен.
Нека чуя Вашето мнение по въпроса, ако имате въпроси, питайте, ще се постарая да отговоря в най-кратко време. В момента съм на линукс десктоп среда, само и само да видя, ще мога ли да се спася от флууда. Лиших се от някой глезотийки, които имах под уиндоус, за да съм в по-голяма сигурност от лапета с флуудери в ръце.

Благодаря предварително.  :)
Активен

p3tzata_

  • Напреднали
  • *****
  • Публикации: 210
  • Distribution: Fedora
  • Window Manager: KDE
    • Профил
Коя услуга ти флудват.
какво означава "удп"  и "ЦС".

Интересно ми е дали съм разбрал правилно - имали си наякакъв сървър под windows, сядаш пред този
същия windows и почваш да си жулиш икрички и в същото време ти правят потоп някакви лапета с флуудери под ръка.
« Последна редакция: Jul 07, 2010, 16:27 от p3tzata_ »
Активен

Никое ДОБРО не води до ДОБРО и никое ЗЛО не води до ЗЛО.

Denko

  • Напреднали
  • *****
  • Публикации: 15
    • Профил
UDP е протоколът, под който ме флуудят.
ЦС - да, играта ЦС, но не казвам, че ме жулят докъто играя, казвам, че държа сървър на тази игра, също така казвам, че до сега съм бил на уиндоус, но минах на линукс, понеже мислих, че ще мога да спра флууда айпи тейбълс или някой файъруал.
Активен

p3tzata_

  • Напреднали
  • *****
  • Публикации: 210
  • Distribution: Fedora
  • Window Manager: KDE
    • Профил
OK.
Всичко което трябва да направиш е да прочтеш това тук - http://linux.die.net/man/8/iptables

Много хора си казват, че като мината на линукс и проблема им е решен, да ама не, трябва да седнеш
и да прочетеш и да изпробваш и да конфигурираш и т.н.

Успех  ;)
Активен

Никое ДОБРО не води до ДОБРО и никое ЗЛО не води до ЗЛО.

Denko

  • Напреднали
  • *****
  • Публикации: 15
    • Профил
Разбирам, не съм си казъл, че като мина на линукс - проблема е решен, знам, че трябва да се правят доста неща, точно затова питах, да направя тези неща  :P
Сега ще погледна линка.
Активен

Denko

  • Напреднали
  • *****
  • Публикации: 15
    • Профил
Да, чел съм за айпи тейбълс, пробвах така - sudo iptables -A INPUT -s "айпи-то на атакуващия" -j DROP
но не стана, той нямаше достъп до мен, но флууда продължи и ми качваше трафика.
Активен

VladSun

  • Напреднали
  • *****
  • Публикации: 2166
    • Профил
man iptables hashlimit

И само да ти кажа, че няма как да спреш запъването на канала при flood - със защитната стена можеш единствено да защитиш машината, но не и канала.
« Последна редакция: Jul 07, 2010, 17:03 от VladSun »
Активен

KISS Principle ( Keep-It-Short-and-Simple )
http://openfmi.net/projects/flattc/
Има 10 вида хора на този свят - разбиращи двоичния код и тези, които не го разбират :P

nix

  • Напреднали
  • *****
  • Публикации: 442
    • Профил
Няма защита против flood! или поне на мен не ми е известна такава, в тази връзка както казват американците:
There's no replacement for displacement!
Edit: ехх тоя форум все по на зле върви, освен RTFM друго знаете ли едно смислено мнение няма?
« Последна редакция: Jul 07, 2010, 16:58 от nix »
Активен

DEBIAN GNU/Linux SID/kernel-2.6.16

Denko

  • Напреднали
  • *****
  • Публикации: 15
    • Профил
За всичко си има решение.. няма как да няма защита.
Активен

VladSun

  • Напреднали
  • *****
  • Публикации: 2166
    • Профил
man iptables hashlimit

Edit: ехх тоя форум все по на зле върви, освен RTFM друго знаете ли едно смислено мнение няма?

