[Информация] DDoS-защита Linux'овского сервера Source через правила iptables

**InfectedXMP** · 31.03.2014, 14:31

Не знал куда писать, в Статьи или сюда! Но решил сюда, так как статейка все-таки относится именно к защите Сервера!

Скажу сразу, если у Вас работает плагин [Ссылки могут видеть только зарегистрированные пользователи. ] и работает успешно и нормально отбивает DoS-атаки, то читать статью и заморачивать себе голову вовсе не надо... Ежели плагин не работает или не спасает, тогда приятного чтения! =)

Предыстория

В общем я как-то выложил плагин Dos-Protect, отписавшись "У меня отказался работать на Зомби-Моде"...
И вот по "счастливой" случайности этот самый мой Зомби-Мод сервер работал на Линуксе, и при установке этого плагина Зомбез крашился при запуске и к сожалению, в течении некоторого времени многой всякой школоты при каждом удобном случае сразу же врубали своими погаными ручонками свои ДДОСилки и успешно сваливали Зомбез за минуту, стоило хоть в чем-то неугодить

. Нет, админы невиноваты и сервак вполне нормальный, что их не устраивало, так и осталось для меня секретом).

При этом, я делал копию этого же Зомбеза на компе с Виндой, и вот почему-то на Винде этот плагин вполне успешно работал, а вот на Линухе, зараза, не хотел!

Теперь к делу:
Хочу с вами поделиться тем, как мне удалось решить эту проблему!

Я просто задал пару правил для линуховского iptables.. Точнее просто вбил пару строк в терминал!

iptables -A INPUT -p udp --dport 27016 -m hashlimit --hashlimit 50/s --hashlimit-burst 50 --hashlimit-mode srcip --hashlimit-name CSS -j ACCEPT

iptables -A INPUT -p udp --dport 27016 -j DROP

Где: 27016 - это порт Сервака, еще можно попробовать побаловаться с числом 50/s, но я себе поставил именно 50! Вбивайте и вы =)

После этого я тестил Зомбез несколькими програмками для ДОС-атак, среди которых был DDoS-ер с иконкой в виде лимона и CSS Server Lagger и Зомбез короче от них даже не пошевелился (хотя до этого любая из них сваливала Сервак за минуту).

Только одна програмка смогла поднять пинг до 200, но к счастью ее автор (програмки) эту прогу не распространяет и никому не дает =) !!!

Можно прописать и другие правила, для более точной фильтрации!

iptables -A INPUT -p udp -m udp --dport 27016 -m state --state RELATED,ESTABLISHED -j ACCEPT

iptables -A INPUT -p udp --dport 27016 -m state --state NEW -m hashlimit --hashlimit 100/s --hashlimit-burst 100 --hashlimit-mode srcip --hashlimit-name TF -j ACCEPT

iptables -A INPUT -p udp --dport 27016 -j DROP

Здесь также можно попробовать изменить число 100, но мне кажется 50 или 100 - нормально!

Еще команды для iptables:
iptables -L -n - показывает уже существующие правила!
iptables -F - сбрасывает все правила!

>>>Не помогли мне эти правила для моего Линуховского серва, все равно ДДОСят, можно ли еще что-то придумать?<<<

Можно попробовать осилить эту статью -> [Ссылки могут видеть только зарегистрированные пользователи. ]

Или можно сделать так!

Ставите плагин DoS Attack Fixer (DAF) и в настройках включаете логирование! Далее, если произошла DDoS-атака, смотрите в логе с какого IP-адреса была атака, и баните IP-адрес через iptables! Бан по iptables - вещь очень надежная, на себе проверял =) !

Оффтоп: хотя и написано что этот плагин DAF защищает сервер от ДДОСа, но по моему мнению и опыту, ни фига он не защищает (Во всяком случае от лимона не спасал)

Банить через iptables надо так:

iptables -A INPUT -s xxx.xxx.xxx.xxx -j DROP

Где xxx.xxx.xxx.xxx - это IP-адрес нарушителя!

Если нарушитель имеет динамический IP, сменил IP и ДДОСит дальше, то баним подсеть или несколько подсетей!

iptables -A INPUT -s xxx.xxx.xxx.0/24 -j DROP

Пример:
iptables -A INPUT -s 187.34.232.0/24 -j DROP -> Так мы забаним по iptables диапазон IP-адресов от 187.34.232.0 до 187.34.232.255

Разбан так:

iptables -D INPUT -s xxx.xxx.xxx.xxx -j DROP

Примечание 1:
Кстати, Бан по iptables вроде как не Банит на сервере CS:S, то есть Юзер, забаненный по iptables, сможет играть на вашем Серваке, но не сможет ДДОСить!

Примечание 2:
И еще, эти все правила и Баны предотвращают только от внешних DDOS-атак, т.е. когда можно ДДОСить через всякого рода програмы-флудилки, не заходя на Сервер! Для скриптов, которые флудят командами в консоль на самом серваке можно попробовать использовать Античит KAC!

P.S. Удачи вам и никаких DDoS-атак! Если что еще надыбаю, обязательно отпишусь!

[Ссылки могут видеть только зарегистрированные пользователи. ]

maxximan · 01.04.2014, 10:21

изначально то что ты описал, сам способ, пропускает атаки, помогает лучше всего способ более точной фильтрафии. P.s. права слетают после перезагрузки пк, восстанавливать путем "выполнить -> iptables-save > /etc/iptables.rules"