Jump to content
nafetsN

DDoS pe porturi specifice.

Recommended Posts

Salutare! 

Vin catre voi pentru a cere un sfat / parere / rezolvare [ daca se poate, ar fi super ]. 

 

Detin un dedicat la voxility unde am un site personale si alte chestii ce imi sunt folositoare. De curand am fost contactat de catre un grup de pustani ce detin o comunitate de cs 1.6 [ da, stiu au ramas pe vechi ] si am fost rugat de catre ei daca le pot hosta serverele la mine pentru ca primesc DDoS continuu. Si da, chiar primesc DDoS, de cand am serverele lor la mine au sarit in sus acele grafice. 

 

 

Ideea este urmatoare, deoarece eu nu ma pricep in acest domeniu de securitate si DDoS etc. am zis ca poate se gaseste cineva sa ma ajute atat pe mine cat si pe pustani. 

Pe mine personal nu ma afecteaza cu absolut nimic, daca se da DDoS in IP-ul principal pe orice port nu pica nu nimic, se creaza cateva pachete si atat. Problema se schimba cand se primeste DDoS pe porturile serverelor 27015 , 27016 , 27017 etc. 

 

Din ceea ce am inteles cei care trimit aceste atacuri DDoS se folosesc de un stresser defconpro [ azi noapte am achizionat un cont la ei sa vad cu ce anume se trimit aceste DDos-uri ]. 

 

Din cele 20-30 de metode expuse in acel meniu doar 3 afecteaza serverele de joc. Acestea fiind: 

 

- "Valve Games"
- "GameKillerV3_CS / GK_CS"
- "GameKillerV3_Steam / GK_Steam"

 

 

Detine cineva informatii despre aceste asa spuse metode? 

Edited by nafetsN
Link to comment
Share on other sites

Salut, ai incercat sa vorbesti cu cei de la Voxility? Ar putea stii despre ce e vorba si cum sa le opreasca.

Daca nu, va trebui vazut cum functioneaza mizeriile respective, sa stii ce si cum sa opresti, probabil cateva reguli de iptables ar trebui sa fie de ajuns, nu ma astept sa fie ceva tocmai sofisticat.

 

Link to comment
Share on other sites

2 hours ago, Nytro said:

Salut, ai incercat sa vorbesti cu cei de la Voxility? Ar putea stii despre ce e vorba si cum sa le opreasca.

Daca nu, va trebui vazut cum functioneaza mizeriile respective, sa stii ce si cum sa opresti, probabil cateva reguli de iptables ar trebui sa fie de ajuns, nu ma astept sa fie ceva tocmai sofisticat.

 

Salutare.

Am discutat cu ei, se incearca diferite metode de blocare. Momentan fara succes, din pacate. 

 

Am tot incercat sa caut aceste arhive de ddos dar nici o sansa... 

Link to comment
Share on other sites

O solutie teoretica, dar care ar dura ceva timp, ar fi urmatoarea:

1. Monitorizezi performanta si prinzi in timp ce se intampla un astfel de atac

2. Pornesti un tcpdump si capturezi pachete pentru o anumite perioada, sa zicem 2-5 minute

3. Analizezi si vezi ce pachete vin in disperare

4. Le blochezi (dar verifici sa nu crape ceva)

 

O alta posibila solutie ar fi log-uri de la serverele de CS, daca exista. Daca se pot pune pe un mod mai "verbose" e ideal. Poate, cumva, apar multe loguri cu anumite lucruri.

 

SYN cookies ai incercat? https://tldp.org/LDP/solrhe/Securing-Optimizing-Linux-RH-Edition-v1.3/chap5sec56.html 

De fapt cred ca foloseste UDP CS-ul din cate stie eu. Asta inseamna ca teoretic DDOS-ul poate fi "amplificat" prin diverse vulnerabilitati in servere de pe Internet, dar pachetele nu sunt valide. 

 

Fa un astfel de tcpdump mai bine si daca crezi ca nu contine nimic "sensitive" ni-l poti da sa ne uitam peste el. Nu garantam ca gasim ceva, dar putem incerca.

PS: Daca CS e doar pe portul 27.001 ai putea captura doar datele de pe acel port, dar ar fi util sa te uiti si la celelalte, cine stie ce o mai fi pe acolo. 

  • Upvote 2
Link to comment
Share on other sites

45 minutes ago, Nytro said:

O solutie teoretica, dar care ar dura ceva timp, ar fi urmatoarea:

1. Monitorizezi performanta si prinzi in timp ce se intampla un astfel de atac

2. Pornesti un tcpdump si capturezi pachete pentru o anumite perioada, sa zicem 2-5 minute

3. Analizezi si vezi ce pachete vin in disperare

4. Le blochezi (dar verifici sa nu crape ceva)

 

O alta posibila solutie ar fi log-uri de la serverele de CS, daca exista. Daca se pot pune pe un mod mai "verbose" e ideal. Poate, cumva, apar multe loguri cu anumite lucruri.

 

SYN cookies ai incercat? https://tldp.org/LDP/solrhe/Securing-Optimizing-Linux-RH-Edition-v1.3/chap5sec56.html 

De fapt cred ca foloseste UDP CS-ul din cate stie eu. Asta inseamna ca teoretic DDOS-ul poate fi "amplificat" prin diverse vulnerabilitati in servere de pe Internet, dar pachetele nu sunt valide. 

 

Fa un astfel de tcpdump mai bine si daca crezi ca nu contine nimic "sensitive" ni-l poti da sa ne uitam peste el. Nu garantam ca gasim ceva, dar putem incerca.

PS: Daca CS e doar pe portul 27.001 ai putea captura doar datele de pe acel port, dar ar fi util sa te uiti si la celelalte, cine stie ce o mai fi pe acolo. 

