DDoS атаки

[codeZombie]

Здравейте.

Поддържам сървър написан на VB6.

До преди месец нямах проблеми, но точно когато си мислех, че всичко е наред.. Се оказа, че не е !

 

Появи се флоод от страна на недоволните играчи (ламери)

Програмата с която ме флоодят се нарича PortFucker и съм сигурен, че повечето то вас я знаят ..

Пробвах всичко.. Всякакви програми, firewall, дори сам написах код за лимит на връзките от 1 ип за секунда и пак нищо не става.

Вече незнам какво да правя. Имам известен опит с VB6 кодирането, пробвах какви ли не кодове но нищо не стана.

Моля ви за помощ.. Ако не изцяло спиране, то поне намаляване не флоода.. Кажете какво да направя, че вече не ми остава избор освен да смажа малката главичка на някой хора.

Благодаря предварително.

[codeZombie]

Отговор ?

[Nicky]

Ако някой отговори е на добра воля. Не всеки има знания в тая област, така че ще трябва да изчакаш. Даването на "зор" няма да помогне.

[nikikom]

Здравей.

 

Може ли да видиш от колко различни IP-адреса те флоодват?

 

Коя/и защитна/и стена/и ползва, и как точно я настрой?

[codeZombie]

Програмите (firewall), които съм използвал:

Outpost Personal Firewall PRO - никаква реакция към атаките (единствената настройка, която направих беше че увеличих защитата срещу атаки на maximum)

Zone Alarm - един приятел каза, че разбира от програмата. Оправи я, барника по настройките, но така и не помогна.

Firewall PLUS - Никакъв резултат, всякакви настройки ..

Sygate - В kaldata четох за настройки, но пък тя ми спира целия нет

И още незнам колко си, на които забравих вече имената.

 

Ето какво представлява самата програмата PortFucker.

Програмата един вид се connect-ва и disconnect-ва от сървъра със скороста на светлината, така сървъра първоначално нагва, след това неможе да се влиза в клиента и най-накрая крашва =/

 

На WinXP SP3 съм, на Linux няма как да мина иначе с iptables веднага щях да ги спра, но самия сървър е написан за Windows =( .. Идей, моля ви !!

 

ОО Ип-тата, които ме флоод са много ! Много та много немога да ги видя всички, всеки път със различен адрес, рядко да се повтори адреса =(

[nikikom]

Здравей codeZombie.

 

Това което ме притеснява е

ОО Ип-тата, които ме флоод са много

За това предварително искам да знаеш, да не береш много надежди.

 

 

Ето какво представлява самата програмата PortFucker.

Програмата един вид се connect-ва и disconnect-ва от сървъра със скороста на светлината, така сървъра първоначално нагва, след това неможе да се влиза в клиента и най-накрая крашва =/

Знам как работи PortFucker

Типичната TCP флоод атака е комбинирана с Spoof, а програма PortFucker не предлага тази екстра.

 

Предполагам, че недоволните играчи не са много, така че да ти запълват даунлоуд канала, или поне някой от тях няма мрежа от която да те атакува, така, че или имат динамични IP-та или всеки път те атакуват от различни места/безжични точки (кафета, заведения).

 

Така, че ако недоволните играчи са малко 3 или 4, не се подвеждай от многото заявки за конекций, и трафика който генерират е по малък от този за който си плащаш, една защитна стена би трябвало да ти помогне до някъде.

 

Ако не знаеш как да видиш IP-та които те атакуват, пиши, може да измислим нещо как да ги разбереш.

[codeZombie]

Знам ип-тата .. То във сървъра веднага ми изпизва, че даден ип адрес се свързва и disconnect-ва постоянно =/

Блокирах повечето от тях, останаха 4-5 и незнам какво да ги правя .. :<

[vyrgozunqk]

Щом искаш да играеш с IPtables ако имаш възможност сложи някакъв много старт компютър с линукс преди твоят, използвай го като фаерлол... има даже доста готови дистрибуции, само един port forward ти трябва за сървъра и си пушка...

 

Отделно пробвай за защитна стена ISS BlackICE вече не се разработва, но последната версия която се намира беше достатъчно добра, разработката е на IBM и ми е помагала доста

[darco]

Може да пробваш Fortguard , или Comodo.

http://www.fortguard.com/

http://www.comodo.com/home/download/download.php?prod=firewall

[Pe6o]

codeZombie,

Виж, какво е писано на:

http://forums.softvisia.com/index.php?showtopic=9706&view=&hl=&fromsearch=1

 

http://img147.imageshack.us/img147/9682/1aaj.gif

[codeZombie]

codeZombie,

Виж, какво е писано на:

http://forums.softvisia.com/index.php?showtopic=9706&view=&hl=&fromsearch=1

 

http://img147.imageshack.us/img147/9682/1aaj.gif

 

Това съм го проверил, както и много други =/ Нищо не помага, но ще пробвам тоя BackIce и ще ви кажа какво е станало.

[nikikom]

Здравей codeZombie.

 

Предполагам, че повечето защитни стени биха ти помогнали, но аз ще ти покажа какво да направиш с COMODO, понеже в момента съм с нея.

 

 

Инсталирай само защитната стена на COMODO, понеже ти се предлага и антивирус и HIPS.

 

От прозореца на COMODO, първо избери FIREWALL после Advanced след това Network Security Policy

 

http://store.picbg.net/pubpic/EB/FD/d043d883c7c0ebfd.JPG

 

От новопоявилият се прозорец избери Global Rules

 

http://store.picbg.net/pubpic/3F/93/706c135ca3fa3f93.JPG

 

И избери горе в дясно Add...

 

Направи същите настройки за всяко IP което те атакува, както е на снимката

 

http://store.picbg.net/pubpic/03/68/f5a5d4957a850368.JPG

 

Като създадеш правило за определено IP, потвърждаваш с Apply, след това отново Add... за другото IP и така за всички които те атакуват.

На снимката съм въвел примерно IP

[codeZombie]

Това не ми трябва.

Нямам време за забранявам всички ИП адреси един по един, немога да съм постоянно пред пц-то и да гледам кой ме флоод.

Свалих FortGuard, сложих защита към порта, през които пускам сървъра "10000", след което лимитирах "Max New Connections" на "3", което означава, че ако някой направи повече от 3 обновени връзки към сървъра, а именно "Connect - Disconnect" за секунда, ип адреса му се блокира автоматично за зададеното от мен време (30 мин) .. Много полезна програмка, всеки които има проблем със такъв вид флууд, да я сваля моментално, много помага !

[Martyyyy]

И мен ме флуудат много ИП-та изобщо неразбирам от защити срещу флууда.Изтеглих тази програма,но като пусна Firewalla изхвърля хората от сървъра ми.

[dudev851]

Много правилно CodeZombie. Тъкмо щях да ти дам тази идея, като прочетох за 3-те конектвания. Аз имам подобен модул за защита от Brood Force атаки за извличане на информация от БД. Просто банваш наред за определено време. Така ще им спреш коварната атачка.

Не съм на "ти" с прокси сървърите, но знам от един познат, че има възможност да си сменяш IP постоянно, с помощта на проксито.

А и когато те флуудват, на тях не им трябва обратен отговор, и могат просто да си сменят адреса на подател, в протокола.