1. Рады видеть Вас на русскоязычном форуме TeamSpeak!

    У нас Вы можете скачать последнюю версию:

    Перед регистрацией рекомендуем ознакомиться

    с Правилами форума.

    Присоединяйтесь! Учите и обучайтесь!

    Скрыть объявление
  2. Новая группа "Новичок" на нашем форуме!

    Новые пользователи будут попадать в группу "Новичок".

    Это сделано для того чтобы "Новички" ознакомились с форумом, так как в большинстве случаев проблема с которой вы хотите обратиться уже обсуждалась.

    Перейти в тему обсуждения
    Быстрый переход в группу Пользователь
  3. VPS/VDS и дедикейт сервера в аренду с DDoS защитой

    • Низкий пинг
    • Действующий SLA
    • Рублевые цены без привязки к курсу валют

    Бесплатный тестовый период VPS-OpenVZ

    Попробовать

Сервер атаки на серверер

Тема в разделе "Вопросы по TeamSpeak 3", создана пользователем astra, 18 мар 2017.

  1. astra

    astra Пользователь

    Регистрация:
    19 апр 2015
    Сообщения:
    59
    Симпатии:
    0
    Баллы:
    47
    Привет форумчане!) Ситуация такая: Назойливый турок заходит спамит свой сервер (178 .217.185.6) и офает мой.
    Заходил с ip 212 .252.73.169, 212 .252.72.165, 212 .252.79.88, 212 .252.73.160, 176 .216.138.184
    переменная serverinstance_pending_connections_per_ip=4 стоит
    при добавлении query_ip_blacklist.txt адресов формата 212.252.*.* сервер либо вообще не включается, либо ни кто зайти не может. (не ясно)
    добавлял "iptables -I INPUT -s 212.252.0.0/16 -j DROP" - не работает. по прежнему заходит

    После его активности:

    ERROR | | |error reading tcp socket Connection reset by peer
    ERROR | | |error reading tcp socket Connection reset by peer
    ERROR | | |error reading tcp socket Connection reset by peer

    kernel: Out of memory in UB 40003: OOM killed process 1651 (ts3server) score 0 vm:1187100kB, rss:1036476kB, swap:6092kB

    Как бороться? подскажите. Можно ли сделать нормальную защиту вообще?
     
  2. VJean

    VJean ǝноɯʚıqж Администратор Знаток

    Регистрация:
    26 июл 2014
    Сообщения:
    1.772
    Симпатии:
    389
    Баллы:
    775
    добавлял до ACCEPT?
     
  3. astra

    astra Пользователь

    Регистрация:
    19 апр 2015
    Сообщения:
    59
    Симпатии:
    0
    Баллы:
    47
    Просто прописал это (iptables -I INPUT -s 212.252.0.0/16 -j DROP) через ssh
     
  4. VJean

    VJean ǝноɯʚıqж Администратор Знаток

    Регистрация:
    26 июл 2014
    Сообщения:
    1.772
    Симпатии:
    389
    Баллы:
    775
    т.о. правило добавится в конец, и естессно применятсо не будет, т.к. выше ACCEPT по порту.
     
  5. Gho$t

    Gho$t Знаток Премиум Пользователь

    Регистрация:
    5 сен 2011
    Сообщения:
    432
    Симпатии:
    151
    Баллы:
    616
    Я вручную банил подсеть операторов Турции. Кажись все перебанил, перестали заходить турки вообще, могу завтра скинуть правила.
    Точнее сегодня уже, днём. )
     
  6. astra

    astra Пользователь

    Регистрация:
    19 апр 2015
    Сообщения:
    59
    Симпатии:
    0
    Баллы:
    47
    я не очень в этом разбираюсь>< где то есть файл куда вписать? или как это "до"
    --- Сообщение объединено, 19 мар 2017 ---
    допустим подсеть сбрасывается, но они могут же зайти через прокси?
     
  7. VJean

    VJean ǝноɯʚıqж Администратор Знаток

    Регистрация:
    26 июл 2014
    Сообщения:
    1.772
    Симпатии:
    389
    Баллы:
    775
    список правил с их нумерацией: iptables -vnL --line-numbers
    удалить третье правило: iptables -D INPUT 3
    вставить после третьего: iptables -I INPUT 4 -p tcp --dport 80 -j ACCEPT
     
  8. astra

    astra Пользователь

    Регистрация:
    19 апр 2015
    Сообщения:
    59
    Симпатии:
    0
    Баллы:
    47
    в общем установил iptables-persistent, видимо не сохранялось.
    Как правильно оформить rules.v4/rules.v6 файлы?
     
  9. VJean

    VJean ǝноɯʚıqж Администратор Знаток

    Регистрация:
    26 июл 2014
    Сообщения:
    1.772
    Симпатии:
    389
    Баллы:
    775
    при установке запрашивает на сохранение текущих правил, надо было просто согласится.
    sudo /etc/init.d/iptables-persistent save
     
  10. astra

    astra Пользователь

    Регистрация:
    19 апр 2015
    Сообщения:
    59
    Симпатии:
    0
    Баллы:
    47
    Спасибо. добавил 2 подсети. вроде работает.
    Ну а вообще что это за атака? флуд на кювери порт, что кончается оперативка? И он может же зайти с прокси. есть ли какие еще решения данной проблемы, кроме сброса адресов?
     
