Ir para conteúdo
  • Cadastre-se

Procuro alguem pra desenvolver solução contra ataques UDP

xlee

Por xlee
em Servidores Dedicados

 Compartilhar

Posts Recomendados

rubensk

rubensk

Postado
Postado

@rubensk Spoofed packets e spoofed ip adress é citado pelo criador do servidor também quando perguntado sobre isso, ele fala não tenho culpa por "redes mal configuradas que aceitam spoofed packets"

Eu não gerencio mais vps eu só pago host do jogo e meu hoster que é técnico em redes quem opera tudo, o que ele me disse que chegou a dar uma amenizada na intensidade do ataque foi um sistema que rejeita pacotes muito grandes ai restou só pacotes do tamanho dos quais os jogadores reais mandam.

 

O problema é que as redes mal configuradas no caso a do seu host, mas as de toda a Internet... é triste mesmo a baixa adesão à BCP-38. Aqui há uma iniciativa do NIC.br para conscientizar operadores de redes de acesso disso: http://bcp.nic.br, e há esforços mundiais a esse respeito, mas a experiência de serviços DNS (também muito em UDP) é que ainda falta muito. 

 

Se deu para diminuir bem usando tamanho, deve dar para diminuir ainda mais o ataque usando o formato dos pacotes; o criador do servidor disponibiliza o layout do pacote de dados ? Com ele daria para criar um filtro bem mais específico. 

0
Link para o comentário
Compartilhar em outros sites
rubensk

rubensk

Postado
Postado

Desconheço isso acho que não disponibiliza,  a coisa que parece mais próxima é isso https://wiki.sa-mp.com/wiki/Query_Mechanism#The_packet_table não sei se tem algo haver

 

É isso mesmo, tem uma descrição bem detalhada do layout. Deve dar para usando isso como padrão rejeitar bem mais coisas sem nexo. Aliás, daria para fazer um padrão pegando só a autenticação, e fazer um regra alimentando uma lista de quem se logou e só dela permitir os demais pacotes. 

0
Link para o comentário
Compartilhar em outros sites
Visitante

Visitante

Postado
Postado

Esse caso no SA-MP é complicado... Temos uma infra bem parruda justamente para mitigar esses ataques, mas serviços comuns citados na CarbonHost não são capazes de mitigar ataques desse nível.

 

Esse ataque citado, é algo que está fora de questão até mesmo para os próprios desenvolvedores do jogo, que não sabem resolver o problema. Firewalls a nível de software, ou rede, não vão te ajudar a mitigar esses ataques, desde que eles são spoofados, e na camada da aplicação. No entanto, é possível desenvolver algoritmos para diferenciar o tráfego sujo, e o tráfego limpo, mas mesmo assim seria ineficaz desde que o atacante possa alterar a sequência dos pacotes, por exemplo, e te enviar sequência de três pacotes do mesmo SRC IP.

 

Não espere gastar 200, 300, 400, 500 reais para uma solução do gênero, o custo para proteções desse nível tende a custar acima de R$1.5K+ reais.

 

Existe soluções mais simples, como iptables hashlimit em conjunto com PACKET KNOCKING onde você pode fazer uma espécie de "portão" de acordo com os pacotes do game... Como o Query merchanism (https://wiki.sa-mp.com/wiki/Query_Mechanism#The_packet_table)

 

Exemplo da sequência de pacotes do SA-MP:

 

39 len (o cabeçalho pode variar, depende da sua porta do jogo):

Mandou um pacote com UDP NEW? Drop.

43 len: Mandou a segunda requisição de pacotes? Ok, libera pro 32 length

32 len: Pacote de se conectar no jogo, então, quem mandar um pacote, e não ter a conexão estabilizada a partir do length 43 será dropado.

 

É um cenário um pouco complicado, mas é possível fazer.

 

Sugiro que procure um Dev, ou, procure uma empresa especializada para lidar com esses ataques.

0
Link para o comentário
Compartilhar em outros sites
rubensk

rubensk

Postado
Postado

@rubensk você tem conhecimento pra arquitetar tudo isso pra mim?

e digamos que sejam realmente mais de 30mil botnets atacando ao mesmo tempo ainda sim seria possível essa solução por lista de permissão?

 

Ter ou não conhecimento não é a questão pois não tenho disponibilidade; reitero minha sugestão do pessoal da FreeBSD Brasil. 

 

Se os ataques são mesmo de L7 e não estão saturando nenhum recurso como interface de rede / link, seria sim possível essa solução por lista de permissão, até pq a quantidade de elementos da lista seria a quantidade de usuários legítimos logados. 

 

Mas com 30 mil zumbis numa botnet dá pra fazer um belo ataque volumétrico... se os ataques de L7 pararem de funcionar, o próximo passo de quem quer te ver fora do ar é apelar pra isso. 

 

 

Rubens

0
Link para o comentário
Compartilhar em outros sites
Pedro Sodre

Pedro Sodre

Postado
Postado

O que ocorre é uma negação de serviço aos meus usuários e também da pra chamar isso de UDP flood pois como meu host atual me mostrou são vários ips ao redor do mundo (botnets) que ficam conectando somente 1 vez a porta do servidor jogando pacotes de 46KB udp congestionando a mesma pois ela responde e fica aguardando resposta e eles não dão resposta e até ele dropar a conexão deles isso o servidor fica congestionado, acho que é isso. 

 

Então no firewall físico da cisco que cada ip que eu compro ganho 20 regras, eu bloqueio todos os ips e libero 19 faixas de ip fazendo o resto dos ips não ter acesso ao servidor.

 

Procurem por ddos camada 7...

Imaginem mitigar um ataque aonde vários ips ficam conectando ao servidor mandando pacotes iguais aos dos usuários normais como diferenciar o trafego? teria de ser um anti ddos muito inteligente customizado pra essa aplicação se eu pegar qualquer host com proteção ddos até quantos GB/s for não vai adianta de nada. procurem DDOS LAYER 7

 

Quando eu usei a carbonhost os players eram todos desconectados do servidor toda hora, aparecia pico de 100% de uso de CPU aonde o culpado era um processo que eu pesquisei e gerenciava na vps coisas como a placa de rede, eles diziam vamos ver o que ta acontecendo, vamos ver veremos aqui vou ver.. e nunca viu até eu cancelar. Isso é obvio pois esse tipo de ataque gera muito uso de cpu também.

 

UDP Flood normalmente não é DDoS, mas sim DoS. Um firewall como o CSF segura esse tipo de ataque. Mas caso realmente seja DDoS, dá uma olhada na proteção de rede da Blacklotus.

0
Link para o comentário
Compartilhar em outros sites

Participe da conversa

Você pode postar agora e se cadastrar mais tarde. Se você tem uma conta, faça o login para postar com sua conta.

Visitante
Infelizmente, seu conteúdo contém termos que não são permitimos. Edite seu conteúdo para remover as palavras destacadas abaixo.
Responder

×   Você colou conteúdo com formatação.   Remover formatação

  Apenas 75 emojis são permitidos.

×   Seu link foi automaticamente incorporado.   Mostrar como link

×   Seu conteúdo anterior foi restaurado.   Limpar o editor

×   Não é possível colar imagens diretamente. Carregar ou inserir imagens do URL.

×
 Compartilhar
Ir para a lista de tópicos

  • Quem Está Navegando   0 membros estão online

    • Nenhum usuário registrado visualizando esta página.
×
×
  • Criar Novo...

Informação Importante

Concorda com os nossos termos?

  I accept