ДДОС....

Господа, всем привет.

Более года все страдают от регулярных ддосов с разной периодичностью.

Кого то ддосят месяц, потом месяц перерыва, кого то по 2-3 раза в день сопровождая атаками читеров, из за которых регулярно делаются откаты ну и т.д.

 

Всё это чревато потерей онлайна, лояльности и соотетсвенно доната....

 

Методы защиты известны - её толком нет)))

 

Нормальные хосты с анти ддосом от 6к, поэтому выживают либо сервера с регулярным донатом, либо сервера, у Админов которых крепкие нервы.

 

В Ру сегменте уже сервера по пальцам пересчитать можно. 80% новых серверов с нормальным онлайном, которых ещё не заметили.

 

Теория, что это проделки одного-нескольких серверов мне кажется сомнительной, т.к структура ддоса разная. После смены ип-портов, сервера обнаруживаются и падают через время от 20мин до 2х часов и причем не один, а оба одновременно. так может продолжатся на протяжении 6 часов. Бывает в этот же период атака идёт не на порты, а на ип адрес, где помогает смена ип опять же на пару часов.

 

Явно ситуация кем то мониторится, и за частую, продолжается это ровно месяц, потом перерыв. Явный заказ....

 

Кто что думает? Кто готов вваливать бабки с целью завалить сервера с хорошим онлайном, которые не могут резко защитится?  Может это проделки пиндосов, которые хотят РУ сегмент прикрыть? Есть ли в России проверенные методы бюджетной защиты? Только ОВХ француский тянет?

для домашнего сервера, стоящего НЕ на windows server рекомендую грамотно настроить KERIO или KIS.

Если в каспере все просто, то в керио нужно немного попотеть.

А так оба хорошо блочат ддос атаки.

для домашнего сервера, стоящего НЕ на windows server рекомендую грамотно настроить KERIO или KIS.

Если в каспере все просто, то в керио нужно немного попотеть.

А так оба хорошо блочат ддос атаки.

Хм... Каким образом одни будут блочить, если идёт атака на порт UDP? тут не блокировка нужна а фильтрация. блокировка порта поможет защититься, как от ддоса, так и от онлайна) Защита домашнего сервера, от атаки более 250м.бит, решится только покупкой-настройкой роутера.

 

Вообще интересует вопрос откуда исходит эта зараза. Я может и наивный, чего то не знаю или не понимаю, но хотелось бы порассуждать и узнать информацию, которая у кого то по любому есть.

Edited August 18, 2016 by HellBoy (see edit history)

Хм... Каким образом одни будут блочить, если идёт атака на порт UDP? тут не блокировка нужна а фильтрация. блокировка порта поможет защититься, как от ддоса, так и от онлайна) Защита домашнего сервера, от атаки более 250м.бит, решится только покупкой-настройкой роутера.

 

Вообще интересует вопрос откуда исходит эта зараза. Я может и наивный, чего то не знаю или не понимаю, но хотелось бы порассуждать и узнать информацию, которая у кого то по любому есть.

ну... если сопровождается DDoS атаками читеров - долго искать тех кто это всё устраивает не приходится) голго так просто не угомониться

Это да. в ру сегменте только он такое творит(из тех кого знаю). По поводу иностранных "партнеров" не думаю что они будут такую дичь устраивать, ибо там это жестко регламентируется. Все упирается в СНГ(и да они тоже меняют ип адресса) 

Это да. в ру сегменте только он такое творит(из тех кого знаю). По поводу иностранных "партнеров" не думаю что они будут такую дичь устраивать, ибо там это жестко регламентируется. Все упирается в СНГ(и да они тоже меняют ип адресса) 

Каким образом это у них регламентируется, если всё действие заключается в нажатии одной кнопки. А потом привет, принимайте 20тыс ип адресов.

Каким образом это у них регламентируется, если всё действие заключается в нажатии одной кнопки. А потом привет, принимайте 20тыс ип адресов.

У них провайдер за этим следит) вот в чем фишка) не то что у нас) 

Чушь, никто нигде за этим не следит.

 

А это тема болоболие, не больше.

