Настройка защиты от ддос - Форум администраторов игровых серверов
Форум администраторов игровых серверов StormWall - Защита от DDos атак
Регистрация Мнения Справка Пользователи Календарь Все разделы прочитаны
Вернуться   Форум администраторов игровых серверов > MMO > Aion > Документация

Важная информация

Документация Описание установок и настроек как самого эмулятора Aion-Emu, так и сопутствующих инструментов.

Ответ
Опции темы
Непрочитано 23.07.2010, 14:38   #1
Аватар для MetaWind
Герой

Автор темы (Топик Стартер) Настройка защиты от ддос

Здесь, я хочу вам рассказать, как правильно настроить юникс систему, для защиты от ддос атак
Если кому интерестно - просто поделюсь тем, что умею сам.


Всё что от нас потребуется - настроить параметры tcp
Ищем /etc/sysctl.conf

Вот собственно какие параметры туда можно добавить:

1. net.ipv4.tcp_keepalive_time = 60 // если на канале молчанка в течении 60 сек - сервер пробует клиент на живучесть

2. net.ipv4.tcp_keepalive_intvl = 10 //если проба неудачна - повторить через 10 сек

3. net.ipv4.tcp_keepalive_probes = 5 //повторить проверку 5 раз, если неудачно - закрыть соединение

4. net.ipv4.tcp_syncookies = 1 // защита от syn флуда. врубать ТОЛЬКО если ядро собрано с CONFIG_SYNCOOKIES

5. net.ipv4.conf.default.rp_filter = 1
net.ipv4.conf.all.rp_filter = 1 //Установка IP спуфинга защиты очереди на источник проверки маршрута.

6. net.ipv4.tcp_max_orphans = 131072 //защита орфанами от левых ддос...не забываем - каждый орфан жрет 64байта (или 64 кб...не помню точно) памяти.

вот в принципе элементарные меры которые должны помочь
__________________
MetaWind вне форума Отправить сообщение для MetaWind с помощью ICQ Отправить сообщение для MetaWind с помощью Skype™ Ответить с цитированием
Сказали спасибо:
Непрочитано 23.07.2010, 15:40   #2
Аватар для Devilop
Герой

По умолчанию Re: Настройка защиты от ддос

напиши для какой ОС или полный адрес куда лезть
а то нубы снова ныть будут =)
__________________
ЛЮДИ ВКЛЮЧИТЕ ВАШИ МОЗГИ
а то китайцы уже андроидов в телефоны пихают
Nokia N810

Devilop вне форума Отправить сообщение для Devilop с помощью ICQ Отправить сообщение для Devilop с помощью Skype™ Ответить с цитированием
Непрочитано 23.07.2010, 15:44   #3
Аватар для PROGRAMMATOR
Администратор

По умолчанию Re: Настройка защиты от ддос

Дебилиан, Бубунта, етс...
__________________
composer require laravel/framework
yarn add vue
PROGRAMMATOR вне форума Отправить сообщение для PROGRAMMATOR с помощью ICQ Отправить сообщение для PROGRAMMATOR с помощью Skype™ Ответить с цитированием
Непрочитано 23.07.2010, 18:50   #4
Аватар для MetaWind
Герой

Автор темы (Топик Стартер) Re: Настройка защиты от ддос

Devilop
а то нубы снова ныть будут =)

Точно) забыл сказать, спс напомнил)

Надо будет обновить значения переменных...
от рута надо

sysctl -p

уж как охото...если не ребутать - изменения будут вступать для новых коннектов или для реконектнувшихся...

На счет систем...всё верно..+ сан, хат, альт....
__________________
MetaWind вне форума Отправить сообщение для MetaWind с помощью ICQ Отправить сообщение для MetaWind с помощью Skype™ Ответить с цитированием
Непрочитано 24.07.2010, 02:08   #5
Пользователь

По умолчанию Re: Настройка защиты от ддос

Ну это только начало (да и то в некоторых местах спорное). А дальше?

Это не особо поможет от серьезного ДДоСа, а позволит системе по-больше ресурсов слопать в случае ДДоСа (если атака маленькая, то просто увеличение некоторых лимитов на потребление ресурсов поможет не упасть сервису, а если серьезная, то это только усугубит происходящее).
И, кстати, один сокет-"сиротка" (orphan) на самом деле поедает 64к памяти, т.е. предлагается под них отдать 8Гб оперативной памяти (64к * 131072), не много ли под "помирающие сокеты"? При хорошей атаке последствия будут не просто плачевным, а смертельными, особенно, если физической памяти меньше, либо равно 8Гб.

Таймауты понизить - да, полезно, syn-куки, тоже, реверс-пас, тоже пригодится, но с некоторыми допущениями (например, что у нас на сервере нету деления входящего и исходящего трафика по интерфейсам), а вот поднимать лимиты надо очень аккуратно и с умом, а то это все только усугубит последствия, хоть и позволит пережить атаки школьников.

