При копировании материала, просьба указывать ссылку на первоисточник материала http://ekaterinovkacs.ucoz.ru уважайте чужой труд.
АТАКА НА СЕРВЕР - ЗАЩИТА СЕРВЕРА
Как защитить сервер CS от атаки Hlbrute и Ddos атак Server Flooder, Flooder.HLDS.2?
В данной статье я постараюсь описать способы защиты от атак на сервер CS 1.6, разновидностей атак много поэтому и способы защиты от них применяются разные, нет одного способа на все случаи жизни. После запуска нашего сервера первыми пришли HLbrute 1.10 и 1.11, как не странно сейчас они практически не появляются или появляются очень редко, уходят в бан и впринципе хлопот не доставляют, про защиту от них можно прочитать в первом разделе данной статьи. Во втором разделе статьи подробно остановимся на защите от Ddos атак, это вызывает постоянную и наибольшую проблему для кс сервера, так как грешат дос атаками не только разгневанные школьники, но и солидные сайты рассылая на ип адреса спам. Почему идет флуд атака на мой сервер ответить не могу, так как причины не нашел, а вот на вопрос как защититься думаю смогу ответить, так что советую почитать.
Первый раздел: HLbrut
25 августа 2011 года впервые наш сервер был атакован с IP-адреса 193.201.98.144 программой Hlbrute 1.10, адрес располагается в Украине, "будем считать это нашим днем рождения" хотя работаем уже больше 3 месяцев, нами заинтересовались хулиганы.
Атаку пережили благополучно, IP - забанили навсегда.
Вот так и получается, кто то старается, делает, а есть люди которые хотят подналягте. Каждый плохой мальчик, наверно, имеет на компе прогу Брута, усердно её изучает и пытается стать умным мальчиком по взлому серверов. Я лично сомневаюсь, что брутят сервера взрослые ребята, ведь распространение проги брут, это тупой развод для школьников, а не взлом сервера. Наш сервер сделан профессионально, админы не спят. Сломать можно всё и наш сервер если захотеть тоже, но прежде чем это делать нужно подумать зачем? Видимо этому IP зачем то это нужно. Описываю ситуацию, кому может пригодится.
Атаку вели не заходя на сервер через консоль, подключаясь удаленно, в консоле было разное, но в общем следующее содержание:
Bad Rcon from 92.101.226.112:*****
rcon 1677029839 "55" sv_contact "HLBrute 1.10"
Bad rcon_password.
Последствия:
- сервер может падать (отключаться);
- rcon пароль сбрутят и сервером будут управлять без вашего ведома.
Предлагаю решение по защите от атак брута:
1. В файле server.cfg , расположен в папке strike должны быть прописаны команды:
Код
rcon_password "SW16578ghkjO!nHkL"
sv_rcon_banpenalty 60 //время бана в мин при неправильном наборе пароля (1-60)
sv_rcon_maxfailures 2 //максимальное кол-во попыток ввода пароля (после этого бан)
sv_rcon_minfailures 1 //минимальное кол-во попыток (1-20) до остановления набора на время, указанное в сл. строке.
sv_rcon_minfailuretime 3600 //время в сек до разрешения повторно ввести пароль (1-3600)
sv_password "" //Пароль на сервер (не должен совпадать с rcon_password)
Указанный выше пример команд дописываемых в сервер.кфг реально работает, школота с брутом отлетает от сервера легко и не пренужденно. Настройки как Вы сами видите просты: первый ввод неправильно ркона - прощаем, второй ввод ркон пароля только через 1 час, ввел раньше или через час, но второй раз при этом снова не правильно - бан на 1 час. Прогу брута на обход данной настройки сервера, настроить можно, но очень сложно и проблематично, за 24 часа в сутках будет испробовано только 24 варианта ркон пароля, что как мы понимаем не позволяет реально подобрать ркон пароль, так как значительно увеличивает необходимое время его подбора.
Дополнение (важно): Основная защита сервера: пароль должен быть сложным и состоять из букв и цифр длинной не менее 12 знаков, обязательные настройки в server.cfg. И это пожалуй самое главное, со всем что написано ниже можно не заморачиваться, так как если пароль сложный, то брут его не вскроет. Не ставьте простых паролей по ним брут проходит в первую очередь: 999999999 и все похожие типа 4444, 123123, также admin, LOL, loh, qwer
2. Заходим в консоль и прописываем:
rcon_password "**********" //команду входа в rcon со своим паролем
rcon addip 0 193.201.98.144 //баним IP адрес, 0- навсегда
rcon listip //проверяем список забаненых IP адресов
rcon writeip 193.201.98.144 //записываем забаненый IP адрес в файл listip.cfg
3.Найти в папке с вашим сервером strike файл listip.cfg, смотрим чтоб появилась надпись "addip 0.0 193.201.98.144".
