Linux за българи: Форуми

Здравейте, от днес вече разбрах какъв е бил проблема с мойте сървъри, флуди се порт 27015 (порта на сървъра) Пуснал съм tcpdump на самия порт и забелязвам много различни ип адреси и домейни (да подчертая че в сървъра няма никой) на всички length е 104 та въпроса ми към вас е как да блокирам с иптаблес този length 104 и евентуално след време ако няма флуд как да го деактивирам? Ос линукс дебиан

Length означава дължина. БлокирВа се като се вземе една ножица и се отрязва по малко докато стане.


Сега сериозно. За какъв сървър иде реч? За да не остана неразбран - не искам отговор от типа "HP"... Въпроса е "Какво сервира този сървър?". Това първо. А второ - след като си пускал някакви неща - дай някакъв изход тук за да не се налага да гадаем...

Много благодаря за помоща !!!!!

27015 е стандартен порт за counter strike :)


Това дали става?

27015 е стандартен порт за counter strike :)

Код:

iptables -A INPUT -p tcp --dport 27015 -m lenght --lenght 104 -j DROP

Това дали става?

Може ли малко тунинг :)

някой да редактира заглавието на темата, че всичко в мен се бунтува, като видя тая неграмотност!!!
п.с. например, някой от модераторите, дето трият постове.

Колеги,
смятам, че помагайки на някой, който дори не може да си формулира питането, само и единствено поощрявате неграмотността на автора и четящите темата.

Да не се помагало на неграмотни питания?... А какво да правим с неграмотните отговори? Хора, не се усещате, но се получава ситуация "присмял се хърбел на щърбел". Бунтувате се, заради ширещата се неграмотност, но ето, че в поста си в тази тема satir не проявява уважение към главните букви, а BRADATA не уважава пълния член, пропуска запетаи, не е наясно кога се използва местоимението "някого"... Има и други, но няма да издребнявам съвсем. Всъщност, на общия фон е голяма рядкост да видя пост без грешки, а аз чета всички постове. И какво сега? Ако се съобразя с предложенията ви ще трябва или да се убия от редактиране на постове ежедневно, или да затворя форума. Добре, ще направя едното от двете, ако ми гарантирате, че това ще помогне за ограмотяването на хората :) Само имайте предвид, че аз самият понякога също допускам грешки, въпреки че обръщам специално внимание на граматиката и правописа, така че не мога да гарантирам винаги акуратното редактиране на постове.

Вижте! Съгласен съм, че неграмотността е лошо нещо и трябва да се води борба с нея, но това, което правите в случая, е нищо повече от флейм и разводняване на темите. Нямам нищо против да обръщате внимание на подобни грешки, стига това да става без обиди към личността на сгрешилия и да е в постове, в които сте писали и по темата. А най-много ще се радвам да виждам борба с неграмотността чрез личния ви пример. Останалото... е за кошчето :)

П.П.: Може някой, ако намира, че ще е нужно и интересно, да отвори тема, в която да се обсъждат граматическите прозрения, до които всеки е достигнал. Въпреки че и друг път сме обсъждали граматиката, не помня да сме имали тема, специално предназначена за това. Пък и да сме имали, не пречи да имаме нова.

Всъщност само една запетая е пропусната. И не, не е нужно да се редактират постовете. Но факта, че се отговаря на такива въпроси, а не се провокира мисъл в питащия (както апропо съм се опитал да направя в първия си пост по темата, но явно е лоша стратегия) е нещото, което ме плаши с бъдещите си последствия. И да, всички грешим, но това не е извинение за неграмотността.

neter, аз не пиша с.главни букви, и това не е от вчера. Има литературни шедьоври в които няма препинателните знаци - Одисей- например/на Джеймс Джойс/.

Здравейте, изключително много благодаря на хората който писаха по темата! В момента нямам възможност да тествам дали работи кода който написа „KPETEH“ но възможно ли е някой да напише и код, с който да премахна тази забрана?
На останалите мога да напиша само, че както забелязват наскоро съм се регистрирал в този форум и следващите ми пуснати теми и отговори ще се старая да са максимално правилно написани!

но възможно ли е някой да напише и код, с който да премахна тази забрана?

Да възможно е и ти си човекът който трябва да си го напише.
Предполага се, че не си ти първия, който се е чудил това - как се трие правило.

