Ajuda Com Dos, Csf Parou De Funcionar

[brupj]

Boa noite galera....

 

Tenho um servidor de Jogos, com Minecraft e Counter Strike!!!

Antigamente o CSF segurava os ataques que recebo (UDP FLOOD), mas agora não segura mais, desde que atualizou o CSF.

Simplesmente parece que não faz NADA.

 

Nos logs ele mostra que detectou FLOOD do Ip tal, mas "laga" do mesmo jeito.

Uso ele com CentOs 6.4 (Esta totalmente atualizado), já testei com versões antigas do CentOs, que antes funcionava o CSF  (como a versão 6.2).

 

Preciso para os ataques.....

Tenho tambem o Juniper SSG 20 e o Fortigate 80 CM, vocês acham que algum deles seguraria esses ataques e não daria lag aos jogadores??

 

Minha banda é de 70 Mb  FULLDUPLEX.... de banda, to sussa... hoje uso em média 20 Mb !!!

 

Enfim.... o que recomendam??? Pq o Fortigate esta com a assinatura vencida.... não quero pagar para renovar e de repente ele nem aguenta isso.

 

Sabem onde consigo versões antigas do CSF ??

 

To no mato sem cachorro.... e sem dinheiro!!! huahuahuauha

 

Qualquer opinião é bem-vinda

 

ps.: Tem algum firewall, com IPS/IDS que não precise pagar assinatura para funcionar?

[Alexandre Duran]

CSF não é a solução para ataque DDOS. Se um ataque destes é barrado pelo CSF eu diria até ser prematura classifica-lo como DDOS mesmo. A Juniper  seria uma opção MUTO melhor e correta.

 

O problema de firewall via software (com a intenção de bloqueio/filtragem de pacotes) é que o pacote tem de chegar primeiro a máquina e ser processado pelo firewall. Em um firewall físico, colocado ANTES do pacote chegar ao servidor fisico todo o processaomente da função fica "retido" no firewall, não no servidor de destino.

 

Não apenas o tráfego de entrada , o de saídas ó é gerado em resposta a pacotes já filtrados pelo firewall:

 

[Visitante]

Compre um roteador edge. Juniper (MX5 já dá conta do recado) é a melhor alternativa, ou Brocade.

 

Aparentemente o Dell SonicWall parece ser uma boa alternativa também.

[joaopaulo]

Para UDP Flood basta usar o CSX, mas isso não vai aguentar muito mais que 500 PPS. 

 

Outra solução é personalizar suas regras e por isso:

iptables -A INPUT -f -j DROP

 E também pode dropar pacotes nulos:

iptables -A INPuT -p tcp --tcp-flags ALL NONE -j DROP

[brupj]

Mas Erick, esse MX5 ta mais de 5 mil doletas, não tem condições !!!

 

Teria algum firewall de borda com Stateful que vcs recomendam.... que atendam essas necessidades??

 

E pq o CSF parou de bloquear os ataques apos atualizar??? Alguem viu algo desse bug??? Pq ele atualizou e eu nem mexi nas COnfs dele.

[Visitante]

Ok, brupj.

 

 

1) Desative o Syslog no servidor

2) Desative o irqbalance do servidor (/etc/init.d/irqbalance stop)

3) Faça as seguintes alterações no TCP/IP

 

echo 100 > /proc/sys/net/ipv4/neigh/default/unres_qlen

echo 100 > /proc/sys/net/ipv4/neigh/eth0/unres_qlen

echo 1 > /proc/sys/net/ipv4/tcp_delack_min

 

No momento do ataque tente "sniffar" a rede utilizando tcpdump, comando:

 

tcpdump -i nomedainterface -p protocolo -vv -n

 

Deixe apenas 1 segundo durante o ataque e aperte CTRL + C

 

Depois cole aqui.

[Visitante]

 

Para UDP Flood basta usar o CSX, mas isso não vai aguentar muito mais que 500 PPS. 

 

Outra solução é personalizar suas regras e por isso:

iptables -A INPUT -f -j DROP

 E também pode dropar pacotes nulos:

iptables -A INPuT -p tcp --tcp-flags ALL NONE -j DROP

 

 

Mas Erick, esse MX5 ta mais de 5 mil doletas, não tem condições !!!

 

Teria algum firewall de borda com Stateful que vcs recomendam.... que atendam essas necessidades??

 

E pq o CSF parou de bloquear os ataques apos atualizar??? Alguem viu algo desse bug??? Pq ele atualizou e eu nem mexi nas COnfs dele.

 

 

Confira:

 

http://www.hipac.org/

[Paulo Zivieri]

Qual o tamanho do ataque?  Talvez em primeiro momento seja "mais barato" contratar a proteção externa da Blacklotus ou contratar um servidor já com a proteção deles (no site deles existe as opções).

[Visitante]

Qual o tamanho do ataque?  Talvez em primeiro momento seja "mais barato" contratar a proteção externa da Blacklotus ou contratar um servidor já com a proteção deles (no site deles existe as opções).

 

O problema é que pela banda que ele informou (70 mbit) deve ser no Brasil, e muitas operadoras não permitem seleção de um provedor específico (BGP) a um link dedicado.

[brupj]

Isso mesmo, é no Brasil o meu!!!

Para jogos é embaçado no exterior, por causa da latência.

Meu ping aqui no meu servidor fica em media de 5 a 10 Ms !!! No exterior, fica em media 240 !!! Fica MUITO ruim para jogar.

 

To procurando solução ainda!!

 

Vou testar o tal do HIPAC... mas queria, de preferencia, hardware de confiança... um que eu colocasse e esquecesse !!!

 

Paulo... eu mesmo peguei um VPS na BURST e me ataquei (Flood UDP) !!! O servidor cai... e antes não caia... o CSF segurava. EU sei que isso é DoS e não DDoS.... mas ta caindo mesmo com ataque DoS.