Какво повече да му кажа - гледам има някакво понятие от iptables, значи ще се оправи и сам. Не ти ли се вижда смислено?



Активен

KISS Principle ( Keep-It-Short-and-Simple )
http://openfmi.net/projects/flattc/
Има 10 вида хора на този свят - разбиращи двоичния код и тези, които не го разбират :P

n00b

  • Напреднали
  • *****
  • Публикации: 1248
  • Distribution: OSX
  • Window Manager: 10.6, 10.8, 10.9
  • Live to hack, hack to live.
    • Профил
Нека да ти демонстрирам какво е UDP flood.

Представи си че имаш тръба по която тече флуид с около 2 атмосфери налягане и влиза в някаква твоя система.

Обаче параметрите се променят и флуида започва да тече с 20 атмосфери което води до нежелани реакции в твоята система. С помоща на АйПиТейбълс правиш защита на системата и намаляш входа на 2 атмосфери с което спасяваш системата си. ОБАЧЕ не променя факта че по тръбата продължава да си има 20 атмосфери!

Та и за udp flood. С онзи трик ти си махнал пакетите от твоята машина все едно че не влизат в tcp/udp стека. Но това не променя факта че тези пакети визически се движат към теб и ти тровят трафика. Единствения който може да ти помогне е доставчика ти (другата страна на тръбата). До доставчика ти ще изрази бурно недоволство най-малкото поради факта че този flood му трови и неговата връзка.
Активен

mobilio - професионални мобилни приложения

Denko

  • Напреднали
  • *****
  • Публикации: 15
    • Профил
Ако можех да се оправя сам, нямаше да пиша тема, не мислиш ли?
Активен

VladSun

  • Напреднали
  • *****
  • Публикации: 2166
    • Профил
За всичко си има решение.. няма как да няма защита.

За трафик насочен към тебе няма спасение - могат да ти напълнят канала без проблем.
Все едно да се опиташ да ограничиш какво получаваш в пощата (тази с процепа ;) )
Активен

KISS Principle ( Keep-It-Short-and-Simple )
http://openfmi.net/projects/flattc/
Има 10 вида хора на този свят - разбиращи двоичния код и тези, които не го разбират :P

Denko

  • Напреднали
  • *****
  • Публикации: 15
    • Профил
@нууб, много добре знам какво е флууд, но благодаря за разяснението, аз си го представям по малко по-различен начин, но идеята е същата. Аз мисля, че и с някаква рутерна машина би станал трикът да филтрирам флууда, но не съм сигурен. Колкото до доставчика ми, преди време ми помагаше, но както винаги намират оправдания и спират да се интересуват.
Активен

VladSun

  • Напреднали
  • *****
  • Публикации: 2166
    • Профил
Ако можех да се оправя сам, нямаше да пиша тема, не мислиш ли?

Цитат
hashlimit
This patch adds a new match called 'hashlimit'. The idea is to have something like 'limit', but either per destination-ip or per (destip,destport) tuple.

It gives you the ability to express
'1000 packets per second for every host in 192.168.0.0/16'

'100 packets per second for every service of 192.168.1.1'
with a single iptables rule.
--hashlimit rate
A rate just like the limit match
--hashlimit-burst num
Burst value, just like limit match
--hashlimit-mode destip | destip-destport
Limit per IP or per port
--hashlimit-name foo
The name for the /proc/net/ipt_hashlimit/foo entry
--hashlimit-htable-size num
The number of buckets of the hash table
--hashlimit-htable-max num
Maximum entries in the hash
--hashlimit-htable-expire num
After how many miliseconds do hash entries expire
--hashlimit-htable-gcinterval num
How many miliseconds between garbage collection intervals

Кое не е ясно? Какво си опитал дотук?
Активен

KISS Principle ( Keep-It-Short-and-Simple )
http://openfmi.net/projects/flattc/
Има 10 вида хора на този свят - разбиращи двоичния код и тези, които не го разбират :P