nafetsN Posted July 5, 2021 Report Posted July 5, 2021 (edited) Salutare! Vin catre voi pentru a cere un sfat / parere / rezolvare [ daca se poate, ar fi super ]. Detin un dedicat la voxility unde am un site personale si alte chestii ce imi sunt folositoare. De curand am fost contactat de catre un grup de pustani ce detin o comunitate de cs 1.6 [ da, stiu au ramas pe vechi ] si am fost rugat de catre ei daca le pot hosta serverele la mine pentru ca primesc DDoS continuu. Si da, chiar primesc DDoS, de cand am serverele lor la mine au sarit in sus acele grafice. Ideea este urmatoare, deoarece eu nu ma pricep in acest domeniu de securitate si DDoS etc. am zis ca poate se gaseste cineva sa ma ajute atat pe mine cat si pe pustani. Pe mine personal nu ma afecteaza cu absolut nimic, daca se da DDoS in IP-ul principal pe orice port nu pica nu nimic, se creaza cateva pachete si atat. Problema se schimba cand se primeste DDoS pe porturile serverelor 27015 , 27016 , 27017 etc. Din ceea ce am inteles cei care trimit aceste atacuri DDoS se folosesc de un stresser defconpro [ azi noapte am achizionat un cont la ei sa vad cu ce anume se trimit aceste DDos-uri ]. Din cele 20-30 de metode expuse in acel meniu doar 3 afecteaza serverele de joc. Acestea fiind: - "Valve Games" - "GameKillerV3_CS / GK_CS" - "GameKillerV3_Steam / GK_Steam" Detine cineva informatii despre aceste asa spuse metode? Edited July 5, 2021 by nafetsN Quote
Nytro Posted July 5, 2021 Report Posted July 5, 2021 Salut, ai incercat sa vorbesti cu cei de la Voxility? Ar putea stii despre ce e vorba si cum sa le opreasca. Daca nu, va trebui vazut cum functioneaza mizeriile respective, sa stii ce si cum sa opresti, probabil cateva reguli de iptables ar trebui sa fie de ajuns, nu ma astept sa fie ceva tocmai sofisticat. Quote
nafetsN Posted July 5, 2021 Author Report Posted July 5, 2021 2 hours ago, Nytro said: Salut, ai incercat sa vorbesti cu cei de la Voxility? Ar putea stii despre ce e vorba si cum sa le opreasca. Daca nu, va trebui vazut cum functioneaza mizeriile respective, sa stii ce si cum sa opresti, probabil cateva reguli de iptables ar trebui sa fie de ajuns, nu ma astept sa fie ceva tocmai sofisticat. Salutare. Am discutat cu ei, se incearca diferite metode de blocare. Momentan fara succes, din pacate. Am tot incercat sa caut aceste arhive de ddos dar nici o sansa... Quote
Nytro Posted July 5, 2021 Report Posted July 5, 2021 O solutie teoretica, dar care ar dura ceva timp, ar fi urmatoarea: 1. Monitorizezi performanta si prinzi in timp ce se intampla un astfel de atac 2. Pornesti un tcpdump si capturezi pachete pentru o anumite perioada, sa zicem 2-5 minute 3. Analizezi si vezi ce pachete vin in disperare 4. Le blochezi (dar verifici sa nu crape ceva) O alta posibila solutie ar fi log-uri de la serverele de CS, daca exista. Daca se pot pune pe un mod mai "verbose" e ideal. Poate, cumva, apar multe loguri cu anumite lucruri. SYN cookies ai incercat? https://tldp.org/LDP/solrhe/Securing-Optimizing-Linux-RH-Edition-v1.3/chap5sec56.html De fapt cred ca foloseste UDP CS-ul din cate stie eu. Asta inseamna ca teoretic DDOS-ul poate fi "amplificat" prin diverse vulnerabilitati in servere de pe Internet, dar pachetele nu sunt valide. Fa un astfel de tcpdump mai bine si daca crezi ca nu contine nimic "sensitive" ni-l poti da sa ne uitam peste el. Nu garantam ca gasim ceva, dar putem incerca. PS: Daca CS e doar pe portul 27.001 ai putea captura doar datele de pe acel port, dar ar fi util sa te uiti si la celelalte, cine stie ce o mai fi pe acolo. 2 Quote
