Skocz do zawartości
DaFFX

Zabezpieczenie ts3

Przez DaFFX, w Bezpieczeństwo

Polecane posty

DaFFX    14

DaFFX
Napisano

Wotajcie

Mam pewny problem i pytanie. Mam serwer dedykowany w ovh i zmagam sie z atakami exploitem 'ts3fuck' Czy istnieje możliwość wyciecia tego softem albo fw od ovh?

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

DaFFX    14

DaFFX
Napisano (edytowany)

Moglbys troche mnie nakierowac? Blokując np przez iptables na zasadzie hex i limitujac liczbe polaczen na sekunde nadal da sie floodowac ten port.

@up mam to zastosowane

Edytowano przez DaFFX (zobacz historię edycji)

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

Pan Kot    1535

Pan Kot
Napisano (edytowany)

Da się bo zabawki do wywalania TS3 nie należą do grupy rocket science i nie załatasz firewallem dziur w protokole. Możesz niwelować najbardziej znane ataki bazując np. na nagłówkach pakietów i ich typów, ale jedyne prawidłowe rozwiązanie to przeanalizować cały protokół UDP używany przez TSa i napisać regułki, które będą wpuszczać tylko prawidłowy ruch sprecyzowany z góry, a nie blokować nieprawidłowy który wysyłają exploity.

 

Problem jest taki, że i to może nic nie dać jeśli exploit wykorzystuje specyficzną kombinację prawidłowego ruchu, wtedy musiałbyś się bawić w precyzowanie np. ile tego prawidłowego ruchu może być w danej sekundzie/minucie, i tak dalej.

 

TL;DR - Zabawa w kotka i myszkę. Po 5 latach hostowania serwera TS3 wyniosłem się z tego gównianego softu i zastanawiam się tylko czemu nie zrobiłem tego wcześniej.

 

Nikt Ci na tacy takich rozwiązań nie da - osoby, które umieją takie regułki pisać swoje zarabiają i zabezpieczają największe serwisy hostujące TSa. Ja swoje napisałem, i sprzedałem na wyłączność jednej firmie podpisując NDA ;).

Edytowano przez Archi (zobacz historię edycji)

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

DaFFX    14

DaFFX
Napisano

Da się bo zabawki do wywalania TS3 nie należą do grupy rocket science i nie załatasz firewallem dziur w protokole. Możesz niwelować najbardziej znane ataki bazując np. na nagłówkach pakietów i ich typów, ale jedyne prawidłowe rozwiązanie to przeanalizować cały protokół UDP używany przez TSa i napisać regułki, które będą wpuszczać tylko prawidłowy ruch sprecyzowany z góry, a nie blokować nieprawidłowy który wysyłają exploity.

 

Problem jest taki, że i to może nic nie dać jeśli exploit wykorzystuje specyficzną kombinację prawidłowego ruchu, wtedy musiałbyś się bawić w precyzowanie np. ile tego prawidłowego ruchu może być w danej sekundzie/minucie, i tak dalej.

 

TL;DR - Zabawa w kotka i myszkę. Po 5 latach hostowania serwera TS3 wyniosłem się z tego gównianego softu i zastanawiam się tylko czemu nie zrobiłem tego wcześniej.

Wlasnie mam problem z blokowaniem tego bo ataki posiadają randomowe ciagi znakow generowane co kazdy pakiet :/

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

Pan Kot    1535

Pan Kot
Napisano (edytowany)

Wlasnie mam problem z blokowaniem tego bo ataki posiadają randomowe ciagi znakow generowane co kazdy pakiet :/

 

I dlatego mówię, że bez perfekcyjnej znajomości protokołu TS3 i tego co robi w swoim UDP nigdzie nie zajedziesz. Możesz co najwyżej wykupić serwer gdzieś gdzie dostajesz zabezpieczenia z góry i nie są to typowe anty-ddosy, a konkretne filtrowanie L7.

 

Nie umiem niestety doradzić "gdzie", bo od zawsze hostowałem się tylko na swoich blachach i kleiłem własne rozwiązania - być może ktoś inny pomoże. Chyba Spoofy z multigaming.pl coś klei.

 

BTW, jedną z przyczyn dla których rzuciłem ten soft w cholerę jest właśnie m.in to, że znudziło mi się pisanie własnego firewalla, który naprawia to czego soft sam nie potrafi.

