DDoS-защита Linux'овского сервера Source через правила iptables
Не знал куда писать, в Статьи или сюда! Но решил сюда, так как статейка все-таки относится именно к защите Сервера!
Скажу сразу, если у Вас работает плагин [Ссылки могут видеть только зарегистрированные пользователи. ] и работает успешно и нормально отбивает DoS-атаки, то читать статью и заморачивать себе голову вовсе не надо... Ежели плагин не работает или не спасает, тогда приятного чтения! =)
Предыстория
В общем я как-то выложил плагин Dos-Protect, отписавшись "У меня отказался работать на Зомби-Моде"...
И вот по "счастливой" случайности этот самый мой Зомби-Мод сервер работал на Линуксе, и при установке этого плагина Зомбез крашился при запуске и к сожалению, в течении некоторого времени многой всякой школоты при каждом удобном случае сразу же врубали своими погаными ручонками свои ДДОСилки и успешно сваливали Зомбез за минуту, стоило хоть в чем-то неугодить . Нет, админы невиноваты и сервак вполне нормальный, что их не устраивало, так и осталось для меня секретом).
При этом, я делал копию этого же Зомбеза на компе с Виндой, и вот почему-то на Винде этот плагин вполне успешно работал, а вот на Линухе, зараза, не хотел!
Теперь к делу:
Хочу с вами поделиться тем, как мне удалось решить эту проблему!
Я просто задал пару правил для линуховского iptables.. Точнее просто вбил пару строк в терминал!
Где: 27016 - это порт Сервака, еще можно попробовать побаловаться с числом 50/s, но я себе поставил именно 50! Вбивайте и вы =)
После этого я тестил Зомбез несколькими програмками для ДОС-атак, среди которых был DDoS-ер с иконкой в виде лимона и CSS Server Lagger и Зомбез короче от них даже не пошевелился (хотя до этого любая из них сваливала Сервак за минуту).
Только одна програмка смогла поднять пинг до 200, но к счастью ее автор (програмки) эту прогу не распространяет и никому не дает =) !!!
Можно прописать и другие правила, для более точной фильтрации!
iptables -A INPUT -p udp -m udp --dport 27016 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p udp --dport 27016 -m state --state NEW -m hashlimit --hashlimit 100/s --hashlimit-burst 100 --hashlimit-mode srcip --hashlimit-name TF -j ACCEPT
iptables -A INPUT -p udp --dport 27016 -j DROP
Здесь также можно попробовать изменить число 100, но мне кажется 50 или 100 - нормально!
Еще команды для iptables: iptables -L -n - показывает уже существующие правила! iptables -F - сбрасывает все правила!
>>>Не помогли мне эти правила для моего Линуховского серва, все равно ДДОСят, можно ли еще что-то придумать?<<<
Можно попробовать осилить эту статью -> [Ссылки могут видеть только зарегистрированные пользователи. ]
Или можно сделать так!
Ставите плагин DoS Attack Fixer (DAF) и в настройках включаете логирование! Далее, если произошла DDoS-атака, смотрите в логе с какого IP-адреса была атака, и баните IP-адрес через iptables! Бан по iptables - вещь очень надежная, на себе проверял =) !
Оффтоп: хотя и написано что этот плагин DAF защищает сервер от ДДОСа, но по моему мнению и опыту, ни фига он не защищает (Во всяком случае от лимона не спасал)
Банить через iptables надо так:
iptables -A INPUT -s xxx.xxx.xxx.xxx -j DROP
Где xxx.xxx.xxx.xxx - это IP-адрес нарушителя!
Если нарушитель имеет динамический IP, сменил IP и ДДОСит дальше, то баним подсеть или несколько подсетей!
iptables -A INPUT -s xxx.xxx.xxx.0/24 -j DROP
Пример:
iptables -A INPUT -s 187.34.232.0/24 -j DROP -> Так мы забаним по iptables диапазон IP-адресов от 187.34.232.0 до 187.34.232.255
Разбан так:
iptables -D INPUT -s xxx.xxx.xxx.xxx -j DROP
Примечание 1:
Кстати, Бан по iptables вроде как не Банит на сервере CS:S, то есть Юзер, забаненный по iptables, сможет играть на вашем Серваке, но не сможет ДДОСить!
Примечание 2:
И еще, эти все правила и Баны предотвращают только от внешних DDOS-атак, т.е. когда можно ДДОСить через всякого рода програмы-флудилки, не заходя на Сервер! Для скриптов, которые флудят командами в консоль на самом серваке можно попробовать использовать Античит KAC!
P.S. Удачи вам и никаких DDoS-атак! Если что еще надыбаю, обязательно отпишусь!
[Ссылки могут видеть только зарегистрированные пользователи. ]
Re: DDoS-защита Linux'овского сервера Source через правила iptables
изначально то что ты описал, сам способ, пропускает атаки, помогает лучше всего способ более точной фильтрафии. P.s. права слетают после перезагрузки пк, восстанавливать путем "выполнить -> iptables-save > /etc/iptables.rules"