nafetsN Posted July 5, 2021 Author Report Posted July 5, 2021 45 minutes ago, Nytro said: O solutie teoretica, dar care ar dura ceva timp, ar fi urmatoarea: 1. Monitorizezi performanta si prinzi in timp ce se intampla un astfel de atac 2. Pornesti un tcpdump si capturezi pachete pentru o anumite perioada, sa zicem 2-5 minute 3. Analizezi si vezi ce pachete vin in disperare 4. Le blochezi (dar verifici sa nu crape ceva) O alta posibila solutie ar fi log-uri de la serverele de CS, daca exista. Daca se pot pune pe un mod mai "verbose" e ideal. Poate, cumva, apar multe loguri cu anumite lucruri. SYN cookies ai incercat? https://tldp.org/LDP/solrhe/Securing-Optimizing-Linux-RH-Edition-v1.3/chap5sec56.html De fapt cred ca foloseste UDP CS-ul din cate stie eu. Asta inseamna ca teoretic DDOS-ul poate fi "amplificat" prin diverse vulnerabilitati in servere de pe Internet, dar pachetele nu sunt valide. Fa un astfel de tcpdump mai bine si daca crezi ca nu contine nimic "sensitive" ni-l poti da sa ne uitam peste el. Nu garantam ca gasim ceva, dar putem incerca. PS: Daca CS e doar pe portul 27.001 ai putea captura doar datele de pe acel port, dar ar fi util sa te uiti si la celelalte, cine stie ce o mai fi pe acolo. Multumesc, o sa ii dau persoanei ce se ocupa de mentenanta dedicatului pentru ca pe mine ma bate, nu am de ce sa ma dau zmeu cand nu sunt. Sunt 5 servere, pe acelasi IP porturi diferite. ideea este ca blocheaza doar portul din ceea ce vad eu. Deoarece se floodeaza 27015 , pica, iar 27016 este perfect functional. Am facut un test cu persoana in cauza si a trimis o arhiva cu loguri catre voxility. Dar vom incerca si SYN cookies cum ai sugerat! Multumesc pentru ajutorul acordat si timpul pierdut cu mine 1 Quote
Zatarra Posted July 6, 2021 Report Posted July 6, 2021 Incearca un server de Gaming de la OVH. Au firewall foarte bun pt astfel de atacuri. Daca totul e ok poti migra si celelalte servere. 1 Quote
nafetsN Posted July 6, 2021 Author Report Posted July 6, 2021 11 minutes ago, Zatarra said: Incearca un server de Gaming de la OVH. Au firewall foarte bun pt astfel de atacuri. Daca totul e ok poti migra si celelalte servere. Multumesc de sugestie, insa un server de gaming de la OVH nu ma ajuta deoarece am un contract cu cei de la voxility deja pe doi ani. Astept raspunsul celor de la voxility in momentul de fata, acestia sustin ca au mai avut astfel de probleme si s-a gasit rezolvare. Aseara au pus in functie niste filtre insa aceste filtre se pare ca se activeaza automat intr-un interval de 80 - 160 secunde. Serverele oarecum pica in intervalul 10 - 25secunde. Quote
nafetsN Posted July 6, 2021 Author Report Posted July 6, 2021 (edited) Salutare din nou Am venit cu un dump aici sa aruncati si voi o privire. Doresc sa precizez faptul ca protectia a fost mutata pe Always On si serverele au picat in continuare , efectiv pica la enter Edited July 27, 2021 by nafetsN Sorry, pentru double post Quote
Nytro Posted July 7, 2021 Report Posted July 7, 2021 Par sa fie multe request-uri catre portul 27016 care sa contina "....TSource Engine Query.." Am luat 3 IP-uri random si pare ca vine cate un astfel de pachet de la fiecare IP, nu mai multe. Ma gandesc ca IP-ul sursa este spoofed, dar e posibil ca pachetul in sine sa fie necesar. Un test rapid ar fi blocarea acestor pachete DAR ar putea crapa ceva(sau tot, sa nu mai mearga). 1 Quote