 

Если у вас канал 100мбит, а атака пришла 200мбит, то вам ничего не поможет, будь у вас хоть серверная комната с маршрутизирующим оборудованием и армия лучших в мире сетевиков.

А при чем тут ширина канала?

Я прям не знаю что тебе ответить.Может как-то конкретнее вопрос задашь?

От ширины канала "твоего сервера" зависит то, на сколько легко или сложно тебя положить атакой ddos

Оо)

 

А я всегда думал, что ДДОС это множество пакетов, отправленных за короткий промежуток времени(можно и пустых - аля пинг), которые перегружают буфер сетевого интерфейса, в следствии чего интерфейс перестает отвечать(успевать обрабатывать очередь).

И если латентность канала, еще каким то боком можно сюда вплести, то уж его ширину... Ну я даж не знаю)

_)

ДДос это цель, а способов её достижения много, я могу объяснить подробнее, если тебе интересно.

 

Сейчас самый простой\дешевый и поэтому популярный метод  - это простой флуд.

Вот у тебя есть сетевой интерфейс, который подключен к каналу с пропускной способностью 100мбит, за ним находится некий сервис, например сервер DayZ, если на сетевой интерфейс ломится 1гбит флуда, то плевать как ты настроил его и сервисы находящиеся за ним, ликвидные пакеты попросту "не протиснутся" сквозь этот гиг флуда.Да у тебя будет работать сервер и ОС на которой он запущен, но вех кто там был покикает, а новые подключится не смогут.

 

Понятно причем тут пропуская способность?

Твои умозаключения не верны и абсурдны)

Почитай про ДДОС литературку какую нить...

Еще раз тебе повторюсь - ширина канала связи тут не при чем.

А высказывания типа - 1Гб флуда)))) Мля( У меня зеркальные нейроны начинают работать) мне стыдно становится, за тебя)

 

В качестве пояснения -

Имея 1Мб\с канал связи, Вася может положить сервер с 1Гб\с каналом)

 

А делается это просто -

В несколько потоков Вася шлет множество пакетов, на сетевой адрес.

Сетевой интерфейс(пусть будет просто - сетевая карта) - имеет память, для хранения и обработки пришедших пакетов - буфер.

Любой пришедший пакет, сетевая карта должна обработать.

Когда их МНОГО(много - это не значит, что они весят много, это значит, что их просто - МНОГО), буфер переполняется, и пакеты теряются - новые подключения не возможны, т.к. буфер переполнен.

А канал твоего сервера при этом может быть свободен на 99.9%

Скажу так, когда нам ддосили серв на своей машине (винда офк) мы закрывали порты вообще все(не виндовым дефолтным фаерволом), однако канал был все равно забит долгое время и в конечном итоге пров банально блочил на 10 минут соединение

Edited September 20, 2016 by godfatherbul (see edit history)

Венда, флуд по 40к айпи в секунду. Канал гиг.

Если на атакуемом порту висит прога которая не может вывезти такой трафик- то она грузит проц на 100%, тем самым заваливая все другие процессы (они ниАле).

С другой стороны, при таком же флуде, но на порты которые не слушаются ничем кроме фаервола- вообще никак не влияет на работу венды и сервера на ней, разве что фаервол строчит логи в огромных объемах.

----

Как боролся )

1) Смена порта армы каждый рестарт батником. Довольно эффективно, но есть и обратная сторона медали-теряется онлайн, тк инфа о сервере не часто индексируется лаунчерами и тд.

2) Запрет рандомных удаленных портов для подключения к серверу (2302). Отваливаются 3G модемы, отваливаются все клиенты за НАТ и wifi тк им выдается рандомный порт для обратной связи. Эффективно, но, тоже к потере онлайна-тк играть могут только с выделенкой или vpn. 

3) Блокирование части атак со стороны провайдера, по четко выраженным параметрам приходящих пакетов. Закрытие левых протоколов со стороны провайдера по входящим направлением. Полная фильтрация порта 2303 по одному критерию-длина пакета (всегда одинакова для легал-трафика). + комбинирование первых двух вариков для 2302 порта в зависимости от активности ддоса на текущий момент.

---

Все это пробывалось на ипсервере, где нет антиддоса.

Edited September 20, 2016 by svalom (see edit history)