Edytowano przez Archi (zobacz historię edycji)

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

DaFFX    14

DaFFX
Napisano

Da się bo zabawki do wywalania TS3 nie należą do grupy rocket science i nie załatasz firewallem dziur w protokole. Możesz niwelować najbardziej znane ataki bazując np. na nagłówkach pakietów i ich typów, ale jedyne prawidłowe rozwiązanie to przeanalizować cały protokół UDP używany przez TSa i napisać regułki, które będą wpuszczać tylko prawidłowy ruch sprecyzowany z góry, a nie blokować nieprawidłowy który wysyłają exploity.

 

Problem jest taki, że i to może nic nie dać jeśli exploit wykorzystuje specyficzną kombinację prawidłowego ruchu, wtedy musiałbyś się bawić w precyzowanie np. ile tego prawidłowego ruchu może być w danej sekundzie/minucie, i tak dalej.

 

TL;DR - Zabawa w kotka i myszkę. Po 5 latach hostowania serwera TS3 wyniosłem się z tego gównianego softu i zastanawiam się tylko czemu nie zrobiłem tego wcześniej.

 

Nikt Ci na tacy takich rozwiązań nie da - osoby, które umieją takie regułki pisać swoje zarabiają i zabezpieczają największe serwisy hostujące TSa. Ja swoje napisałem, i sprzedałem na wyłączność jednej firmie podpisując NDA ;).

 

 

Nie chcę na tacy gotowca który w pełni mnie zabezpieczy, analizuję ruch na porcie serwera i z łatwością byłoby wyciąć ruch ze starego 'ts3fuck', ale tutaj każdy pakiet wygląda inaczej i nic się nie powtarza, to jest ten problem. Co prawda, mogę odciąć kraje typu chiny/usa itd, ale mam użytkowników z nich i taka opcja to ostateczność.

 

Aktualnie jedyne czym mogę skojarzyć większość ataków ze sobą to tylko początki, post-32313-0-01531600-1486059431_thumb.png

a prawidłowe,

post-32313-0-15974000-1486059444_thumb.png

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

SchErk    16

SchErk
Napisano (edytowany)

 

 

Nie chcę na tacy gotowca który w pełni mnie zabezpieczy, analizuję ruch na porcie serwera i z łatwością byłoby wyciąć ruch ze starego 'ts3fuck', ale tutaj każdy pakiet wygląda inaczej i nic się nie powtarza, to jest ten problem. Co prawda, mogę odciąć kraje typu chiny/usa itd, ale mam użytkowników z nich i taka opcja to ostateczność.

 

Aktualnie jedyne czym mogę skojarzyć większość ataków ze sobą to tylko początki, attachicon.giffckts3.png

a prawidłowe,

attachicon.giffckts32.png

 

A nie lepiej będzie zablokować cały ruch dla portu 9987 i odblokować go przy pomocy modułu "geoip" (chodzi tu o zezwolenie połączeń na port 9987 dla wybranych krajów) do iptables'a?

 

np.

 

iptables -I INPUT -p udp --dport 9987 -m geoip --src-cc PL,DE -j ACCEPT

iptables -A INPUT -p udp --dport 9987 -j REJECT

 

 

Edytowano przez SchErk (zobacz historię edycji)

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

DaFFX    14

DaFFX
Napisano

 

A nie lepiej będzie zablokować cały ruch dla portu 9987 i odblokować go przy pomocy modułu "geoip" (chodzi tu o zezwolenie połączeń na port 9987 dla wybranych krajów) do iptables'a?

 

np.

 

iptables -I INPUT -p udp --dport 9987 -m geoip --src-cc PL,DE -j ACCEPT

iptables -A INPUT -p udp --dport 9987 -j REJECT

 

 

 

Jak pisałem wyżej, to jest rozwiązanie ostateczne. Wielu moich "użytkowników" korzysta z vpnów lub po prostu przesiaduje w innych krajach, więc jako "łagodne" rozwiązanie takie coś odpada.

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

SchErk    16

SchErk
Napisano

Na sofcie nie ma sensu tego wycinać, gdyż szkoda tyrać maszynę i CPU.

Softowe zapory dobre są jedynie do ograniczania, ale przy większym ruchu i tak serwer tego nie wytrzyma.

 

Jedynie musisz korzystać z uprzejmości dostawcy i pomocy przy filtrowaniu ataków aplikacyjnych. OVH oferuje domyślnie w konfiguracji "Firewall Network" tylko 20 regułek, które nie pozwolą tobie zbytni poszaleć w tym temacie, ale po wprowadzeniu "Anty-DDOS GAME" ovh filtruje aplikacje takie jak np. ts3, gta:sa, rust.

 

Radziłbym przejść np. na serwer z data center hosteam.pl lub serwer z ovh game (przy pomocy reseller'a).

 

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się
Przejdź do listy tematów Bezpieczeństwo
×