[AJUDA] Proteção DDOS com Iptables

[Jorge Marcelino]

1 hora atrás, bruno1993 disse:

sim mais eu não sou rico '-'

Nesse caso vai ter que partir para um DC no exterior, aqui no Brasil vai ser difícil pra você.

[CoioteLinux]

4 hours ago, Yves Cleuder said:

Mas entenda que no Brasil, tudo é caro.. Dificilmente você encontrará algo bom e que tenha um preço de "banana".
Não conheço nenhuma empresa que faça isso aqui no Brasil. Pode ser que os colegas saibam alguma.

Isso também é válido fora do Brasil, se é bom, geralmente é caro, esse negócio de bom e barato, sempre tem alguma desvantagem ou surpresa que você só descobre depois, rs.

2 hours ago, brunowebmaster said:

Existem algumas regras que pode ser adicionada no iptables, que evitam o flood de conexões(o que mais acontece) porém, esses tipos de regras no iptables, pode dar problemas em servidores de jogos.

Flood de conexão UDP (pra jogo FPS) não tem ajuste no iptables.

2 hours ago, Jorge Marcelino said:

Nesse caso vai ter que partir para um DC no exterior, aqui no Brasil vai ser difícil pra você.

No caso dele é impraticável, pois jogo FPS é muito sensível a latência.

4 hours ago, bruno1993 said:

sim mais eu não sou rico '-'

Boa sorte parceiro, isso pode até ser um jogo, mas tem custos como qualquer outra empresa de qualquer outro ramo.

[Visitante bruno1993]

ok amigos muito obrigado pelas dicas! eu ja criei algumas regras que ajudou muito! eu coloquei essas regras e fiz o teste com o famoso IPSTRESSER kk e não caiu meus servidores e nem lagou la vai abaixo elas!

 

// Proteção DDOS (BLOQUEAR PING)
iptables -A INPUT -p ICMP -j DROP

// Proteção DDOS (SYNFLOOD , TCPFLOOD , UDPFLOOD)
iptables -A INPUT -p ICMP -s ip -j DROP

iptables -A FORWARD -p ICMP -s ip -j DROP

iptables -A FORWARD -p TCP -s ip -j DROP

iptables -A FORWARD -p UDP -s ip -j DROP

[CoioteLinux]

1 hour ago, bruno1993 said:

ok amigos muito obrigado pelas dicas! eu ja criei algumas regras que ajudou muito! eu coloquei essas regras e fiz o teste com o famoso IPSTRESSER kk e não caiu meus servidores e nem lagou la vai abaixo elas!

 

// Proteção DDOS (BLOQUEAR PING)
iptables -A INPUT -p ICMP -j DROP

// Proteção DDOS (SYNFLOOD , TCPFLOOD , UDPFLOOD)
iptables -A INPUT -p ICMP -s ip -j DROP

iptables -A FORWARD -p ICMP -s ip -j DROP

iptables -A FORWARD -p TCP -s ip -j DROP

iptables -A FORWARD -p UDP -s ip -j DROP

Olha cara, essas regras não tem haver com mitigação de ataques, e a chain forward só deveria fazer efeito caso você estivesse usando NAT e mesmo assim não seria relacionada com ataques, acredito que seu ataque não foi forte o suficiente pra causar problemas, mas se você receber um ataque real, vai cair.

[rodrigo286]

Cara vou ser bem sincero com você, trabalhei anos com hospedagem de jogos no BR principalmente com HLDS e SRCDS e pelo que vi é o seu produto...

Dei uma parada com jogos, pelo menos aqui no Brasil, pois não tem jeito é praticamente sem condições aqui...

Estamos montando ainda uma estratégia para voltar a vender jogos mas não é fácil tem de ter investimento...

Espero que entenda e não fique chateado comigo, só vou ser bem sincero para você entender como funciona esse ramo, pois não é brincadeira.

Se você achou caro R$ 400,00, indico que saia do ramo...Pois se você não tem capital para manter a empresa alguns meses funcionando para arrumar clientes e aluga um cloud de R$ 150,00, mostra que você não está preparado...

A Maxihost tem o pior serviço de cloud no Brasil, problemas na rede, discos com I/O alto e constantes problemas com perdas de dados, eu mesmo já perdi muita coisa la e o máximo que me deram foi um "desculpe".

No quesito dedicado, o serviço sempre foi ótimo, dedicados eficientes, rede de qualidade e proteção ótima, porem começou a ficar caro para eles pagar o tráfego dos ataques que os clientes recebiam, e por isso começaram a limitar a proteção, o que eu acho errado já que eu e muitos clientes amigos de empresas de jogos também, já eramos clientes antigos e por isso não tinha o por que alterar nosso serviço.

Depois disso começou a ficar impraticável e as proteções eram muito caras, agora até ficou mais barato porem tem de pagar bem para começar ter uma proteção no mínimo aceitável.

GRE não vai funcionar para você, pode acreditar eu  tentei também, porem os jogos da Valve não são 100% compatíveis com isso ainda, toda vez que eu colocava GRE, todos conseguiam acessar, mas o servidor ficava com vários erros como ficar fora da lista da VALVE, até a perda de sinal com o VAC eu resolvi mas ainda falta muito para o GRE funcionar 100% com os jogos que você quer alugar.

Se quer continuar com a empresa, tenha em mente que você vai ter que gastar, ou vai ou racha, se não quer gastar agora, nem continue...Pois la na frente quando tiver com uma carteira cheia de clientes e tomar um ataque vai ser pior, então se for continuar força e foco...

Use a VirtusHost, ela tem um bom preço, com R$ 880,00 você tem o melhor cloud deles, pode negociar mais proteção e menos hardware e por ai vai...

Mas se você quer um servidor que não vai cair mesmo, contrate por exemplo proteção com a Serverloft, seus servidores vão ficar lindos e estáveis, mas você vai ter que pagar R$ 3000,00 mensal, só pela proteção.

Essa ramo e foda, não é só alugar cloud e sair subindo servidor...

E como disse o amigo acima, essa regras não ajudam em nada...

Boa sorte.

Abraço.

[olokz]

Amigo no link abaixo tem um script que pode ajudar(não resolver) seu problema.

Da uma lida nele e edite conforme seu gosto.

 

[CoioteLinux]

On 05/04/2016 at 3:01 PM, olokz said:

Amigo no link abaixo tem um script que pode ajudar(não resolver) seu problema.

Da uma lida nele e edite conforme seu gosto.

 

Tudo que vão precisar fazer, é atacar as portas abertas (que vão estar vulneráveis), as portas fechadas até vão segurar alguma coisa, mas também se o ataque for forte, vai tudo abaixo.

Inclusive o hashlimit é muito dependente de sincronização entre threads, o que vai fazer com que muita performance do servidor seja disperdiçada a toa (locking).

É como você disse, pode ajudar, em coisas pequenas, mas não é necessário muito esforço pra complicar o servidor dele não, mesmo com esse script.

[olokz]

@CoioteLinux o Script é mais voltado a segurar abuso de sploits, que é muito comum na área de jogos, agora, claro que nunca vai segurar um ataque de verdade.