Дополнение (важно):
Бан через rcon IP-адресов только на время игры, то есть карта перезагружается или сервер и все забаненные IP-адреса из файла listip.cfg исчезают.
Решение такое:
Если есть файл banned_ip.cfg, то забаненные адреса надо прописывать туда в ручную и файл сохранять, если файла нет то его надо создать, в той же корневой папке где и listip.cfg, с тем же разрешением файл banned_ip.cfg, содержание файла указано ниже, и этот файл при перезагрузке (отключить, запустить) сервера переписывает все адреса в listip.cfg и все работает хорошо.
Файл listip.cfg можно найти по адресу: Server cs\hlds\cstrike если сервер русифицирован то Server cs\hlds\cstrike_russian
Дополнение: Для админов советую изучить и пользоваться прогой HLSW , прекрасная прога по управлению сервером удаленно, легко отправлять всех брутов в вечный бан. В консоле смотришь ип с которого брутят, заходишь в прогу HLSW отправляешь ип брута в бан, пользоваться прогой легко, поэтому брутящие, хоть каждые три секунды пусть модем перезагружают, а ты их каждые три секунды в бан отправляешь, защищать сервер с ней проще.
Дополнение: Для админов советую поставить прогу защищающую от падения сервера я нашел такую на просторах инета, ссылочка на статью автоматический запуск сервера после падения
ОТ АДМИНOВ СЕРВЕРА VAMPIR.VFOSE.RU кракерам БОЛЬШОЙ ПРИВЕТ.
Второй раздел: DDos атаки.
Дополнение: 26 июля 2012 года заметил что DPROTO начал на кого то ругаться:
[DPROTO]: traffic temporary blocked from 108.172.60.136 for flooding
И больше всего я удивился, когда ввел один из адресов флудера в строку браузера 213.73.255.243 и он вывел меня на солидный сайт, который грешит рассылкой писем на ип адреса, тем самым забивая канал спамом, но не все ип адреса меня выводили на сайты, видимо здесь есть и бездельники, которые намеренно посылают пакеты на мой ип. Интересная картинка получается, как то раньше, хотя сервер работает уже более года такого не наблюдалось, скорее всего сервер попал в базы данных программ для флуда или в каком то мониторинге на топовые позиции и теперь все умники будут ДДОСить мой сервер, пусть конечно, если им больше заняться не чем, но неприятно.
Из инета я вычитал, что Дпрото снижает интенсивность атаки, сервер не падает, но в бан ип не отправляет. Если Dproto не установлен, то сервер начинает лагать, у игроков повышается пинг, играть становиться не удобно, если одновременно много флуда льют на сервер, то сервак может упасть. В общем всех таких товарищей с их ип адресами я отправляю в бан, но вот по уже отработанной схеме на бруте, в бан отправить не получается, используемая прога флудера скорее всего не реагирует на баны по ип на сервере, так как захода на сервер нет. Флудят прогой Server Flooder по классификации антивирусника Dr.Web является вредоносной программой и классифицируется как FDOS.Siggen.581, таким образом все сайты распространяющие эту прогу можно считать вредоносными, вот ссылка если Вам интересно на официальное сообщение компании Dr.Web и пояснения по вирусам для пользующихся этой прогой и о том вреде который она может принести самим флудерам. При скачивании проги с целью теста и поиска защиты от неё паралельно был скачен с ней вирус Trojan.DownLoader (для тех кто не знает - без ведома пользователя загружает с удаленных хостов вредоносные файлы и выполняет их). Есть подозрение, что применяется против моего сервера и прога Floder.HLDS (Exsploits).
Предлагаю решение по защите от Ddos атак:
Несколько мною найденных решений, позволят минимизировать проводимые атаки злоумышленниками, по крайней мере пинг сильно скакать не будет, а сервер не упадет. Читаем далее после картинки, на ней показан пример DDos атаки на сервер прогой флудером:
 Я поставил Dproto 0.9.122 что и вам советую сделать. При проведении тестов, установленный Dproto трафик блокировал и уменьшал количество принимаемых пакетов от флудера до PPS=0.000000, но постоянной и абсолютно полной блакировки флуда добиться всё равно не удавалось.
Также мною установлен на компьютер фаервол, бесплатный вариант фаервола представляет COMODO, скачать можно на официальном сайте, включать и использовать можно дополнительно с установленным антивирусником. Подробнее о настройках фаервола советую почитать в статье друзей установка и настройка Comodo Firewall
Конкретно остановлюсь на одном примере, как заблокировать доступ ип адресу флудера к вашему компьютеру и соответственно к вашему серверу кс который запущен на компе. На картинке подробно пункты указаны:
1. По иконке comodo внизу, правой кнопкой мыши и переходим во вкладку Открыть
2. Откроется окно comodo, переходим в раздел Фаервол.
