Екатериновка - сайт гражданское общество

Заработок в контакте
Меню сайта
как сменить шаблон сайта

Заработок в контакте
Зарабатывай деньги
в социальных сетях
читай:
ЗАРАБОТОК В КОНТАКТЕ

Навигация
Мои статьи [54]
Статьи админа сайта
Статьи друзей [25]
Статьи друзей сайта
Гражданское общество [52]
Статьи про жизнь
Гражданская оборона [4]
Статьи за жизнь
Сделай сайт сам [17]
Статьи о создании сайта
как сменить шаблон сайта
Форма входа
как сменить шаблон сайта

Игры с выводом денег

Главная » Статьи » Мои статьи

Атака на сервер
Ежеквартально розыгрыш стим аккаунта
При копировании материала, просьба указывать ссылку на первоисточник материала http://ekat64.ru уважайте чужой труд.

АТАКА НА СЕРВЕР - ЗАЩИТА СЕРВЕРА

Как защитить сервер CS от атаки Hlbrute и Ddos атак Server Flooder, Flooder.HLDS.2?

В данной статье я постараюсь описать способы защиты от атак на сервер CS 1.6, разновидностей атак много поэтому и способы защиты от них применяются разные, нет одного способа на все случаи жизни. После запуска нашего сервера первыми пришли HLbrute 1.10 и 1.11, как не странно сейчас они практически не появляются или появляются очень редко, уходят в бан и впринципе хлопот не доставляют, про защиту от них можно прочитать в первом разделе данной статьи. Во втором разделе статьи подробно остановимся на защите от Ddos атак, это вызывает постоянную и наибольшую проблему для кс сервера, так как грешат дос атаками не только разгневанные школьники, но и солидные сайты рассылая на ип адреса спам. Почему идет флуд атака на мой сервер ответить не могу, так как причины не нашел, а вот на вопрос как защититься думаю смогу ответить, так что советую почитать.

Первый раздел: HLbrut

25 августа 2011 года впервые наш сервер был атакован с IP-адреса  193.201.98.144 программой Hlbrute 1.10, адрес располагается в Украине, "будем считать это нашим днем рождения" хотя работаем уже больше 3 месяцев, нами заинтересовались хулиганы.
Атаку пережили благополучно, IP - забанили навсегда.
Вот так и получается, кто то старается, делает, а есть люди которые хотят подналягте. Каждый плохой мальчик, наверно, имеет на компе прогу Брута, усердно её изучает и пытается стать умным мальчиком по взлому серверов. Я лично сомневаюсь, что брутят сервера взрослые ребята, ведь распространение проги брут, это тупой развод для школьников, а не взлом сервера. Наш сервер сделан профессионально, админы не спят. Сломать можно всё и наш сервер если захотеть тоже, но прежде чем это делать нужно подумать зачем? Видимо этому IP зачем то это нужно. Описываю ситуацию, кому может пригодится.
Атаку вели не заходя на сервер через консоль, подключаясь удаленно, в консоле было разное, но в общем следующее содержание:
sv_contact


Bad Rcon from 92.101.226.112:*****

rcon 1677029839 "55" sv_contact "HLBrute 1.10"
Bad rcon_password.
Последствия:

- сервер может падать (отключаться);

- rcon пароль сбрутят и сервером будут управлять без вашего ведома.

Предлагаю решение по защите от атак брута:
1. В файле server.cfg , расположен в папке strike должны быть прописаны команды:
Код
rcon_password "SW16578ghkjO!nHkL"
sv_rcon_banpenalty 60 //время бана в мин при неправильном наборе пароля (1-60)
sv_rcon_maxfailures 2 //максимальное кол-во попыток ввода пароля (после этого бан)
sv_rcon_minfailures 1 //минимальное кол-во попыток (1-20) до остановления набора на время, указанное в сл. строке.
sv_rcon_minfailuretime 3600 //время в сек до разрешения повторно ввести пароль (1-3600)  
sv_password "" //Пароль на сервер (не должен совпадать с rcon_password)

Указанный выше пример команд дописываемых в сервер.кфг реально работает, школота с брутом отлетает от сервера легко и не пренужденно. Настройки как Вы сами видите просты: первый ввод неправильно ркона - прощаем, второй ввод ркон пароля только через 1 час, ввел раньше или через час, но второй раз при этом снова не правильно - бан на 1 час. Прогу брута на обход данной настройки  сервера, настроить можно, но очень сложно и проблематично, за 24 часа в сутках будет испробовано только 24 варианта ркон пароля, что как мы понимаем не позволяет реально подобрать ркон пароль, так как значительно увеличивает необходимое время его подбора.

