[ BojanVukajlovic @ 20.08.2015. 16:00 ] @
Imam ovaj problem , ali se ne odnosi na ostale teme.

Posedujem 2 jaka Dedicated servera i na njima hostujem server sa više pod servera (čine jednu celinu).
E sad šta je tu problem ? Problem je u tome što se djeca nafuraju pročitaju nešto o tome i igraju se sa igračkom koja ih skupo koštati može.

Pokušao sam se odbraniti iptables firewall-om ali to nije dovoljno , isto tako znam da je u 99% slučajeva nemoguće odbraniti se od toga , ali razmišljam da se to može ublažiti i da se to neće osetiti pošto imam jače servere. Stoga ako mi neko može pomoći da to koliko toliko ublažim da ne dolazi do povremenog prekida mreže ovih servera.
[ tuxserbia @ 20.08.2015. 17:39 ] @
A, sad bi bilo bolje da big brother sve snima šta radimo po netu, pa i ti klinci?!? Šalim se naravno , ali u ovakvim situacijama ti dođe baš to na pamet. Evo ovde, lepo objašnjeno, naročito pogledaj reference

https://en.m.wikipedia.org/wiki/DDoS_mitigation

Po naslovu se već zaključuje da leka nema, samo umanjenje štete, i to samo ako imaš dolari, funte, neku tonu zlata. Znam da ti ništa novo nisam rekao, ali bar znaš da nisi sam ;-)
[ yolja624 @ 20.08.2015. 17:46 ] @
A sta hostujes pa te toliko DDoS-uju?
[ BojanVukajlovic @ 20.08.2015. 17:47 ] @
Hvala ti , trenutno me deru ova 2 servera , tako da sam nemam novac da i to platim zaštitu TCP/UDP portova i koji koštaju ni manje ni više 300$ , mašine jesu jake i mogu izdržati ali bitno mi je da se to toliko koliko umanji da ne dolazi do pucanja mreže
[ BojanVukajlovic @ 20.08.2015. 17:52 ] @
Izvinjavam se na spamu , hostujem server poznate igrice MineCraft i samim tim dobijam konkurenciju , problem je što im posao propada mojom politikom i time narušavaju rad uspešnijih. Ja mogu da im vratim petoduplo jak DDoS na njihove adrese (kućne) ali nemam vremena za to. Pokušao sam sa prijavom provajderima ali dok ja sa njima sredim stvari , kroz dunav će proći tone i tone vode....
[ yolja624 @ 20.08.2015. 17:57 ] @
Mozes li nesto vise da kazes o napadu? Sa koliko IP dolazi i koje portove napada? Na kojim portovima server "slusa"?
[ BojanVukajlovic @ 20.08.2015. 18:06 ] @
Napadaju ssh port i 25565 default port MineCraft , ubijaju paketima ali nedovoljno jako da unište server da nije moguće doći do njega u drugu ruku je dovoljno da preki ne na trenutke mrežu i s tim izbace sve sa servera.... TCP je u pitanju . Ja sam pokušao da blokiram adrese ali iznova dolaze i nije ih mnogo , uprkos blokiranju te iste adrese se probijaju pored iptables
[ yolja624 @ 20.08.2015. 18:18 ] @
Ako ne mjenjanju adresu onda nije komplikovano zaustaviti sav saobracaj sa te adrese i ko ih sljivi.
iptables -A INPUT -s xxx.xxx.xxx.xxx -j DROP

gdje je xxx.xxx.xxx.xxx source IP

Mozes da zakljucas ssh na svoju javnu ip, da uradis promjenu defaultnog porta ssh ili da napravis VPN server pa da prilazis serveru preko vpn a direktan ssh skroz ukines.
Takodje mozes da probas da ogranicis maksimalan broj konekcija sa jedne odredisne IP adrese

iptables -I INPUT -p tcp --dport 25565 -i ethX -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport 25565 -i ethX -m state --state NEW -m recent --update --seconds 60 --hitcount 10 -j DROP

x - koji je vec eth interface...
Ali je problem samo sa IPtables zaustaviti neki malo sofistiraniji napad.
[ BojanVukajlovic @ 20.08.2015. 18:20 ] @
Hvala ja bi to uradio al menja mi se adresa tako da bi tu ispu*** ... probacu ovo i umesto ovo xxx ja stavljam port ?
[ BojanVukajlovic @ 20.08.2015. 18:26 ] @
Mogu li te nekako kontaktirati , da ne spamujemo ovde ?