3. Переходим Политика сетевой безопасности
4. Переходим Заблокированные зоны
5. По вкладке Добавить выбираем Добавить новый адрес
6. В появившемся окне в открывающейся вкладке выбираем Единичный адрес IPv4
7. В пунке IP адрес вводим ип адрес флудера
8. Доступ закрыт с указанного ип адреса вообще на компьютер.
9. Не забываем сохраняться.
 Я опробовал, так же можно блокировать доступ всех нежелательных адресов в том числе и брутов, не заморачиваясь с прогой HLSW и банами через неё. Таким образом для всех нехороших пользователей интернета доступ к вашему компьютеру фаерволом по IP адресу закрывается. Добавлю только, что касперский имеет автоматическую настройку от ddos атак и при правильных настройках будет ип адреса отправлять в бан сам.
Ну и конечно рекомендую попробовать предложенное решение от сайта Makeserver после
теста их предложения свои комментарии обязательно оставлю.
Вот и первые результаты через три дня после установки плагина, правда что это было FLOOD атака или бот с SETTi заходил, это и не важно главное что сервер не упал а раньше падал раза три в день, после таких заходов, плагина не было и я не понимал из-за чего он падает с ошибкой hlds.exe-ошибка приложения
Сообщение:
Сегодня, 4 августа 2012 года, с 22.00 до 24.00 63 флудера долбили мой сервер, хорошо что не в одно и тоже время, одновременно на сервере было около 10 флудеров, ни когда бы не поверил, что столько бездельников в инете. На сервере играло 10 челов, лаги были не скроешь, пинг поднимался до 200, но сервер не упал, кого успел записать ип, всем доступ заблокировал через фаервол. Dproto количество пакетов снижал, были моменты у всех флудеров проходило PPS=0. Сейчас 0.30 времени, видать все флудеры спать пошли Ddos атаки прекратились. Последний ип отправленный в бан в 0.29 77.240.118.92. точно наверно мой сервак попал в базу данных проги флудера.
Сообщение:
Новый день дает новые данные, атаки не прекращаются, с передышками максимум 5 минут, идет постоянный флуд на сервер. Кому это надо не понятно, у нас же не профессиональный сервер, а обычный домашний, даже не работающий круглосуточно, а только с 12.00 до 23.00. Но тем не менее будем защищаться, кстати попробовал погонять без банов ип сервер держиться, не падает, так что на дпрото надежда есть, и он получается основной кто борется с флудом (ддос атакой). Просто не реально в ручную отправлять в бан столько адресов, каждый день, только из того, что я вижу в консоле в течении дня с более чем 200 адресов приходит спам на мой сервер, Dproto сервер держит и блокирует передачу пакетов, частенько даже до PPS=0, но адреса надо банить, а то их одновременно может столько набраться, что просто будет не реально много.
В общем настраиваем модем, против Ddos атак, у меня интеркросс 5633ne остановлюсь подробнее по его настройке от Ddos атак:
1. Переходим по вкладке Service
2. Далее на вкладку Firewall
3. Ну и последняя вкладка требующая непосредственно настройки Dos Setting
4. Ставим галочки по всем значениям на какие должен обращать внимание и проверять в автоматическом режиме модем:
- Enable Dos Prevention (Позвольте предотвращение DOS)
5. Порог срабатывания (пакетов в секунду) на картинке 50, это я подбирал эксперементально, сейчас у меня настроен на 100. Поставьте High Sensitevity (высокая чувствительность)
6. время на которое будет блокироваться ип, я поставил максимально возможное значение 999 секунд
7. Не забываем всё это сохранить нажав Apply Changes и далее Save
Лучше сто раз увидеть чем один раз прочитать, картинку привожу, можно посмотреть:
Сообщение:
Дополнительно изучая способы защиты наткнулся на хорошую бесплатную программу AntiCSDoS (есть несколько версий v3.2 3.3 и 3.5 их по запросу легко найдете в интернете), но я рекомендую пользоваться официальными источниками, поэтому советую скачать последнюю версию программы с официального сайта разработчика, на момент написания статьи последняя версия Anti CSDoS v3.5 работает стабильно с dproto 1.0.9.178 проверено.
ОТ АДМИНOВ СЕРВЕРА VAMPIR.VFOSE.RU флудерам БОЛЬШОЙ ПРИВЕТ.
|
>( 
