Server Lagger - wie verhindern?

[awi95]

Hallo,

hab folgendes Problem:
Da ich meinen ehemaligen Sponsor aufgrund von Unstimmigkeiten rausgeschmissen habe, laggt dieser nun mit einem Tool unsere Server bis zur nicht Erreichbarkeit.

(Falls es erlaubt ist, poste ich hier mal den link, falls nicht pls löschen: http://www.youtube.com/watch?v=OzKJWizmTDc).

Nun habe ich herausgefunden, dass dieses Tool einen Bug auf Port 27017 hat, wodurch ich den Angriffen entrinnen könnte.
Dies ist mir jedoch zu umständlich, 9 ips zu bestellen, deswegen ist meine Frage, wie ich das Tool irgendwie blocken kann?

MfG

 

[nevakee]

Log Dateien vom Gameserver raus suchen, IP vom Angreifer herausfinden und deren Provider anschreiben.

 

[Whistler]

man iptables

Eventuell kann man auch prüfen, ob die Voraussetzungen des §303b StGB erfüllt sind.

 

[Terrorkarotte]

Die Frage kenne ich doch woher....
Ach ja: http://www.sponsor-suche.net/index.php?page=Thread&threadID=16646&pageNo=1


Um mal eine Antwort von dort zu zitieren, nachdem dir bereits mehere Lösungsansätze vorgelgt wurden:

zu hacken

Wer immer noch mit solchen Begriffen (in diesem Zusammenhang) um sich wirft kann nicht allzuviel Ahnung von der Materie haben.
Das Programm scheint einfach eine Progamm-bedingte Schwachstelle im Server auszunutzen. Wurde hier ja (sogar mit vermutlich butterweichem 1A Lösungsansatz) diskuttiert.

Sucht euch bitte jemanden der einen Server/Gameserver ordentlich administrieren, warten und konfigurieren kann, dann habt ihr solche Probleme nicht.

dito.

Schlecht verwaltete Server sind nur eine Gefahr/Belästigung für andere Server(Spam,...).

Alles was du zur Problemlösung brauchst, wurde dir bereits dort geschrieben.

 

[nevakee]

Was hat das denn mit der Problemlösung zu tun?
Da steht nur allgemeines BlaBla, was "nichts" bringt.

Wer sich das Video mal genau angucken, sieht wenn er das Programm startet, sein Ping extrem hoch wird.

Stichwort: DoS Attacke.

Ein Gameserver crashed da vermutlich schon mal schneller, bei schwacher Leitung (z.B. DSL 16k), als ein normaler Server.
Da kann einer normaler Gameserver Besitzer nichts viel machen, außer es ist sein Root-Server.
Da bringt es auch nichts den Gameserver "ordentlich administrieren, warten und konfigurieren".
Deswegen auch IP vom Angreifer raus suchen und seinen Internet Provider anschreiben (abuse E-mail).

Schon mal zBlock ausprobiert? Das soll angeblich einen Dos Schutz eingebaut haben.

 

[Terrorkarotte]

In dem verlinkten Thread ist ein vollständiger Satz iptable Regeln. Dazu noch die Angabe von mehreren Servertools, die ebenfalls solche Attacken verhindern können.

Zusammengefasst:
-> Wenn Rcon nicht gebraucht wird, ganz aus
-> ansonsten Burstlimit auf den Port für TCP
-> UPD Shortpackages rausfiltern.
-> Alternativ auf HL2 Servertools wie KAC, zBlock, oder Daf zurückgreifen

 

[nevakee]

In dem verlinkten Thread ist ein vollständiger Satz iptable Regeln. Dazu noch die Angabe von mehreren Servertools, die ebenfalls solche Attacken verhindern können.

Das ist schön, aber als als unregistrierter sieht man nichts in diesem "tollen" Forum. Da musst du die Sachen schon hier schreiben, damit man es sehen kann.

 

[d4f]

Das forum hat wie die meisten anderen auch eine registrierungsfunktion. Man, man xd

Hier mal ein gegoogelter und schnell ueberflogener link
https://forums.alliedmods.net/showthread.php?p=955505

 

[awi95]

Fehlende Module

Hallo,

um die ip des angreifers herauszufinden, müsse ich seine ip zuerst aufzeichnen wofür ich die Module ip_conntrack, ip_conntrack sowie ip_tables brauche, diese aber nicht vorhanden sind.

Außerdem kann ich auch keinen Filter hinzufügen, der die ungültigen Pakete Dropt, weil er mir immer einen Fehler ausgibt, dass der chain/mod... nicht vorhanden ist. Und das obwohl er vorher angelegt wurde.

Was kann ich tun?

MfG

 

[Firewire2002]

Was kann ich tun?

Die Dokumentation zu tcpdump und iptables lesen.

 

[awi95]

Ich bekomme bei diesem script einen Fehler:

# Creation chaine rejet du flood udp 28
iptables -N REJECT_FLOOD28
iptables -A REJECT_FLOOD28 -j LOG --log-prefix 'IPTABLES-FLOOD LENGTH 28: ' --log-level info
iptables -A REJECT_FLOOD28 -j DROP

# Drop des flood longueur paquet sur UDP
iptables -A INPUT -i eth0 -p udp --dport 27015 -m length --length 28 -j REJECT_FLOOD28


# Creation chaine rejet du flood udp 46
iptables -N REJECT_FLOOD46
iptables -A REJECT_FLOOD46 -j LOG --log-prefix 'IPTABLES-FLOOD LENGTH 46: ' --log-level info
iptables -A REJECT_FLOOD46 -j DROP

# Drop des flood longueur paquet sur UDP
iptables -A INPUT -i eth0 -p udp --dport 27015 -m length --length 46 -j REJECT_FLOOD46

iptables: No chain/target/match by that name

(mehrmals)

Der Chain und der Log wird angelegt, aber nicht die filter regeln.

MfG

 

[d4f]

Ich denke mit hoher Wahrscheinlichkeit fehlt eher das Log-Modul
Beachte aber dass wenn du mehrere Ports am laufen hast entweder das ganze mehrmals mit den jeweiligen Ports laufen oder eine Portrange (sofern moeglich) angegeben werden muss.

 

[awi95]

Hallo,

kann ich das Modul auch irgendwie ohne neu Kompilierung des Kernels installieren?
Wenn ja, wie?

MfG