 

 

 

 

 

Дополнение (важно): Основная защита сервера: пароль должен быть сложным и состоять из букв и цифр длинной не менее 12 знаков, обязательные настройки в server.cfg. И это пожалуй самое главное, со всем что написано ниже можно не заморачиваться, так как если пароль сложный, то брут его не вскроет. Не ставьте простых паролей по ним брут проходит в первую очередь: 999999999 и все похожие типа 4444, 123123, также admin, LOL, loh, qwer

2. Заходим в консоль и прописываем:

rcon_password "**********" //команду входа в rcon со своим паролем 

rcon addip 0 193.201.98.144 //баним IP адрес, 0- навсегда

rcon listip //проверяем список забаненых IP адресов 

rcon writeip 193.201.98.144 //записываем забаненый IP адрес в файл listip.cfg

3.Найти в папке с вашим сервером strike файл listip.cfg, смотрим чтоб появилась надпись "addip 0.0 193.201.98.144".
Дополнение (важно):

Бан через rcon IP-адресов только на время игры, то есть карта перезагружается или сервер и все забаненные IP-адреса из файла listip.cfg исчезают.

Решение такое:

Если есть файл banned_ip.cfg,  то забаненные адреса надо прописывать туда в ручную и файл сохранять, если файла нет то его надо создать, в той же корневой папке где и listip.cfg, с тем же разрешением файл banned_ip.cfg, содержание файла указано ниже, и этот файл при перезагрузке (отключить, запустить) сервера переписывает все адреса в listip.cfg и все работает хорошо.
Файл listip.cfg можно найти по адресу: Server cs\hlds\cstrike если сервер русифицирован то Server cs\hlds\cstrike_russian
 
бан HLBrute

 
Дополнение: Для админов советую изучить и пользоваться прогой HLSW , прекрасная прога по управлению сервером удаленно, легко отправлять всех брутов в вечный бан. В консоле смотришь ип с которого брутят, заходишь в прогу HLSW отправляешь ип брута в бан, пользоваться прогой легко, поэтому брутящие, хоть каждые три секунды пусть модем перезагружают, а ты их каждые три секунды в бан отправляешь, защищать сервер с ней проще.
Дополнение: Для админов советую поставить прогу защищающую от падения сервера я нашел такую на просторах инета, ссылочка на статью автоматический запуск сервера после падения
ОТ АДМИНOВ СЕРВЕРА VAMPIR.VFOSE.RU кракерам БОЛЬШОЙ ПРИВЕТ.

Второй раздел: DDos атаки.

Дополнение: 26 июля 2012 года заметил что DPROTO начал на кого то ругаться:
[DPROTO]: traffic temporary blocked from 108.172.60.136 for flooding
И больше всего я удивился, когда ввел один из адресов флудера в строку браузера 213.73.255.243 и он вывел меня на солидный сайт, который грешит рассылкой писем на ип адреса, тем самым забивая канал спамом, но не все ип адреса меня выводили на сайты, видимо здесь есть и бездельники, которые намеренно посылают пакеты на мой ип. Интересная картинка получается, как то раньше, хотя сервер работает уже более года такого не наблюдалось, скорее всего сервер попал в базы данных программ для флуда или в каком то мониторинге на топовые позиции и теперь все умники будут ДДОСить мой сервер, пусть конечно, если им больше заняться не чем, но неприятно.
Из инета я вычитал, что Дпрото снижает интенсивность атаки, сервер не падает, но в бан ип не отправляет. Если Dproto не установлен, то сервер начинает лагать, у игроков повышается пинг, играть становиться не удобно, если одновременно много флуда льют на сервер, то сервак может упасть. В общем всех таких товарищей с их ип адресами я отправляю в бан, но вот по уже отработанной схеме на бруте, в бан отправить не получается, используемая прога флудера скорее всего не реагирует на баны по ип на сервере, так как захода на сервер нет. Флудят прогой Server Flooder по классификации антивирусника Dr.Web является вредоносной программой и классифицируется как FDOS.Siggen.581, таким образом все сайты распространяющие эту прогу можно считать вредоносными, вот ссылка если Вам интересно на официальное сообщение компании Dr.Web и пояснения по вирусам для пользующихся этой прогой и о том вреде который она может принести самим флудерам. При скачивании проги с целью теста и поиска защиты от неё паралельно был скачен с ней вирус Trojan.DownLoader (для тех кто не знает - без ведома пользователя загружает с удаленных хостов вредоносные файлы и выполняет их). Есть подозрение, что применяется против моего сервера и прога Floder.HLDS (Exsploits).
Предлагаю решение по защите от Ddos атак:
Несколько мною найденных решений, позволят минимизировать проводимые атаки злоумышленниками, по крайней мере пинг сильно скакать не будет, а сервер не упадет. Читаем далее после картинки, на ней показан пример DDos атаки на сервер прогой флудером:
traffic temporary blocked from 108.172.60.136 for flooding
Я поставил Dproto 0.9.122 что и вам советую сделать. При проведении тестов, установленный Dproto трафик блокировал и уменьшал количество принимаемых пакетов от флудера до PPS=0.000000, но постоянной и абсолютно полной блакировки флуда добиться всё равно не удавалось.
Также мною установлен на компьютер фаервол, бесплатный вариант фаервола представляет COMODO, скачать можно на официальном сайте, включать и использовать можно дополнительно с установленным антивирусником. Подробнее о настройках фаервола советую почитать в статье друзей установка и настройка Comodo Firewall
Конкретно остановлюсь на одном примере, как заблокировать доступ ип адресу флудера к вашему компьютеру и соответственно к вашему серверу кс который запущен на компе. На картинке подробно пункты указаны:
1. По иконке comodo внизу, правой кнопкой мыши и переходим во вкладку Открыть
2. Откроется окно comodo, переходим в раздел Фаервол.
3. Переходим Политика сетевой безопасности
4. Переходим Заблокированные зоны
5. По вкладке Добавить выбираем Добавить новый адрес
6. В появившемся окне в открывающейся вкладке выбираем Единичный адрес IPv4
7. В пунке IP адрес вводим ип адрес флудера
8. Доступ закрыт с указанного ип адреса вообще на компьютер.
9. Не забываем сохраняться.
защита от DDos атаки
Я опробовал, так же можно блокировать доступ всех нежелательных адресов в том числе и брутов, не заморачиваясь с прогой HLSW и банами через неё. Таким образом для всех нехороших пользователей интернета доступ к вашему компьютеру фаерволом по IP адресу закрывается. Добавлю только, что касперский имеет автоматическую настройку от ddos атак и при правильных настройках будет ип адреса отправлять в бан сам.
Ну и конечно рекомендую попробовать предложенное решение от сайта Makeserver после
теста их предложения свои комментарии обязательно оставлю.
Вот и первые результаты через три дня после установки плагина, правда что это было FLOOD атака или бот с SETTi заходил, это и не важно главное что сервер не упал а раньше падал раза три в день, после таких заходов, плагина не было и я не понимал из-за чего он падает с ошибкой hlds.exe-ошибка приложения


