DDoS-защита Linux"овского сервера Source через iptables

#1 2012.09.14 09:28:17

0

Добрый День! Вот и настал для созданием темы, о защите серверов Counter Strike: Source серверов. Данная тема было создано для незнающих, как защитится от этой беды, тем более DDoS атака самая распространенная атака.

Есть различные виды атак, сейчас я вам все расскажу, и покажу как настроить свое оборудование, от таких злоумышленников.

1. Эксплойт

Эксплойтом называют программу, фрагмент программного кода или последовательность программных команд, использующие уязвимости в программном обеспечении и применяемые для проведения атаки на киберсистему. Из эксплойтов, ведущих к DoS-атаке, но непригодных, например, для захвата контроля над «вражеской» системой, наиболее известны WinNuke и Ping of death (Пинг смерти).

2. Флуд
Флудом называют огромный поток бессмысленных запросов с разных компьютеров с целью занять «вражескую» систему (процессор, ОЗУ или канал связи) работой и этим временно вывести её из строя. Понятие «DDoS-атака» практически равносильно понятию «флуд», и в обиходе и тот и другой часто взаимозаменяемы («зафлудить сервер» = «заDDoS’ить сервер»).
Для создания флуда могут применяться как обычные сетевые утилиты вроде ping (этим известно, например, интернет-сообщество «Упячка»), так и особые программы. Возможность DDoS’а часто «зашивают» в ботнеты. Если на сайте с высокой посещаемостью будет обнаружена уязвимость типа «межсайтовый скриптинг» или возможность включения картинок с других ресурсов, этот сайт также можно применить для DDoS-атаки.

3. Флуд канала связи и TCP-подсистемы
Любой компьютер, имеющий связь с внешним миром по протоколу TCP/IP, подвержен таким типам флуда:
SYN-флуд — при данном виде флуд-атаки на атакуемый узел направляется большое количество SYN-пакетов по протоколу TCP (запросов на открытие соединения). При этом на атакуемом компьютере через короткое время исчерпывается количество доступных для открытия сокетов (программных сетевых гнезд, портов) и сервер перестаёт отвечать.
UDP-флуд — этот тип флуда атакует не компьютер-цель, а его канал связи. Провайдеры резонно предполагают, что UDP-пакеты надо доставить первыми, а TCP- могут подождать. Большим количеством UDP-пакетов разного размера забивают канал связи, и сервер, работающий по протоколу TCP, перестаёт отвечать.
ICMP-флуд — то же самое, но с помощью ICMP-пакетов.

Теперь будем защищаться от таких злоумышленников
Для этого нам необходимо программа Putty, и собственно пользователь "root", без него не как не обойтись.

Как зашли под "root" выполняем следующие комманды:

Настройки фаервола на Linux
iptables -L -n - показывает уже существующие правила.
iptables -F - удаляет все правила.

Далее прописываем все по очереди следующие команды:

iptables -A INPUT -p udp --dport 27018 -m hashlimit --hashlimit 50/s --hashlimit-burst 50 --hashlimit-mode srcip --hashlimit-name CSS -j ACCEPT
iptables -A INPUT -p udp --dport 27018 -j DROP

Где: 27018 - это порт Сервака, еще можно попробовать побаловаться с числом 50/s, но я себе поставил именно 50! Вбивайте и свои сами.

После этого я тестил Зомбез несколькими програмками для DDoS-атак, среди которых был DDoS-ер с иконкой в виде лимона и CSS Server Lagger и Зомбез короче от них даже не пошевелился (хотя до этого любая из них сваливала Сервак за минуту).

Только одна програмка смогла поднять пинг до 200, но к счастью ее автор (програмки) эту прогу не распространяет и в паблик не выкладывает.

Можно прописать и более детальные правила, для более точной фильтрации сетевого трафика:

iptables -A INPUT -p udp -m udp --dport 27018 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p udp --dport 27018 -m state --state NEW -m hashlimit --hashlimit 100/s --hashlimit-burst 100 --hashlimit-mode srcip --hashlimit-name TF -j ACCEPT
iptables -A INPUT -p udp --dport 27018 -j DROP

Настройки фаервола завершены, таким образом повышается эффективность защиты сервера от DDoS атак и флуда на сервер.
Отредактировано: 2012.09.14 09:39:32
8230
Серверов всего
5929
Серверов онлайн
62057
Игроков онлайн
Добавить сервер