DDOS ОГРАНИЧЕНИЕ ДОСТУПА

[AltF4 5]

В инете нашел вот такую занятную статью:

Ограничение допустимого предела или rate limit. Лучший способ немедленной помощи, доступный большинству ISP провайдеров, должно быть «ограничение допустимого предела» злонамеренного типа трафика. Ограничение допустимого предела ограничивает пропускную способность, которую определенный тип трафика может потреблять в данный момент времени. Это может быть достигнуто, удаляя полученные пакеты, когда превышен некоторый порог. Полезно, когда определенный пакет используется в нападении. Cisco предлагает способ, который позволяет ограничить ICMP пакеты, используемые в нападении:

------------------------------------------------------------------------------------------------------------------------

interface xy

rate-limit output access-group 2020 3000000 512000 786000 conform-action

transmit exceed-action drop

access-list 2020 permit icmp any any echo-reply

-------------------------------------------------------------------------------------------------------------------------

Этот пример поднимает интересную проблему, которая была отмечена ранее. Что, если злонамеренный трафик полностью законный? Например, ограничение SYN flood, направленное на WEB сервер, отклонит и хороший и плохой трафик, так как все законные подключения требуют начального установления связи. Это трудная проблема, не имеющая простого ответа. Нельзя просто защитится от таких типов хитрых DDoS нападений, не принося в жертву часть законного трафика.

 

Мой коментарий:

Только вот не понятно как это все реализовать на обычном сервере, ведь если отключить таким образом входящий трафик от провайдеров что атакуют можно просто обойтись потерей 1-3% онлайна всего, уж по лучше вариант чем просто фейл, и  дос защита как такова сама по себе особо то не нужна будет мне кажется.

[bseller 1]

Если решил так поизвращаться, то просто заюзай iptables connlimit

[california 155]

Вопрос может и не по теме, может кто слышал про такую фичу как зеркало, или это иллюзия?

Если зеркалить атаку обратно атакующему, кто - то мне о такой фиче рассказывал.

Мб кто слышал?

[AltF4 5]

Если решил так поизвращаться, то просто заюзай iptables connlimit

Ну почему же по извращаться, вот если поставить лимит трафика на часа на 15 минут 200 мегабайт с одного провайдера чего более чем достаточно будет для пирацких серверов l2 то досерам при таком раскладе что набудут набирать за несколько секунд по 200 мегабайт потом ждать просто не будет смысла и они уйдут во свояси.

[Warak 47]

Ну почему же по извращаться, вот если поставить лимит трафика на часа на 15 минут 200 мегабайт с одного провайдера чего более чем достаточно будет для пирацких серверов l2 то досерам при таком раскладе что набудут набирать за несколько секунд по 200 мегабайт потом ждать просто не будет смысла и они уйдут во свояси.

пакеты все равно будут приходить. единственное, что изменится это то, что сервер не будет на них отвечать. А в случае с iptables или другим фильтром. получишь еще и нагрузку на цп из-за большого количества пакетов которые он будет обрабатывать

 

Добавлю. Проще использовать port knocking если защищать придется гс/лс.

Изменено 20 мая, 2016 пользователем Warak

[M1SHA 136]

тема фейл ... 1х если идет ддос он неидет с 1во компа ето рас . 2х не 1-3 процента как говорит автор будет потеря а все 100 . Так как игроки которие несмогут зайти будут являтса сокланами топових кланов в итоге подимета большая паника что они изза етово нетащят с 1вово дня . Лутше всево прятать сервер чтоби он работал на 1м айпи а слушал звонки на другом  ! а ещо лутше если ви действительно етим занятса хотите то делайте упор на авторизацию пользователей с помошью моб телефона .(оч дорогое удовольствие, если неошибаюсь ещо нет серверов л2 с такой фишкой)

[Warak 47]

тема фейл ... 1х если идет ддос он неидет с 1во компа ето рас . 2х не 1-3 процента как говорит автор будет потеря а все 100 . Так как игроки которие несмогут зайти будут являтса сокланами топових кланов в итоге подимета большая паника что они изза етово нетащят с 1вово дня . Лутше всево прятать сервер чтоби он работал на 1м айпи а слушал звонки на другом  ! а ещо лутше если ви действительно етим занятса хотите то делайте упор на авторизацию пользователей с помошью моб телефона .(оч дорогое удовольствие, если неошибаюсь ещо нет серверов л2 с такой фишкой)

Кол за грамотность. Да и бред ты написал жесть. 

[AltF4 5]

тема фейл ... 1х если идет ддос он неидет с 1во компа ето рас . 2х не 1-3 процента как говорит автор будет потеря а все 100 . Так как игроки которие несмогут зайти будут являтса сокланами топових кланов в итоге подимета большая паника что они изза етово нетащят с 1вово дня . Лутше всево прятать сервер чтоби он работал на 1м айпи а слушал звонки на другом  ! а ещо лутше если ви действительно етим занятса хотите то делайте упор на авторизацию пользователей с помошью моб телефона .(оч дорогое удовольствие, если неошибаюсь ещо нет серверов л2 с такой фишкой)

И так по пунктам так как мы говорим об атаках они идут с серверов, а зомбировать личный комп учитывая что стоять у всех антивирусы просто не выйдет, значит остаються только сервера что нам и на руку так как провайдеры дата центры используют свое оборудование для доступа в инет а не услуги провайдеров как обычные люди. Ну да может не пустить кого то если грает через прокси так как речь идет что бы отсеять трафик других серверов обычные нас не интересуют их слишком мало что бы нанести какой то вред. Авторизация через смс это не так уж и дорого только вот смысла в этом нету в случае с дос атаками, есть реализация смс номера на ру офе только там как сидели так и сибят боты не смотря на то что их банят по 100 в день. Один адекватный способ блокировать фулд ботов делать блокировку чата на уровне сервера, то есть требовать ввод номера прямо в игре вот тогда точно поможет от любого бота так как обойти уже не выйдет. То есть пишем скрипт который добавляет запись в бд, есть запись даем доступ нет записи в бд выводим окно ввода номера телефона и так далее.

Изменено 21 мая, 2016 пользователем AltF4