защита от FLOOD атаки

 


Сообщение:

Сегодня, 4 августа 2012 года, с 22.00 до 24.00  63 флудера долбили мой сервер, хорошо что не в одно и тоже время, одновременно на сервере было около 10 флудеров, ни когда бы не поверил, что столько бездельников в инете. На сервере играло 10 челов, лаги были не скроешь, пинг поднимался до 200, но сервер не упал, кого успел записать ип, всем доступ заблокировал через фаервол. Dproto количество пакетов снижал, были моменты у всех флудеров проходило PPS=0. Сейчас 0.30 времени, видать все флудеры спать пошли Ddos атаки прекратились. Последний ип отправленный в бан в 0.29 77.240.118.92. точно наверно мой сервак попал в базу данных проги флудера.
Сообщение:
Новый день дает новые данные, атаки не прекращаются, с передышками максимум 5 минут, идет постоянный флуд на сервер. Кому это надо не понятно, у нас же не профессиональный сервер, а обычный домашний, даже не работающий круглосуточно, а только с 12.00 до 23.00. Но тем не менее будем защищаться, кстати попробовал погонять без банов ип сервер держиться, не падает, так что на дпрото надежда есть, и он получается основной кто борется с флудом (ддос атакой). Просто не реально в ручную отправлять в бан столько адресов, каждый день, только из того, что я вижу в консоле в течении дня с более чем 200 адресов приходит спам на мой сервер, Dproto сервер держит и блокирует передачу пакетов, частенько даже до PPS=0, но адреса надо банить, а то их одновременно может столько набраться, что просто будет не реально много.
В общем настраиваем модем, против Ddos атак, у меня интеркросс 5633ne остановлюсь подробнее по его настройке от Ddos атак:
1. Переходим по вкладке Service
2. Далее на вкладку Firewall
3. Ну и последняя вкладка требующая непосредственно настройки Dos Setting
4. Ставим галочки по всем значениям на какие должен обращать внимание и проверять в автоматическом режиме модем:
- Enable Dos Prevention (Позвольте предотвращение DOS)
5. Порог срабатывания (пакетов в секунду) на картинке 50, это я подбирал эксперементально, сейчас у меня настроен на 100. Поставьте High Sensitevity (высокая чувствительность)
6. время на которое будет блокироваться ип, я поставил максимально возможное значение 999 секунд
7. Не забываем всё это сохранить нажав Apply Changes и далее Save
Лучше сто раз увидеть чем один раз прочитать, картинку привожу, можно посмотреть:
настройка модема интеркросс 5633ne против Ddos атак

Сообщение:

   Дополнительно изучая способы защиты наткнулся на хорошую бесплатную программу AntiCSDoS (есть несколько версий v3.2 3.3 и 3.5 их по запросу легко найдете в интернете), но я рекомендую пользоваться официальными источниками, поэтому  советую скачать последнюю версию программы с официального сайта разработчика, на момент написания статьи последняя версия Anti CSDoS v3.5 работает стабильно с dproto 1.0.9.178 проверено.

