#1 2012.09.14 09:28:17
0
Добрый День! Вот и настал для созданием темы, о защите серверов Counter Strike: Source серверов. Данная тема было создано для незнающих, как защитится от этой беды, тем более DDoS атака самая распространенная атака.
Есть различные виды атак, сейчас я вам все расскажу, и покажу как настроить свое оборудование, от таких злоумышленников.
1. Эксплойт
Эксплойтом называют программу, фрагмент программного кода или последовательность программных команд, использующие уязвимости в программном обеспечении и применяемые для проведения атаки на киберсистему. Из эксплойтов, ведущих к DoS-атаке, но непригодных, например, для захвата контроля над «вражеской» системой, наиболее известны WinNuke и Ping of death (Пинг смерти).
2. Флуд
Флудом называют огромный поток бессмысленных запросов с разных компьютеров с целью занять «вражескую» систему (процессор, ОЗУ или канал связи) работой и этим временно вывести её из строя. Понятие «DDoS-атака» практически равносильно понятию «флуд», и в обиходе и тот и другой часто взаимозаменяемы («зафлудить сервер» = «заDDoS’ить сервер»).
Для создания флуда могут применяться как обычные сетевые утилиты вроде ping (этим известно, например, интернет-сообщество «Упячка»), так и особые программы. Возможность DDoS’а часто «зашивают» в ботнеты. Если на сайте с высокой посещаемостью будет обнаружена уязвимость типа «межсайтовый скриптинг» или возможность включения картинок с других ресурсов, этот сайт также можно применить для DDoS-атаки.
3. Флуд канала связи и TCP-подсистемы
Любой компьютер, имеющий связь с внешним миром по протоколу TCP/IP, подвержен таким типам флуда:
SYN-флуд — при данном виде флуд-атаки на атакуемый узел направляется большое количество SYN-пакетов по протоколу TCP (запросов на открытие соединения). При этом на атакуемом компьютере через короткое время исчерпывается количество доступных для открытия сокетов (программных сетевых гнезд, портов) и сервер перестаёт отвечать.
UDP-флуд — этот тип флуда атакует не компьютер-цель, а его канал связи. Провайдеры резонно предполагают, что UDP-пакеты надо доставить первыми, а TCP- могут подождать. Большим количеством UDP-пакетов разного размера забивают канал связи, и сервер, работающий по протоколу TCP, перестаёт отвечать.
ICMP-флуд — то же самое, но с помощью ICMP-пакетов.
Теперь будем защищаться от таких злоумышленников
Для этого нам необходимо программа Putty, и собственно пользователь "root", без него не как не обойтись.
Как зашли под "root" выполняем следующие комманды:
Настройки фаервола на Linux
Далее прописываем все по очереди следующие команды:
Где: 27018 - это порт Сервака, еще можно попробовать побаловаться с числом 50/s, но я себе поставил именно 50! Вбивайте и свои сами.
После этого я тестил Зомбез несколькими програмками для DDoS-атак, среди которых был DDoS-ер с иконкой в виде лимона и CSS Server Lagger и Зомбез короче от них даже не пошевелился (хотя до этого любая из них сваливала Сервак за минуту).
Только одна програмка смогла поднять пинг до 200, но к счастью ее автор (програмки) эту прогу не распространяет и в паблик не выкладывает.
Можно прописать и более детальные правила, для более точной фильтрации сетевого трафика:
Настройки фаервола завершены, таким образом повышается эффективность защиты сервера от DDoS атак и флуда на сервер.
Есть различные виды атак, сейчас я вам все расскажу, и покажу как настроить свое оборудование, от таких злоумышленников.
1. Эксплойт
Эксплойтом называют программу, фрагмент программного кода или последовательность программных команд, использующие уязвимости в программном обеспечении и применяемые для проведения атаки на киберсистему. Из эксплойтов, ведущих к DoS-атаке, но непригодных, например, для захвата контроля над «вражеской» системой, наиболее известны WinNuke и Ping of death (Пинг смерти).
2. Флуд
Флудом называют огромный поток бессмысленных запросов с разных компьютеров с целью занять «вражескую» систему (процессор, ОЗУ или канал связи) работой и этим временно вывести её из строя. Понятие «DDoS-атака» практически равносильно понятию «флуд», и в обиходе и тот и другой часто взаимозаменяемы («зафлудить сервер» = «заDDoS’ить сервер»).
Для создания флуда могут применяться как обычные сетевые утилиты вроде ping (этим известно, например, интернет-сообщество «Упячка»), так и особые программы. Возможность DDoS’а часто «зашивают» в ботнеты. Если на сайте с высокой посещаемостью будет обнаружена уязвимость типа «межсайтовый скриптинг» или возможность включения картинок с других ресурсов, этот сайт также можно применить для DDoS-атаки.
3. Флуд канала связи и TCP-подсистемы
Любой компьютер, имеющий связь с внешним миром по протоколу TCP/IP, подвержен таким типам флуда:
SYN-флуд — при данном виде флуд-атаки на атакуемый узел направляется большое количество SYN-пакетов по протоколу TCP (запросов на открытие соединения). При этом на атакуемом компьютере через короткое время исчерпывается количество доступных для открытия сокетов (программных сетевых гнезд, портов) и сервер перестаёт отвечать.
UDP-флуд — этот тип флуда атакует не компьютер-цель, а его канал связи. Провайдеры резонно предполагают, что UDP-пакеты надо доставить первыми, а TCP- могут подождать. Большим количеством UDP-пакетов разного размера забивают канал связи, и сервер, работающий по протоколу TCP, перестаёт отвечать.
ICMP-флуд — то же самое, но с помощью ICMP-пакетов.
Теперь будем защищаться от таких злоумышленников
Для этого нам необходимо программа Putty, и собственно пользователь "root", без него не как не обойтись.
Как зашли под "root" выполняем следующие комманды:
Настройки фаервола на Linux
iptables -L -n - показывает уже существующие правила.iptables -F - удаляет все правила.Далее прописываем все по очереди следующие команды:
iptables -A INPUT -p udp --dport 27018 -m hashlimit --hashlimit 50/s --hashlimit-burst 50 --hashlimit-mode srcip --hashlimit-name CSS -j ACCEPTiptables -A INPUT -p udp --dport 27018 -j DROPГде: 27018 - это порт Сервака, еще можно попробовать побаловаться с числом 50/s, но я себе поставил именно 50! Вбивайте и свои сами.
После этого я тестил Зомбез несколькими програмками для DDoS-атак, среди которых был DDoS-ер с иконкой в виде лимона и CSS Server Lagger и Зомбез короче от них даже не пошевелился (хотя до этого любая из них сваливала Сервак за минуту).
Только одна програмка смогла поднять пинг до 200, но к счастью ее автор (програмки) эту прогу не распространяет и в паблик не выкладывает.
Можно прописать и более детальные правила, для более точной фильтрации сетевого трафика:
iptables -A INPUT -p udp -m udp --dport 27018 -m state --state RELATED,ESTABLISHED -j ACCEPTiptables -A INPUT -p udp --dport 27018 -m state --state NEW -m hashlimit --hashlimit 100/s --hashlimit-burst 100 --hashlimit-mode srcip --hashlimit-name TF -j ACCEPTiptables -A INPUT -p udp --dport 27018 -j DROPНастройки фаервола завершены, таким образом повышается эффективность защиты сервера от DDoS атак и флуда на сервер.
Отредактировано: 2012.09.14 09:39:32