Skocz do zawartości
erbse

Ataki DoS - Jaki Firewall?

Polecane posty

Witam,

 

Posiadam dedyka, na którym mam serwer do gry - na serwerze gra okolo 1 tysiąc graczy non stop. Niestety kilka upierdliwych osób atakuje serwer DoS'em i chciałbym kupić jakiś firewall, problem w tym, że kompletnie nie znam się na rzeczy - słyszałem, że dobre firewalle robi Cisco ale nie mam pojęcia jaki konkretnie model może mi pomóc - tak jak napisałem wyżej potrzebuje czegoś, co będzie w stanie działać skutecznie z 1 tysiącem IP które łączą się z serwerem.

 

Z góry bardzo dziękuje.

 

Pozdrawiam.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość patrys

Jest to jeden serwer dedykowany, a w jakiej serwerowni ? Aplikacja jest webowa ? jaki jest to atak i o jakiej sile ?

Więcej szczegółów jest potrzebnych by Ci doradzić konkretne rozwiązanie.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Serwer dedykowany jest w serwerowni Śląsk Data Center. Aplikacja nie jest webowa - ale strona www jest połączona z bazą serwera gry (statystyki graczy, panel zarządzania - zmiana hasła do konta itp.) Ataki są tego typu, że po prostu kilka/kilkanaście IP wysyła spore pakiety (nie jestem teraz w stanie dokładnie sprecyzować wielkość pakietów bo są różne) co w rzeczywistości niesamowicie laguje serwer. Próbowałem blokować IP które spamowały pakietami iptables ale codziennie IP osób które wysyłają te nieszczęsne pakiety sie zmieniają i dochodzą nowe.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Kamikadze

Może napisz do usługodawcy a coś ci doradzi? Bo rozumiem że chcesz fizycznego firewalla. Może mają coś taniego "na zapleczu" ;)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Pisałem już - jedyne co zaproponowali to firewall juniper ISG1000 w cenie 600zl miesięcznie rozłożone na 10 miesięcy co daje kwotę 6 tyś, która jest dla mnie astronomiczną ceną tym bardziej, że za serwer dedykowany płacę 3x mniej. Niestety też się trochę rozczarowałem, bo na samym początku przed zakupem serwera pisałem czy będą mogli mnie podłączyć pod firewalla, odpisali że tak tylko muszą kontaktować się z firmami od których owe firewalle otrzymają i chcą przygotować najkorzystniejszą oferte a po miesiącu czasu zapytałem to dostałem tylko tą odpowiedź.

Edytowano przez erbse (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość patrys

Jeżeli atak nie wykorzystuje efektu saturacji łącza na maszynie, a przeciąża aplikacje to można się bawić programowo na maszynie docelowej bądź zestawić jakieś proxy przed które przyjmie to przed nią.

Aczkolwiek jeżeli serwer kosztuje 200 zł / msc i mówimy o tym, że chcemy montować jakąś ASE przed to ...

Jeżeli to jakaś aplikacja działająca na porcie TCP to proponuje polimitować ilość połączeń per IP + poszukać cech wspólnych pakietów i poustawiać filtry w iptables.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Aplikacja działa na porcie TCP. Co do efektu saturacji łącza to chyba występuje, bo jeżeli atakują serwer to niemożliwe jest wejście na putty bo nic nie odpowiada.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Jeśli iptables wystarczają tj. odcinają ruch na tyle, że nie odczuwasz "ubytków" to możesz się zainteresować software'owymi firewallami, które monitorują ruch i dynamicznie dodają rulesy.

 

Mówisz, że masz serwer do gry. Każdy gracz takiego serwera używa mniej więcej określonej liczby pakietów, która może się wahać o dość małe ilości. Jeśli załóżmy taka gra ciągnie nie wiem 20 kilobitów / sekundę od serwera to ustawiasz prostą zasadę, że każde IP które pociągnie dajmy na to 1000 kilobitów na sekundę jest blokowane na... 24h (jeśli mówisz, że i tak zmieniają IP to nie ma sensu ustawiać stałych rulesów). Tu właśnie z pomocą przychodzi limitowanie per IP.

 

Poczytaj na googlu o tzw. "Network Intrusion Detection System, jakbyś się uparł to nawet możesz sam napisać rulesy do IPtables, w końcu sam firewall jest naprawdę flexible, wystarczy poczytać mana ew. pogoglować :).