ОТ АДМИНOВ СЕРВЕРА VAMPIR.VFOSE.RU флудерам БОЛЬШОЙ ПРИВЕТ.
 
измерьте скорость интернета
Категория: Мои статьи | Добавил: Сан_Саныч (25.08.2011)
Просмотров: 14948 | Комментарии: 10 | Теги: +как защитить сервер cs 1.6, защита +от hlbrute, защита cs сервера | Рейтинг: 5.0/4

ЭТО ИНТЕРЕСНО:
Как заработать 40 рублей за 10 минут сидя за компьютером - онлайн опросы за деньги
Бесплатные онлайн игры - подборка самых популярных интернет игр нашего времени
Есть страница в контакте? Ты можешь на этом заработать! Читай - заработок в контакте
Заработок в интернете - обязательно прочитай это, если хочешь зарабатывать деньги онлайн!

Всего комментариев: 10
10 oleg  
Отличная статья!!!
Спасибо
В первый день открытия сервера атака с HLBrute wacko >( 
и сервер залагал

хотя машина у меня очень мощная 
Сделал как написано 
вроде-бы все нормально smile

9 Сан_Саныч  
Здравствуйте уважаемые коллеги, я уже успокоился и притих, но вражины спать не дают.
Проблема новая и заключается она в том что за сервером наблюдает иногда порядка 4000 абонентов по протоколу UDP, из них 3500 абонентов один и тот же ип.
Таким образом к серверу подключений 3500 и все они с одного ип. Сервак подглюкивать начинает.
Ищу способ защиты от этой бадяги пока предварительно надо сделать так:
установка модуля mod_limitipconn Апач для виндовс
По ходу решения проблемы оставлю комментарии в статье.

8 Сан_Саныч  
Прошло больше двух месяцев с начала первых ддос-атак, сервер держится, бывают небольшие лаги когда народу на сервере много играет, но в целом можно утверждать, что основная защита имеется, в последнее время перестал обращать внимание на флудеров. Если флудеров много то есть одновременно 0-15 ип то включаю защиту от ддос атак на модеме.

7 Сан_Саныч  
Прошлая атака была 15дней, сейчас с 22 по 25 августа 2012 года опять ддосили сервер, одновременно на сервер флудили 5-10 IP адресов, адреса проверял все они американские и западноевропейские. На этот раз атака была не так долго, настройки от DDos атаки примененные ранее в общем помогли. Так что статья работает, можете не сомневаться, добавить к статье не чего. Брут периодически тоже появляется, но без лишней активности он в бан быстро улетает.

6 Сан_Саныч  
Сообщаю, что после первой ддос атаки 26.07.12 я выполнил мероприятия по защите, сервер не падает, работает стабильно, защита работает флудеров и ддос атакующие ип отправляет в бан автоматически.
Ддос атака на наш сервер кс 88.147.175.232:27015 началась с 27.07.12 и пока идет, постоянная, одни адреса в бан уходят другие ип появляются и продолжают ддосить, вся консоль в сообщениях Dproto. Если будут изменения, завершат ддосить или другие новости обязательно сообщу в статье.

5 Сан_Саныч  
IP адреса забаненные по причине применения брута и ддос атак на сервер в этой статье не публикую, их стало так много, что они не помещаются в статье, так что придется выделять на нашем сайте отдельную страничку с забаненными ип адресами.

2 brother_makentochs  
вопросик: тех, в code нужно банить всех по очереди?

3 Сан_Саныч  
нет смысла переносить баны ип на свой сервер, со временем твой бан лист будет заполнен не меньше чем мой, внимательно следи за консолью и установи сложный ркон пароль

1 СаУрОн  
не плохая статейка, хотя я всё это знал

4 Сан_Саныч  
Это хорошо, я всё таки надеюсь что другим админам она будет полезна

Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]
ОПРОСЫ ЗА ДЕНЬГИ:
Опросы за деньги в интернете

Все сайты платных опросов смотри тут:

ОПРОСНЫЕ КОМПАНИИ


СТАВКИ НА СПОРТ:
Заработок на спортивных ставках

Для тех, кто разбирается в спорте:

ЗАРАБОТОК НА СТАВКАХ


Ссылки на сайт

Поделиться с друзьями
ссылкой на статью

как сменить шаблон сайта

Поиск по сайту
как сменить шаблон сайта