  11. Gho$t

    Gho$t Знаток Премиум Пользователь

    Регистрация:
    5 сен 2011
    Сообщения:
    432
    Симпатии:
    151
    Баллы:
    616
    Конечно могут, только они не будут заморачиваться с проксями. Ну, у меня по крайней мере так ))

    Код:
    iptables -A INPUT -m iprange --src-range 176.33.184.0-176.33.191.255 -j DROP
    iptables -A INPUT -m iprange --src-range 78.184.0.0-78.184.255.255 -j DROP
    iptables -A INPUT -m iprange --src-range 86.121.156.0-86.121.156.255 -j DROP
    iptables -A INPUT -m iprange --src-range 213.233.92.0-213.233.92.255 -j DROP
    iptables -A INPUT -m iprange --src-range 213.233.88.0-213.233.88.255 -j DROP
    iptables -A INPUT -m iprange --src-range 87.117.231.0-87.117.231.255 -j DROP
    iptables -A INPUT -m iprange --src-range 81.213.220.0-81.213.223.255 -j DROP
    iptables -A INPUT -m iprange --src-range 78.96.228.0-78.96.231.255 -j DROP
    iptables -A INPUT -m iprange --src-range 95.76.0.0-95.76.3.255 -j DROP
    iptables -A INPUT -m iprange --src-range 78.176.0.0-78.176.255.255 -j DROP
    В этом списке не только Турция, еще некоторые хостеры из Европы, с которых шел спам.
    Удачи в освоении iptables =)
     
  12. astra

    astra Пользователь

    Регистрация:
    19 апр 2015
    Сообщения:
    59
    Симпатии:
    0
    Баллы:
    47
    заходил он же с канадского ip (162 .219.178.171) ну а дальше все по старой схеме.
    Может есть какие еще варианты решения проблемы? Подскажите...
     
  13. hroost

    hroostIcon Voice-Server.ru ATHP Премиум Пользователь

    Регистрация:
    21 фев 2013
    Сообщения:
    222
    Симпатии:
    54
    Баллы:
    455
    А у вас версия сервера самая последняя?
     
  14. Gho$t

    Gho$t Знаток Премиум Пользователь

    Регистрация:
    5 сен 2011
    Сообщения:
    432
    Симпатии:
    151
    Баллы:
    616
    Значит у вас настойчивый турок Smile3_man Баньте все IP с которого он заходит. Ну не может быть у него куча впн )
    Закрыть порт SQ для всего, кроме сервисов сбора статистики.
     
  15. The_Code

    The_Code Премиум Пользователь

    Регистрация:
    31 мар 2015
    Сообщения:
    68
    Симпатии:
    19
    Баллы:
    395
    iptables -A INPUT -m geoip --src-cc CN -j REJECT - Это для Китая). Необходимо дополнение xtables-addons-common.
    А лучше если нужен SQ, то привинтить статический IP или VPN, разрешить доступ на SQ для этих IP, остальное в блок.
     
    Последнее редактирование: 21 мар 2017
  16. tvq12

    tvq12 Пользователь

    Регистрация:
    2 дек 2014
    Сообщения:
    342
    Симпатии:
    18
    Баллы:
    399
    В аналогичной ситуации я поступил так . Т.е. закрыл доступ к квери порту всем IP кроме своего.
     
  17. VJean

    VJean ǝноɯʚıqж Администратор Знаток

    Регистрация:
    26 июл 2014
    Сообщения:
    1.772
    Симпатии:
    389
    Баллы:
    775
    что только не делают, лижбы не пользоваться ssh-туннелем...
     
  18. tvq12

    tvq12 Пользователь

    Регистрация:
    2 дек 2014
    Сообщения:
    342
    Симпатии:
    18
    Баллы:
    399
    А чем плохо закрытие через ИП табл?
     
  19. VJean

    VJean ǝноɯʚıqж Администратор Знаток

    Регистрация:
    26 июл 2014
    Сообщения:
    1.772
    Симпатии:
    389
    Баллы:
    775
    не все имеют возможность подключить выделенный ip для домашнего тырнета.
    открывать доступ для диапазона ip:
    - для многих проблематично в плане поиска этих диапазонов для своего региона. провайдеры не любят делится этой инфой.
    - есть ненулевая вероятность, что атака будет из той же разрешенной подсети


    upd. кроме того, ssh-туннель дает защиту от прослушки канала.
    ServerQuery - обычный текстовой телнет, без какого-либо шифрования.
     
  20. The_Code

    The_Code Премиум Пользователь

    Регистрация:
    31 мар 2015
    Сообщения:
    68
    Симпатии:
    19
    Баллы:
    395
    Запускаешь OpenVPN на том же серваке и поехал... Biggrin_man32
     
Загрузка...