1. Рады видеть Вас на русскоязычном форуме TeamSpeak!

    У нас Вы можете скачать последнюю версию:

    Перед регистрацией рекомендуем ознакомиться

    с Правилами форума.

    Присоединяйтесь! Учите и обучайтесь!

    Скрыть объявление
  2. Новая группа "Новичок" на нашем форуме!

    Новые пользователи будут попадать в группу "Новичок".

    Это сделано для того чтобы "Новички" ознакомились с форумом, так как в большинстве случаев проблема с которой вы хотите обратиться уже обсуждалась.

    Перейти в тему обсуждения
    Быстрый переход в группу Пользователь
  3. VPS/VDS и дедикейт сервера в аренду с DDoS защитой

    • Низкий пинг
    • Действующий SLA
    • Рублевые цены без привязки к курсу валют

    Бесплатный тестовый период VPS-OpenVZ

    Попробовать

Сервер Подскажите как заблокировать чеоез iptables весь Китай

Тема в разделе "Вопросы по TeamSpeak 3", создана пользователем Elizarov, 21 янв 2018.

  1. Elizarov

    Elizarov Пользователь

    Регистрация:
    24 ноя 2013
    Сообщения:
    50
    Симпатии:
    0
    Баллы:
    127
    Подскажите как заблокировать чеоез iptables весь Китай.
    Всем спасибо.
     
  2. Лучший ответ:
    Сообщение #2 от TOP-TSIcon, 21 янв 2018
  3. TOP-TS

    TOP-TSIcon top-ts.ru ATHP Премиум Пользователь

    Регистрация:
    15 июн 2015
    Сообщения:
    119
    Симпатии:
    14
    Баллы:
    125
    Лучший ответ
    • Нравится Нравится x 2
  4. Elizarov

    Elizarov Пользователь

    Регистрация:
    24 ноя 2013
    Сообщения:
    50
    Симпатии:
    0
    Баллы:
    127
    Я так понимаю вот так правильно ?
    iptables -I INPUT ! -i lo -m geoip --src-cc CN -j DROP
     
  5. darkangel66

    darkangel66Icon TEAM-HOST.RU ATHP Премиум Пользователь

    Регистрация:
    12 июн 2012
    Сообщения:
    465
    Симпатии:
    197
    Баллы:
    470
    но ведь это ничем не поможет....
     
  6. Elizarov

    Elizarov Пользователь

    Регистрация:
    24 ноя 2013
    Сообщения:
    50
    Симпатии:
    0
    Баллы:
    127
    Подскажите я прописываю вот это консоль пишет вот что
    iptables -A INPUT -m geoip --src-cc CN,TW,KR -j DROP
    No chain/target/match by that name.

    Почему не принимает подскажите
     
  7. TOP-TS

    TOP-TSIcon top-ts.ru ATHP Премиум Пользователь

    Регистрация:
    15 июн 2015
    Сообщения:
    119
    Симпатии:
    14
    Баллы:
    125
    Как вариант, пойти по самому простому пути- добавлять по правилу для каждой локации.
     
  8. Elizarov

    Elizarov Пользователь

    Регистрация:
    24 ноя 2013
    Сообщения:
    50
    Симпатии:
    0
    Баллы:
    127
    Я не стал париться и сменил хостинг, взял сервер у DDos-guard
     
  9. TOP-TS

    TOP-TSIcon top-ts.ru ATHP Премиум Пользователь

    Регистрация:
    15 июн 2015
    Сообщения:
    119
    Симпатии:
    14
    Баллы:
    125
    У них же проблемно с фильтрацией UDP.
     
  10. darkangel66

    darkangel66Icon TEAM-HOST.RU ATHP Премиум Пользователь

    Регистрация:
    12 июн 2012
    Сообщения:
    465
    Симпатии:
    197
    Баллы:
    470
    у ДДГ да, но тот у кого он взял, таких проблем нет.
     
  11. TOP-TS

    TOP-TSIcon top-ts.ru ATHP Премиум Пользователь

    Регистрация:
    15 июн 2015
    Сообщения:
    119
    Симпатии:
    14
    Баллы:
    125
    У вас ?
     
  12. darkangel66

    darkangel66Icon TEAM-HOST.RU ATHP Премиум Пользователь

    Регистрация:
    12 июн 2012
    Сообщения:
    465
    Симпатии:
    197
    Баллы:
    470
    не напрямую у нас, но у нашего клиента. В итоге сидит под нашей, но ограниченной защитой. По правде говоря скорее всего её хватит.
     
  13. TOP-TS

    TOP-TSIcon top-ts.ru ATHP Премиум Пользователь

    Регистрация:
    15 июн 2015
    Сообщения:
    119
    Симпатии:
    14
    Баллы:
    125
    Смотрите, допустим я арендую железо у вас.
    Что если залетает специфичная атака, по которой фильтры не отрабатывают. Каково время downтайма будет и каким образом фильтрующий комплекс реагирует на атаки такого рода ?
    Добавлено: если не удобно в теме общаться, то можно перейти в лс
     