Разгледай тук: http://stackoverflow.com/questions/10197405/iptables-remove-specific-rules
(още първия отговор)

Добре е да свикваш като пишеш някакви команди да им поразгледаш упътването - какви опции имат - в твоя случай: как се махат (iptables -A INPUT ...) и как се изтриват правила (iptables -D INPUT ....).

Да обясня какво означава правилото, което написах на питащия.
Значи пакети с дължина от 104 до 65535 пристигащи по TCP протокол до порт (virtual socket) 27015 ще бъдат дропвани т.е. заявките ще бъдат блокирани.  8)

Ок, а неможе ли само тези пакети с стойност 104 да се блокират? Защото играчите който играят в сървъра може да пращат по-големи пакети от 104 и да не флудят изобщо.

Edit: Преди малко тествах това iptables -A INPUT -p tcp --dport 27015 -m lenght --lenght 104 -j DROP и това iptables -A INPUT -p tcp --dport 27015 -m lenght --lenght 104:0xffff -j DROP но без ефект :S Като пусна tcpdump-а пак показва флуда. Ето точен модел какво точно ми пише при пуснат tcpdump на порт 27016 при спрян сървър:
IP 145.255.8.247.55478 > 31-211-128-222.levski.satcom.bg.27016: UDP, length 25
145.255.8.247.55478 - ип-то на флудещия и неговия порт (на някой редове няма ип а има домейн и на всеки ред винаги е различно ип-то и порта!)
31-211-128-222.levski.satcom.bg.27016 - моето ип и порт на сървъра който се флуди в момента, (винаги е същото на всеки ред)
UDP - Най вероятно флуд с удп трафик (винаги е същото на всеки ред)
length 25 - винаги е една и съща на всеки ред

Почти си открил топлата вода :
//
Edit: Преди малко тествах това iptables -A INPUT -p tcp --dport 27015 -m lenght --lenght 104 -j DROP и това iptables -A INPUT -p tcp --dport 27015 -m lenght --lenght 104:0xffff -j DROP но без ефект :S Като пусна tcpdump-а пак показва флуда. Ето точен модел какво точно ми пише при пуснат tcpdump на порт 27016 при спрян сървър:
IP 145.255.8.247.55478 > 31-211-128-222.levski.satcom.bg.27016: UDP, length 25
145.255.8.247.55478 - ип-то на флудещия и неговия порт (на някой редове няма ип а има домейн и на всеки ред винаги е различно ип-то и порта!)
31-211-128-222.levski.satcom.bg.27016 - моето ип и порт на сървъра който се флуди в момента, (винаги е същото на всеки ред)
UDP - Най вероятно флуд с удп трафик (винаги е същото на всеки ред)
length 25 - винаги е една и съща на всеки ред
//
Обърни внимание на протокола в правилото и този за който говориш?
Откри ли разликите?

Тествах това което са ми дали но само, че редактирано с порт 27016 и 25 length. Моя е грешката.

Тествах това което са ми дали но само, че редактирано с порт 27016 и 25 length. Моя е грешката.

Браво, че си се поправил и си разбрал, че всъщност е друг протокола, но в крайна сметка справи ли се с флуда !?

Несъм, ако може да ми дадеш код който да спре флуда който идва само на порт 27015 и 27016 с големина 25

iptables -A INPUT -p udp --dport 27015 -m lenght --lenght 25 -j DROP
iptables -A INPUT -p udp --dport 27016 -m lenght --lenght 25 -j DROP

Провери дали това работи с iptables -L -v -x -n

Провери дали това работи с iptables -L -v -x -n

Как да проверя? Може ли подробно разяснение, че си нямам наидея какво си написъл?

Не ми е ясно, как можеш да си спреш флуда. Няма как да стане. Каквото и да правиш с пакетите, те ще си идват. Говори ISP-то си.

Може да добавиш и тези правила:

Не знам кой им дава тези идеи да пробват да блокират по размер на пакета, но това ще доведе само до едно - ще почнат да се спират и полезните пакети които случайно са със същата дължина. А и питащия е толкова зле че не знае какво му е написано "Провери дали това работи с iptables -L -v -x -n" и очаквате такъв човек да постигне нещо хаха. Флуда ще спре ако скоростта която ти дава доставчика е по-голяма от скоростта с която разполага флудещия, но ако ползва ботнет това трудно може да се постигне. Другия вариант е да си даваш данните за сървъра само на проверени хора, които добре познаваш. Иначе е голям шанса да попаднеш на озлобено на целия свят хлапе което ще те разплаче.