 

Sprawdź jakie porty atakują, jeśli jest to określony port np. gry to znowu można coś pokminić, jeśli jest to UDP flood to tylko tak jak pisałem wyżej.

 

Ogółem opcji kilka masz. Wiadomo, że nie zastąpi to w pełni sprzętowego firewalla, ale przynajmniej utrudni zaspamowanie maszyny.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Aplikacja działa na porcie TCP. Co do efektu saturacji łącza to chyba występuje, bo jeżeli atakują serwer to niemożliwe jest wejście na putty bo nic nie odpowiada.

 

Zostaje sprzętowy firewall przed dedykiem lub skorzystanie z usług firm, które oferują filtrowanie ruchu.

 

Niestety tutaj nie ma tanich rozwiązań ;)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Rozumiem. Jeśli chodzi o fizyczny firewall to co byście proponowali w dobrych pieniądzach?

Czy Np. http://sklep.comel-i...roducts_id=1852 poradziłby sobie?

 

Nie będzie tanie, a Ty nadal szukasz tanich rozwiązań ;)

 

Nie poradzi sobie, bo atak masz dużo większy niż możliwości tego firewalla

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Spróbuj najpierw csf zainstalować i skonfigurować. Domyślam się, że w Twoim przypadku wystarczy dobrze skonfigurowany software'owy fw.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Spróbuj najpierw csf zainstalować i skonfigurować. Domyślam się, że w Twoim przypadku wystarczy dobrze skonfigurowany software'owy fw.

 

CSF na ataki, które są na tyle duże że zapychają całe łącze odcinając konsole?

 

Świetna rada ;)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Tak jak kolega wyżej pisał csf + logi możesz wstawić ale jeśli masz ludzi którzy znają temat i chcą żebyś miał co dziennie tango down to ich powstrzyma csf, bo przy sprytnym ataku csf może wyciąć cały ruch.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Tak jak kolega wyżej pisał csf + logi możesz wstawić ale jeśli masz ludzi którzy znają temat i chcą żebyś miał co dziennie tango down to ich powstrzyma csf, bo przy sprytnym ataku csf może wyciąć cały ruch.

 

U siebie w firmie też macie na brzegu csf? ;D

 

 

Powiedz kolego co Ci po firewallu na vps czy dedyku jak łącze będzie zalane?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

 

U siebie w firmie też macie na brzegu csf? ;D

Niestety nie posiadamy gdyż on nie jest dobrym rozwiązaniem dla tak dużego ruchu ale żeby nie robić offtopa możemy porozmawiać o tym na PW. A autor tematu posiada zapewne VPS bądź w najlepszym przypadku serwer dedykowany więc stosowanie rozwiązań droższych sprzętowych nie wchodzi w grę gdyż wchodzą w grę duże koszta co do serwera gier zapewne ma się nijak z rentownością. Jeśli pyta się o firewall do serwera gry to zapewne nie posiada wiedzy na temat IPtables. Więc bardzo proszę nie troolwać powyższymi wypowiedziami gdyż można mieć zły dzień, ale to nie jest powód do pytania czy w serwerowni na routerze brzegowym można postawić podstawowy firewall softwarowy jest trochę nie na miejscu.

 

Mam tylko nadzieję że user po otrzymaniu odpowiedzi nie zakończy działalność na tym forum jak to ostatnio ma miejsce dość często.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Moim zdaniem pierwsza rzecz jaką powinieneś zrobić to sprawdzić ilu ruchu w ciągu dnia generuje twój serwer.

Widziałem propozycję Cisco PIX i moim zdaniem stwierdzenie że nie da rady opędzić ruchu generowanego przez jeden serwer jest mocno (raczej nie mamy doczynienia z serwerem z interfejsem 10Gb) na wyrost, sporo firm pracuje jeszcze na tym sprzęcie.

ale wracając do tematu proponuję przyjrzeć się http://blog.bodhizazen.net/linux/prevent-dos-with-iptables/ podstawić własne porty których używa serwer i metodą prób i błędów tuningować reguły. Polecam wpierw konfiguracje na wirtualce aby twoi użytkownicy nie ucierpieli za bardzo na etapie wdrożenia.

Osobiście nie wybierałbym firewalla Cisco na potrzeby jednego serwera a Junipera w tym systemie płatności jak opisywyłeś to chyba provider troche przegioł. Przy odrobinie czasu IPtables przyswoisz w moment.

 

Pozdro

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się


×