Skype/Mail ?
[ yolja624 @ 20.08.2015. 18:28 ] @
ovo eth(x) gdje je "x" oznaka mreznog interfejsa za koji se pravilo odnosi. (eth0-eth(x) moze ih biti vise )
Dport je broj porta za koje se odnosi pravilo.
Ne spamujemo, za ovo valjda postoji ovaj forum? Mozda se jos neko ukljuci i da kvalitetniji savjet?
[ BojanVukajlovic @ 20.08.2015. 18:32 ] @
Pa dobro :) evo bas sam sada zabranio neke adrese ali te iste se same opet vracaju ne znam zasto i kako je to moguce , pogledaj sliku.




http://pasteboard.co/1CkmXaG.png
[ yolja624 @ 20.08.2015. 18:35 ] @
ajd sad napisi kako si ih zabranio?
[ BojanVukajlovic @ 20.08.2015. 18:36 ] @
iptables -A INPUT -s 109.105.192.13 -j DROP



Eto tako onda service iptables save
[ yolja624 @ 20.08.2015. 18:38 ] @
13? ili 136?
[ BojanVukajlovic @ 20.08.2015. 18:39 ] @
13 pogledaj sliku
[ yolja624 @ 20.08.2015. 18:41 ] @
uradi
service iptables status
i
iptables -L
sta izlista?
[ BojanVukajlovic @ 20.08.2015. 18:42 ] @
Chain INPUT (policy ACCEPT)
target prot opt source destination
tcp -- anywhere anywhere tcp dpt:ssh state NEW recent: SET name: DEFAULT side: source
DROP tcp -- anywhere anywhere tcp dpt:ssh state NEW recent: UPDATE seconds: 60 hit_count: 10 name: DEFAULT side: source
DROP tcp -- anywhere anywhere tcp dpt:25565 state NEW recent: UPDATE seconds: 60 hit_count: 10 name: DEFAULT side: source
tcp -- anywhere anywhere tcp dpt:25565 state NEW recent: SET name: DEFAULT side: source
DROP all -- tc-cutuk-net-01-13.team.ba anywhere
DROP all -- adsl39vi69.tel.net.ba anywhere
DROP all -- 93-86-78-115.dynamic.isp.telekom.rs anywhere
DROP all -- 109-93-109-207.dynamic.isp.telekom.rs anywhere
[ yolja624 @ 20.08.2015. 18:54 ] @

pogledaj sadrzaj /etc/sysconfig/iptables ... i redoslijed pravila.
[ BojanVukajlovic @ 20.08.2015. 18:58 ] @
Pogledao sam , samo ne znam da li je sve uredu ovde molim te pogledaj



http://pasteboard.co/1E1xhUB.png
[ niceness @ 23.08.2015. 20:30 ] @
Nije ti dobar redosled pravila, prvo blokiraj te adrese pa onda dozvoli pristup prema ssh i 25565.
Jedan mali savet, koristi ipsets, efikasnije je nego da dodajes po novo pravilo za svaku adresu.
[ fantom1389 @ 26.08.2015. 02:33 ] @
Druže, ako ti je neki low hosting, a klinci udaraju preko nekog bootera, ili sa svojih privatnih skripti preko VPS ili Dedi servera koji imaju spoofing dozvoljen, tu ne možeš ništa, jedino rešenje tražiti drugi i jeftiniji hosting koji ima zaštitu od DDoS napada. Jer tako blokiranje IP addressa i još dinamičkih, ko zna šta je onda problem sa tvojim hostingom. Takođe postoje skripte koje idu sa .txt listom, pa može da te udari 10000 addressa i tek tada ne možeš ništa. Preporučujem ti OVH jer jetko ko ima tako jak napad da ti obori OVH, barem ova deca.
[ root012 @ 21.09.2015. 00:58 ] @
Potpuno se Slazem sa 'Fantom1389' koliko god ti imao jak Dedicated server koji nema zastitu ne mozes nista uraditi, ti skriptama ne mozes nista uraditi ako nemas hardversku zastitu, predji na OVH imas Dedicated server po odlicnim cenama na online.net ili soyoustart.com ;)