  14. darkangel66

    darkangel66Icon TEAM-HOST.RU ATHP Премиум Пользователь

    Регистрация:
    12 июн 2012
    Сообщения:
    465
    Симпатии:
    197
    Баллы:
    470
    Можно и тут.
    Во первых , если сервер будет иметь четко определенный трафик (например тимспик, или контрастрайк или подобный явный протокол) то на такой сервер включаются очень тонкие фильтры для именно такого трафика а на все остальные виды сильно снижается порог "доверия" и при превышении определенных пределов (заранее оговоренных с клиентом) система включает режим аномалии и начинает выявлять среди трафика низкого доверия повторяющиеся сегменты, как только находит таковые (1-5 сек) начинается блокировка сомнительного трафика.
    По желанию клиента можно принудительно зарезать "трафик низкого доверия" на заранее оговоренную полосу с клиентом.
    Во вторых при выборе типа канала "гарантированный" при обнаружении аномалии с сервера клиента снимаются все ограничения по полосе (даже если купленный канал 50 мегабит в момент аномалии у сервера открывается гигабитный канал) это сделано специально что бы не было лага пока эвристика выявляет "плохой" трафик. На самом деле какой канал открывается зависит от тарифа, градация такого "буста" от 1G до 20G (2 порта по 10G)

    если представить ситуацию что наши 3 анализатора (циско аномали трафик аналайзер/андрисофт/фастнетмон) все таки не смогли выявить "плохой трафик" (5 минут трешхолд) то подключаются фильтры ДДГ и инженерная служба ддг начинает помогать нам отбивать атаку.
    На самом деле последний сценарий отрабатывался только на тестах ибо до такого ни разу не доходило. Причина в первую очередь что очень сильные и сложные атаки идут как правило на крупные проекты с четким пониманием какой протокол для них легитимный и всегда висит полисер который выделяет полосу под этот легитимный протокол а весь сомнительный трафик режет до безобидных 10-20 мегабит (как клиент пожелает). Потому даже редкие ошибки фильтров не влияют на конечный результат.
    Есть еще и фильтрация по ГЕО признаку а так же по АС, по штампам атак с международной системы A.T.L.A.S. но эти методики включались лишь на целенаправленном тестировании ибо надобности в них не было.
     
  15. TOP-TS

    TOP-TSIcon top-ts.ru ATHP Премиум Пользователь

    Регистрация:
    15 июн 2015
    Сообщения:
    119
    Симпатии:
    14
    Баллы:
    125
    Практика в закрытии канала для новых подключений(если рассматривать случай с тс*), и работе лишь с уже открытыми/активными коннектами до атаки используется ?
    У пары RU хостеров и одного UA хостера встречал такое.
    *Если простыми словами для читающих: новые пользователи не могут подключиться к вашему серверу ТСа в момент действующей атаки, а те, кто уже были на сервере до начала атаки- спокойно могут общаться.
     
  16. darkangel66

    darkangel66Icon TEAM-HOST.RU ATHP Премиум Пользователь

    Регистрация:
    12 июн 2012
    Сообщения:
    465
    Симпатии:
    197
    Баллы:
    470
    такая методика работает на shared каналах. (не совсем прямо так жестко как вы описали но принцип примерно тот же с эффектом заполнения вайтлиста новыми легитимными парами) , грубо говоря новые подключения проходят с 2-5 раза но таки проходят.
    Если атака идет слишком долго то этот механизм отключается в пользу других. Но это делает человек, не автоматика.
    Дешево и эффективно.
     
  17. TOP-TS

    TOP-TSIcon top-ts.ru ATHP Премиум Пользователь

    Регистрация:
    15 июн 2015
    Сообщения:
    119
    Симпатии:
    14
    Баллы:
    125
    То есть, если я, арендующий сервера, который при заказе выбрал такой параметр (50/50 (shared)), то новые посетители сервера будут отшиваться, при попытке подключиться к серверу на всём протяжении атаки, я верно понял ?
    А как же "сосед", с которым делится этот канал ?
    upload_2018-1-23_0-57-33.png

    Оу, увидел что поправили сообщение. Извиняюсь за радикальность в отношении новых подключений :)
     
  18. darkangel66

    darkangel66Icon TEAM-HOST.RU ATHP Премиум Пользователь

    Регистрация:
    12 июн 2012
    Сообщения:
    465
    Симпатии:
    197
    Баллы:
    470
    сосед ничего не почувствует , в момент атаки вас выкидывает из шаред пула. Более того описанный эффект имеет эффект наполнения (новые подключения таки проходят просто не с первого раза) количество попыток зависит от сложности и специфичности атаки.
    Если вас начнут атаковать именно таким методом (например начнут с 7 утра до 23 атаковать для создания эффекта "белого листа" то этот механизм будет временно на вас отключен) (мы тоже понимаем что защита должна обеспечивать работоспособность сервиса а не создавать эффект отключенного интернета)
     
  19. TOP-TS

    TOP-TSIcon top-ts.ru ATHP Премиум Пользователь

    Регистрация:
    15 июн 2015
    Сообщения:
    119
    Симпатии:
    14
    Баллы:
    125
    Были тесты RU хостера с несколькими людьми. В итоге при атаке в ~70гбит 3 человека пытались подключиться к серверу, и на всем протяжении получаса не прошло ни одного коннекта к серверу, поэтому и решил что у вас аналогичная проблема может возникнуть.

    Изменено: орфография.
     
  20. darkangel66

    darkangel66Icon TEAM-HOST.RU ATHP Премиум Пользователь

    Регистрация:
    12 июн 2012
    Сообщения:
    465
    Симпатии:
    197
    Баллы:
    470
    боюсь я даже знаю о каком хостере идет речь :)))
    но его всё устраивало запроса на "помочь" не было.
     
  21. TOP-TS

    TOP-TSIcon top-ts.ru ATHP Премиум Пользователь

    Регистрация:
    15 июн 2015
    Сообщения:
    119
    Симпатии:
    14
    Баллы:
    125
    В лс отпишите о каком хостере думаете, а я скажу правильно это или нет)
     
Метки:
Загрузка...