Multumesc, o sa ii dau persoanei ce se ocupa de mentenanta dedicatului pentru ca pe mine ma bate, nu am de ce sa ma dau zmeu cand nu sunt. 

 

Sunt 5 servere, pe acelasi IP porturi diferite. ideea este ca blocheaza doar portul din ceea ce vad eu. Deoarece se floodeaza 27015 , pica, iar 27016 este perfect functional. Am facut un test cu persoana in cauza si a trimis o arhiva cu loguri catre voxility. Dar vom incerca si SYN cookies cum ai sugerat! 

Multumesc pentru ajutorul acordat si timpul pierdut cu mine :D

  • Upvote 1
Link to comment
Share on other sites

11 minutes ago, Zatarra said:

Incearca un server de Gaming de la OVH. Au firewall foarte bun pt astfel de atacuri. Daca totul e ok poti migra si celelalte servere.

Multumesc de sugestie, insa un server de gaming de la OVH nu ma ajuta deoarece am un contract cu cei de la voxility deja pe doi ani. 
 

 

Astept raspunsul celor de la voxility in momentul de fata, acestia sustin ca au mai avut astfel de probleme si s-a gasit rezolvare. Aseara au pus in functie niste filtre insa aceste filtre se pare ca se activeaza automat intr-un interval de 80 - 160 secunde. Serverele oarecum pica in intervalul 10 - 25secunde.

Link to comment
Share on other sites

Posted (edited)

Salutare din nou :)

Am venit cu un dump aici sa aruncati si voi o privire. 

 

Doresc sa precizez faptul ca protectia a fost mutata pe Always On si serverele au picat in continuare , efectiv pica la enter :(

Edited by nafetsN
Sorry, pentru double post
Link to comment
Share on other sites

Par sa fie multe request-uri catre portul 27016 care sa contina "....TSource Engine Query.."

Am luat 3 IP-uri random si pare ca vine cate un astfel de pachet de la fiecare IP, nu mai multe.

Ma gandesc ca IP-ul sursa este spoofed, dar e posibil ca pachetul in sine sa fie necesar. Un test rapid ar fi blocarea acestor pachete DAR ar putea crapa ceva(sau tot, sa nu mai mearga). 

  • Upvote 1
Link to comment
Share on other sites

Posted (edited)
On 7/7/2021 at 10:46 AM, Nytro said:

Par sa fie multe request-uri catre portul 27016 care sa contina "....TSource Engine Query.."

Am luat 3 IP-uri random si pare ca vine cate un astfel de pachet de la fiecare IP, nu mai multe.

Ma gandesc ca IP-ul sursa este spoofed, dar e posibil ca pachetul in sine sa fie necesar. Un test rapid ar fi blocarea acestor pachete DAR ar putea crapa ceva(sau tot, sa nu mai mearga). 

Am gasit problema / vulnerabilitatea. Aceste 3 metode se folosesc de aceste metode pentru a face requesturi.

 

iar unul dintre exploituri [ PLAYER ] am reusit sa il gasesc aici

 

Am inteles ca se pot bloca. Persoana pe care am precizato mai sus ca se ocupa despre mentenanta dedicatului a venit cu o idee. 


Revin cu informatii, eventual si cu o rezolvare poate mai are cineva nevoie :D

Edited by nafetsN
  • Upvote 1
Link to comment
Share on other sites

Salut

Am aruncat si eu o privire acolo. Se pare ca ai de-a face cu https://security.stackexchange.com/questions/168375/how-to-prevent-tsource-engine-query-ddos-attack

Cel putin asa vad eu din packete

 

01:20:05.675519 IP (tos 0xc, ttl 113, id 30221, offset 0, flags [none], proto UDP (17), length 53)
    157.166.145.173.29350 > 5.254.116.174.27016: [udp sum ok] UDP, length 25
	0x0000:  450c 0035 760d 0000 7111 299f 9da6 91ad  E..5v...q.).....
	0x0010:  05fe 74ae 72a6 6988 0021 bac3 ffff ffff  ..t.r.i..!......
	0x0020:  5453 6f75 7263 6520 456e 6769 6e65 2051  TSource.Engine.Q
	0x0030:  7565 7279 00                             uery.
01:20:05.675691 IP (tos 0xc, ttl 113, id 2253, offset 0, flags [none], proto UDP (17), length 53)
    121.140.205.177.55813 > 5.254.116.174.27016: [udp sum ok] UDP, length 25
	0x0000:  450c 0035 08cd 0000 7111 7ef5 798c cdb1  E..5....q.~.y...
	0x0010:  05fe 74ae da05 6988 0021 3b7a ffff ffff  ..t...i..!;z....
	0x0020:  5453 6f75 7263 6520 456e 6769 6e65 2051  TSource.Engine.Q
	0x0030:  7565 7279 00                             uery.

 

As incerca un filtru pe iptables ceva de genul

  iptables -A INPUT -p UDP --dport 27016 -m string --hex-string '|5453 6f75 7263 6520 456e 6769 6e65 2051|' --algo kmp   -j DROP

Regula ar aparea ceva de genul:

    0     0 DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:27016 STRING match  "TSource Engine Q" ALGO name kmp TO 65535

 

  • Upvote 2
Link to comment
Share on other sites

Posted (edited)

Am rezolvat ! Toata lumea este fericita :D

 

Din ce am inteles au facut o restrictie pe queries : 

 

INFO

 

PLAYER

 

RULES

 

le gasiti in linkul de mai sus de la valve. 

 

 

Multumesc mult pentru timpul si timpul acord ❤️ Seara faina sa aveti si weekend placut.

Edited by nafetsN
  • Upvote 2
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.



×
×
  • Create New...