nafetsN Posted July 7, 2021 Author Report Posted July 7, 2021 (edited) On 7/7/2021 at 10:46 AM, Nytro said: Par sa fie multe request-uri catre portul 27016 care sa contina "....TSource Engine Query.." Am luat 3 IP-uri random si pare ca vine cate un astfel de pachet de la fiecare IP, nu mai multe. Ma gandesc ca IP-ul sursa este spoofed, dar e posibil ca pachetul in sine sa fie necesar. Un test rapid ar fi blocarea acestor pachete DAR ar putea crapa ceva(sau tot, sa nu mai mearga). Am gasit problema / vulnerabilitatea. Aceste 3 metode se folosesc de aceste metode pentru a face requesturi. iar unul dintre exploituri [ PLAYER ] am reusit sa il gasesc aici Am inteles ca se pot bloca. Persoana pe care am precizato mai sus ca se ocupa despre mentenanta dedicatului a venit cu o idee. Revin cu informatii, eventual si cu o rezolvare poate mai are cineva nevoie Edited July 27, 2021 by nafetsN 1 Quote
quantum Posted July 7, 2021 Report Posted July 7, 2021 Salut Am aruncat si eu o privire acolo. Se pare ca ai de-a face cu https://security.stackexchange.com/questions/168375/how-to-prevent-tsource-engine-query-ddos-attack Cel putin asa vad eu din packete 01:20:05.675519 IP (tos 0xc, ttl 113, id 30221, offset 0, flags [none], proto UDP (17), length 53) 157.166.145.173.29350 > 5.254.116.174.27016: [udp sum ok] UDP, length 25 0x0000: 450c 0035 760d 0000 7111 299f 9da6 91ad E..5v...q.)..... 0x0010: 05fe 74ae 72a6 6988 0021 bac3 ffff ffff ..t.r.i..!...... 0x0020: 5453 6f75 7263 6520 456e 6769 6e65 2051 TSource.Engine.Q 0x0030: 7565 7279 00 uery. 01:20:05.675691 IP (tos 0xc, ttl 113, id 2253, offset 0, flags [none], proto UDP (17), length 53) 121.140.205.177.55813 > 5.254.116.174.27016: [udp sum ok] UDP, length 25 0x0000: 450c 0035 08cd 0000 7111 7ef5 798c cdb1 E..5....q.~.y... 0x0010: 05fe 74ae da05 6988 0021 3b7a ffff ffff ..t...i..!;z.... 0x0020: 5453 6f75 7263 6520 456e 6769 6e65 2051 TSource.Engine.Q 0x0030: 7565 7279 00 uery. As incerca un filtru pe iptables ceva de genul iptables -A INPUT -p UDP --dport 27016 -m string --hex-string '|5453 6f75 7263 6520 456e 6769 6e65 2051|' --algo kmp -j DROP Regula ar aparea ceva de genul: 0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:27016 STRING match "TSource Engine Q" ALGO name kmp TO 65535 2 Quote
quantum Posted July 7, 2021 Report Posted July 7, 2021 Eventual faci match doar pe TSource ( |5453 6f75 7263 65| ) Quote
ardu2222 Posted July 7, 2021 Report Posted July 7, 2021 12 hours ago, quantum said: Eventual faci match doar pe TSource ( |5453 6f75 7263 65| ) https://www.google.com/search?q="TSource"+communication+tcp&client=firefox-b-d&sxsrf=ALeKk02HuRd9yqZRDLK8CMndCpMSCMMThg%3A1625697499141&ei=2yzmYL2MCMqH9u8Pwcuu0Ak&oq="TSource"+communication+tcp&gs_lcp=Cgdnd3Mtd2l6EAMyBAgjECc6BwgAEEcQsANKBAhBGABQ2jtYqEdghEpoAXACeACAAYsBiAGuA5IBAzIuMpgBAKABAaoBB2d3cy13aXrIAQjAAQE&sclient=gws-wiz&ved=0ahUKEwj95cqPg9LxAhXKg_0HHcGlC5oQ4dUDCA0&uact=5 Quote
nafetsN Posted July 9, 2021 Author Report Posted July 9, 2021 (edited) Am rezolvat ! Toata lumea este fericita Din ce am inteles au facut o restrictie pe queries : INFO PLAYER RULES le gasiti in linkul de mai sus de la valve. Multumesc mult pentru timpul si timpul acord ❤️ Seara faina sa aveti si weekend placut. Edited July 27, 2021 by nafetsN 2 Quote