То за да нафлудиш някой какво повече от IP и порт ти трябват. А тея неща се разбират супер лесно.

Тези два порта за каква комуникация се използват?
Ако е само клиент/сървър има йезуитско, но сигурно решение, освен ако сървъра не е с комерсиална цел.

Всъщност, за разлика от TCP, откриването на "отворени" UDP портове е доста по-хлъзгаво занимание. В зависимост от протокола, може да не направиш разлика между отворен и филтриран порт. Нямаш handshake и каквото пратиш, първо че може да не стигне, второ че самия протокол на по-горно ниво може да не предвижда да ти връща отговор. Така ако пратиш нещо на порт, на който няма нещо дето се е bind-нало, обикновено получаваш ICMP port unreachable и така знаеш че е "затворен". Ако обаче нашиеш някое DROP правило, няма как да знаеш слухти ли нещо там или трафика се дроп-ва.

Разбира се от масивния flood няма как да се оправиш с iptables правила, просто защото боклука ще продължи да си пристига при теб. Въпросът е че ако има някоя услуга която слухти на този порт и прави нещо с получените неща, освен честотната лента, може да си имаш и проблеми и с CPU или memory утилизацията, та по-добре да се филтрира.

Аз пък се чудя друго нещо възможно ли е клиентите на самата игра да са заразени с нещо , което генерира допълнителен трафик към сървъра и от там настъпва пълната лудница и после snort инсталиран на сървъра с IPS дали няма да засече аномалията и да дропне пакетите. И в крайна сметка има ли някакъв лог файл на самия counterstrike сървър, който да следи за грешки примерно ?

Аз имах предив точно въпроса със запълването на лентата с безсмислен трафик. UDP не съдържаше в себе си IP на изпращача?

За разлика от TCP при UDP няма/не е задължително да има отговор. Т.е. "модерните" флудъри спират ако им дропиш пакетите защото си мислят, че услугата е паднала, а това се разбира само ако има или няма отговор от "жертвата". При UDP, понеже няма условие да има отговор, флуда продължава докато "атакуващият" реши да спре. На тема защита от флууд - решението е единствено при доставчика чрез изрязване на адресите/мрежите на атакуващия/те. И е ефективно само ако доставчика има капацитета да понесе входящия трафик без да му пречи на нормалната работа (задръстване на канала). Ако е някой квартален ланаджия - почти сигурно е, че и той трябва да търси съдействие от ъплинк провайдера си. Така, че защита от UDP флууд - достатъчно трудно начинание. Ако услугата, която се сервира, е официална и легална - тогава собственика на услугата може да пише писма на доставчика на фудъра с молба да бъде прекъснат достъпа на това IP до мрежата. Но това се случва (в БГ) само по желание на ISP-то.

Надявам се да съм бил полезен с информацията

/офтопик/
Още в началото се разбра за какво става въпрос.... За преодоляване на ситуацията е нужен капацитет, който не е наличен в конкретния случай.

Source адреса може доста лесно да се подправи...единственият проблем е че нормалните доставчици по принцип трябва да филтрират трафик оригиниращ от тяхната access мрежа и с src адрес извън тяхното адресно пространство. Част от тях не го правят, моят преди години не го правеше примерно, след това се сетиха, но въпреки това си излизаха подправени пакети със src адрес на някой друг абонат на доставчика (това е по-сложен казус така или иначе). Сега на мтел нищо такова не може да излезе навън, което е както трябва да се правят нещата по принцип.

Ако услугата, която се сервира, е официална и легална - тогава собственика на услугата може да пише писма на доставчика на фудъра с молба да бъде прекъснат достъпа на това IP до мрежата. Но това се случва (в БГ) само по желание на ISP-то.

Става, става. Само намекни по телефона че имаш желание да пуснеш жалба в полицията, да видиш каква активност настава изведнъж. Ще видиш как изведнъж се разрешават проблемите през уикенда след като можело най-рано понеделник. На никой не му се занимава с идиоти и бумащина :)