Counter-strike Source портал
 

DDoS-защита Linux'овского сервера Source через правила iptables

 Теперь к делу:
Хочу с вами поделиться тем, как мне удалось решить эту проблему!

Я просто задал пару правил для линуховского iptables.. Точнее просто вбил пару строк в терминал!

iptables -A INPUT -p udp --dport 27016 -m hashlimit --hashlimit 50/s --hashlimit-burst 50 --hashlimit-mode srcip --hashlimit-name CSS -j ACCEPT

iptables -A INPUT -p udp --dport 27016 -j DROP

Где: 27016 - это порт Сервака, еще можно попробовать побаловаться с числом 50/s, но я себе поставил именно 50! Вбивайте и вы =)

После этого я тестил Зомбез несколькими програмками для ДОС-атак, среди которых был DDoS-ер с иконкой в виде лимона и CSS Server Lagger и Зомбез короче от них даже не пошевелился (хотя до этого любая из них сваливала Сервак за минуту).

Только одна програмка смогла поднять пинг до 200, но к счастью ее автор (програмки) эту прогу не распространяет и никому не дает =) !!!



Можно прописать и другие правила, для более точной фильтрации!

iptables -A INPUT -p udp -m udp --dport 27016 -m state --state RELATED,ESTABLISHED -j ACCEPT

iptables -A INPUT -p udp --dport 27016 -m state --state NEW -m hashlimit --hashlimit 100/s --hashlimit-burst 100 --hashlimit-mode srcip --hashlimit-name TF -j ACCEPT

iptables -A INPUT -p udp --dport 27016 -j DROP


Здесь также можно попробовать изменить число 100, но мне кажется 50 или 100 - нормально!

Еще команды для iptables:
iptables -L -n - показывает уже существующие правила!
iptables -F - сбрасывает все правила!



>>>Не помогли мне эти правила для моего Линуховского серва, все равно ДДОСят, можно ли еще что-то придумать?<<<

 Можно попробовать сделать так!

Ставите плагин

DoS Attack Fixer (DAF)

и в настройках включаете логирование! Далее, если произошла DDoS-атака, смотрите в логе с какого IP-адреса была атака, и баните IP-адрес через iptables! Бан по iptables - вещь очень надежная, на себе проверял =) !

Оффтоп: хотя и написано что этот плагин DAF защищает сервер от ДДОСа, но по моему мнению и опыту, ни фига он не защищает (Во всяком случае от лимона не спасал)

Банить через iptables надо так:

iptables -A INPUT -s xxx.xxx.xxx.xxx -j DROP

Где xxx.xxx.xxx.xxx - это IP-адрес нарушителя!

Если нарушитель имеет динамический IP, сменил IP и ДДОСит дальше, то баним подсеть или несколько подсетей!

iptables -A INPUT -s xxx.xxx.xxx.0/24 -j DROP

Пример:
iptables -A INPUT -s 187.34.232.0/24 -j DROP -> Так мы забаним по iptables диапазон IP-адресов от 187.34.232.0 до 187.34.232.255


Разбан так:

iptables -D INPUT -s xxx.xxx.xxx.xxx -j DROP


Примечание 1:
Кстати, Бан по iptables вроде как не Банит на сервере CS:S, то есть Юзер, забаненный по iptables, сможет играть на вашем Серваке, но не сможет ДДОСить!

Примечание 2:
И еще, эти все правила и Баны предотвращают только от внешних DDOS-атак, т.е. когда можно ДДОСить через всякого рода програмы-флудилки, не заходя на Сервер! Для скриптов, которые флудят командами в консоль на самом серваке можно попробовать использовать Античит KAC!

  • Просмотров: 6 820

Добавление комментария

Переместиться наверх
Sourceplay.ru © Matysh 2008-2017
Разработка сайта sitevtomske.ru
откачка септиков емкостей выгребных ям
  • Яндекс.Метрика