DDOS, UDP-flood (базовая защита iptables)
first of all, use SSL and reduce the number of ports you use
- Сообщения
- 284
- Реакции
- 36
- Помог
- 3 раз(а)
I am using SSL, over cloudflare and used ports are 21, 22, 443, 8080 and ports for CS servers.
Use a pterodactyl. you will protect yourself well
Connections will be local and will only be allowed by Cloudflare Additional Configuration | Pterodactyl
send me on discord if you want help .mahm0ud
- Сообщения
- 154
- Реакции
- 29
- Помог
- 2 раз(а)
They already know his IP so cloudflare not gonna help there, at least he should call his hosting provider and provide them pcap, btw he still can can make local connections if he understand a little linux and firewall
he has many open ports
This is not in his interest. the first thing he should do is close all these ports
secondly. If his service provider is ovh, they must follow these directions : https://help.ovhcloud.com/csm/en-de...?id=kb_article_view&sysparm_article=KB0043448
- Сообщения
- 39
- Реакции
- 8
Доброго дня и ночи
Вопрос по поводу правил
Есть уник, который каким то софтом или скриптом не понятно
Создает нагрузку на 27015 порт
Правила стоят из поста (если их выгрузить как буд0то ничего не поменялось
18:04:03.130910 IP 52.64.uzpak.uz.60843 > 192.168.0.2.27015: UDP, length 8
18:04:03.130953 IP 52.64.uzpak.uz.60842 > 192.168.0.2.27015: UDP, length 11
18:04:03.130967 IP 52.64.uzpak.uz.60843 > 192.168.0.2.27015: UDP, length 16
Все виды дос атак держит а вот обычный флуд не хочет( руки кривые
Хотел сделать fail2ban по length 8-11-16 но что то не пашет(
пробовать нагрузить пакетами сервер. но у меня нагрузка 1000 length с кучей флуда. но сервер такое не чувствует
а вот 8-11-16 идет в аут (при таком флуде процессор ничего не чувствует (а вот зайти на сервер новые люди не могут. как решить вопрос?
помогает лишь ручной drop этого айпи адреса. пакеты все же идут. но сервер становится доступен
Вопрос по поводу правил
Есть уник, который каким то софтом или скриптом не понятно
Создает нагрузку на 27015 порт
Правила стоят из поста (если их выгрузить как буд0то ничего не поменялось
18:04:03.130910 IP 52.64.uzpak.uz.60843 > 192.168.0.2.27015: UDP, length 8
18:04:03.130953 IP 52.64.uzpak.uz.60842 > 192.168.0.2.27015: UDP, length 11
18:04:03.130967 IP 52.64.uzpak.uz.60843 > 192.168.0.2.27015: UDP, length 16
Все виды дос атак держит а вот обычный флуд не хочет( руки кривые
Хотел сделать fail2ban по length 8-11-16 но что то не пашет(
пробовать нагрузить пакетами сервер. но у меня нагрузка 1000 length с кучей флуда. но сервер такое не чувствует
а вот 8-11-16 идет в аут (при таком флуде процессор ничего не чувствует (а вот зайти на сервер новые люди не могут. как решить вопрос?
помогает лишь ручной drop этого айпи адреса. пакеты все же идут. но сервер становится доступен
Последнее редактирование:
- Сообщения
- 154
- Реакции
- 29
- Помог
- 2 раз(а)
dimamelnic make tcpdump, so we can take look what is happening, according on explanation looks like authentication flood
- Сообщения
- 39
- Реакции
- 8
@неопределенный,
Вот эти три строки из tcpdump.
Он отправляет много запросов размером 8-11-16 байт.
Больше в tcpdump ничего нет.
Добавляю правила:
-A ВХОД -s 84.54.71.131 -j ОТБРОС
-A PREVEREUTING -s 84.54.71.131 -j DROP
Я не уверен, какой из них работает, но это помогает.
Сервер становится доступным (хотя пакеты продолжают поступать).
Есть ли защита или автоматическое правило, которое отправляет IP в блок? Я пробовал разные методы, и информация в интернете устарела. Как я могу защитить себя?
Вот эти три строки из tcpdump.
Он отправляет много запросов размером 8-11-16 байт.
Больше в tcpdump ничего нет.
Добавляю правила:
-A ВХОД -s 84.54.71.131 -j ОТБРОС
-A PREVEREUTING -s 84.54.71.131 -j DROP
Я не уверен, какой из них работает, но это помогает.
Сервер становится доступным (хотя пакеты продолжают поступать).
Есть ли защита или автоматическое правило, которое отправляет IP в блок? Я пробовал разные методы, и информация в интернете устарела. Как я могу защитить себя?
- Сообщения
- 210
- Реакции
- 488
- Помог
- 3 раз(а)
dimamelnic, забанить IP можно, но это будет борьба с ветряными мельницами. IP очень легко поменять, в наше время.
Ты запускал tcpdump не с теми ключами. Нужно сделать дамп трафика, изучить его, какими пакетами флудят на порт, какое содержимое этих пакетов, и потом можно будет создать правило в iptables чтобы блокировать эти пакеты по размеру + содержимому. Они будут блокироваться для любого IP.
Ты запускал tcpdump не с теми ключами. Нужно сделать дамп трафика, изучить его, какими пакетами флудят на порт, какое содержимое этих пакетов, и потом можно будет создать правило в iptables чтобы блокировать эти пакеты по размеру + содержимому. Они будут блокироваться для любого IP.