udp join flood Iptables

iTweek

New Member
Hallo Community. Kennt sich wer aus mit Iptables?
Ich habe ein Problem mit ein Script kiddy.

Erst mal das grund system, Es ist eine linux maschine und darauf lauf local eine windwos vm für das spiel.

Das Problem ist wenn der server "voller" wird kommt ihrgend so ein script kiddy und floodet der server mit joins, damit kommt der server spiel client nicht klar.
Laut support von ovh oder sonst was können sie das nicht filtern da sie zu klein ist dieser angriff.

Im entwickler forum habe ich auch schon nach gefragt, biser über 2 wochen keine antwort darauf erhalten bis ein verweiß auf dieses bild.

MOD: Bilder bitte immer als Anhang. Danke!

So sieht das ganze in der console vom windwos vm aus.

https://sponsor-universe.eu/attachment/2476-unbenannt-jpg/


da man maximum 40 spieler joinen können. Dadurch das der bot-net oder so die spieler zahlen nach oben kloppt habe ich da mächtige Probleme.
Der Server an sich stürtzt nicht ab oder der ddos schutz greift nicht ein. Da es maximal 5 mb oder so ist.

wie könnte ich das verhindern?

Ich bedanke mich für jede hilfe


würde mich über eine hilfe freuen.
 

Attachments

Last edited by a moderator:
A

andreas0

Guest
Sofern noch nicht geschehen, könntest du fail2ban installieren, damit an Hand von IP-Adressen ungebetene Gäste fern gehalten werden können.
 

iTweek

New Member
Danke, habe es grade nach geprüft.

apt-get install fail2ban
Reading package lists... Done
Building dependency tree
Reading state information... Done
fail2ban is already the newest version.
0 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.
 

iTweek

New Member
Danke dir. Leider ja.

Code:
service fail2ban status
● fail2ban.service - LSB: Start/stop fail2ban
   Loaded: loaded (/etc/init.d/fail2ban)
   Active: active (running) since Mon 2017-02-20 20:55:21 CET; 6 days ago
  Process: 1036 ExecStart=/etc/init.d/fail2ban start (code=exited, status=0/SUCCESS)
   CGroup: /system.slice/fail2ban.service
           └─1203 /usr/bin/python /usr/bin/fail2ban-server -b -s /var/run/fail2ban/fail2ban.sock -p /var/run/fail2ban/fail2ban.pid

Feb 20 20:55:21 ve1257 fail2ban[1036]: Starting authentication failure monitor: fail2ban.
Feb 20 20:55:21 ve1257 systemd[1]: Started LSB: Start/stop fail2ban.
Feb 27 20:49:25 ve1257 systemd[1]: Started LSB: Start/stop fail2ban.
 

iTweek

New Member
Ich Denke schon sonst würde die vm die daten nicht von eth0 bekommen.

Aber habe es eben nach geschaut.

Code:
iptables -L -n -v
Chain INPUT (policy ACCEPT 11142 packets, 6079K bytes)
 pkts bytes target     prot opt in     out     source               destination
........usw
 

rebuyit

New Member
Hi,

1.
Erstmal soltest du deinen Post doch bitte mal in einem leserlichen Deutsch evtl Verfassen=?! Ich hatte probleme dein Problem zu verstehen!

2.
Kennst du die IP von dem Bot / Kiddy?
Ist es ne dynamische IP von ihrgend nem hinterwalt ISP
oder evtl ne feste?

3.
auf deinem Host-System:
iptables -A INPUT -i $eth_interface -s $AngreiferIP -j DROP

($ Sind Variabeln / Platzhalter!)

und schon ist ruhe auf der kiste....

Oder du baust dir ne limitierung mit iptables bsp das pro IP nur 2-3 gleichzeitige Verbindungen aufgebaut werden durfen...

Google ist da dein freund!

Ansonsten must du dich mit dem filter-syntax von fail2ban auseinnander setzen, die verbindungen auf nen port von deinem game-srv zählen und
bei überschreitung des schwellwertes nen drop ausüben lassen.

Gibt da verschiedene Ansätze wie du deine kiste dicht bekommst!
 

iTweek

New Member
hört sich interessant an. Ich danke dir werde mich mal schlau machen und ggf hier mich noch mal melden :)

das mit gleichzeitige verbindungen wäre eine lösung.
 
Top