Ну и из того, что надо бы сделать, сделано процентов 10% примерно, где повышение лимитов на файловые/сокетные дескрипторы, где тюнинг контрека, где правила iptables под разные типы сервисов?
Маловато будет, надо работать дальше
Blakkky вне форума Ответить с цитированием
Непрочитано 29.07.2010, 22:19   #6
Аватар для Salamandra
Заинтересовавшийся

По умолчанию Re: Настройка защиты от ддос

Blakkky мне хотелось бы выслушать твои предложения по поводу "дальше". Буду очень благодарен.
Salamandra вне форума Отправить сообщение для Salamandra с помощью ICQ Отправить сообщение для Salamandra с помощью Skype™ Ответить с цитированием
Непрочитано 04.08.2010, 22:10   #7
Пользователь

По умолчанию Re: Настройка защиты от ддос

частичная настройка системы
__________________
Taku вне форума Ответить с цитированием
Непрочитано 04.08.2010, 23:48   #8
Пользователь

По умолчанию Re: Настройка защиты от ддос

Настройка системы это хорошо, но если стоит хороший сервер на *nux и канал 100мб. от 200 ботов может спасти iptables, конечно не является панацеей, но от школьников и середнячков может спасти. Причем хорошее дополнение к любому антиddos приложению. Принцип построен на блоке навязчивых ip-адресов, чем больше пакетов, тем дольше блок. Sprut и т.п. начинает ложить свой канал. Данные парамметры проверялось на исходящем гигабитном канале, входящий 100мб.

Код:
iptables -F
iptables -t nat -F
iptables -X

iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

sysctl net.netfilter.nf_conntrack_acct=1

iptables -A INPUT -s *.*.*.* -j ACCEPT
iptables -A INPUT -s *.*.*.*/* -j ACCEPT
iptables -A INPUT -s *.*.*.*/* -j ACCEPT
iptables -A INPUT -s *.*.*.*/* -j ACCEPT
iptables -A INPUT -s *.*.*.* -j ACCEPT
iptables -A INPUT -s *.*.*.* -j ACCEPT
iptables -A INPUT -p TCP -s 0/0 --dport **** -j DROP      //прикрываемые порты
iptables -A INPUT -p TCP -s 0/0 --dport **** -j DROP       //прикрываемые порты

iptables -N LOGIN
iptables -N LOGIN_REJECT_1
iptables -N LOGIN_REJECT_2

iptables -A INPUT -p tcp --dport *** -m state --state NEW -j LOGIN      //правило для парта

iptables -A LOGIN -m recent --update --name LOGIN_REJECT_1 --seconds    600 --hitcount 1 -j DROP
iptables -A LOGIN -m recent --update --name LOGIN_REJECT_2 --seconds   3600 --hitcount 1 -j DROP

iptables -A LOGIN -m recent --set --name LOGIN_c1
iptables -A LOGIN -m recent --set --name LOGIN_c2

iptables -A LOGIN -m recent --update --name LOGIN_c1 --seconds    60 --hitcount  10 -j LOGIN_REJECT_1
iptables -A LOGIN -m recent --update --name LOGIN_c2 --seconds   600 --hitcount  20 -j LOGIN_REJECT_2

iptables -A LOGIN -m limit --limit 1/sec --limit-burst 3 -j ACCEPT

iptables -A LOGIN -j REJECT

iptables -A LOGIN_REJECT_1 -m recent --set --name LOGIN_REJECT_1
iptables -A LOGIN_REJECT_1 -j LOG --log-prefix "INPUT LOGIN REJECT: (10min)"
iptables -A LOGIN_REJECT_1 -j REJECT

iptables -A LOGIN_REJECT_2 -m recent --set --name LOGIN_REJECT_2
iptables -A LOGIN_REJECT_2 -j LOG --log-prefix "INPUT LOGIN REJECT: (1hour)"
iptables -A LOGIN_REJECT_2 -j REJECT

iptables -N HTTP
iptables -N HTTP_REJECT_1

iptables -A INPUT -p tcp --dport **** -m state --state NEW -j HTTP

iptables -A HTTP -m recent --update --name HTTP_REJECT_1 --seconds    60 --hitcount 10 -j DROP

iptables -A HTTP -m recent --set --name HTTP_c1

iptables -A HTTP -m recent --update --name HTTP_c1 --seconds    60 --hitcount  20 -j HTTP_REJECT_1

iptables -A HTTP -m limit --limit 10/sec --limit-burst 30 -j ACCEPT

iptables -A HTTP -j REJECT

iptables -A HTTP_REJECT_1 -m recent --set --name HTTP_REJECT_1
iptables -A HTTP_REJECT_1 -j LOG --log-prefix "INPUT HTTP REJECT: (1min)"
iptables -A HTTP_REJECT_1 -j REJECT
Что как куда, пробитые линуксойды поймут, остальным курить iptables.
Совесть вне форума Ответить с цитированием
Сказали спасибо:
Ответ


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 
Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Каким антивирусом Вы пользуетесь для защиты компьютера? PROGRAMMATOR Операционные системы / Operating systems 54 19.07.2010 22:44
ддос атаки! lancelotxzx Aion 13 16.07.2010 23:02
Выбор хостера, сборки, защиты и т.д. Anigilator Lineage II 4 22.02.2010 01:55
Ддос атаки Arsenn World of WarCraft 9 15.01.2010 21:51
Проблема после установки защиты chipusik Lineage II 2 04.01.2010 13:47


© 2007–2024 «Форум администраторов игровых серверов»
Защита сайта от DDoS атак — StormWall
Работает на Булке неизвестной версии с переводом от zCarot
Текущее время: 17:31. Часовой пояс GMT +3.

Вверх