DEDIBOX-NEWS.COM
Le Forum Non Officiel de la DEDIBOX
Vous n'êtes pas identifié.
Pages: 1
- Accueil forums
- » Serveur de Jeux sur Dedibox
- » Se protéger d'une attaque DoS sur serveur Counter Strike Source
#1 2009-09-16 18:05:37
- ecthelion
- Je débarque
- Date d'inscription: 2008-06-14
- Messages: 1
Se protéger d'une attaque DoS sur serveur Counter Strike Source
Bonjour,
depuis quelques jours, notre serveur fait l'objet d'attaques ayant pour objet un déni de service sur les serveurs Counter Strike Source.
Cette tendance à l'air de se généraliser (merci youtube qui publie des vidéos expliquant comment faire). N'ayant pas ou peu trouvé de solutions pour s'en protéger, je poste la solution à base d'iptables, que nous avons mis en place et qui à l'air d'être efficace pour l'instant.
contenu du script firewall.sh (le mettre en exécutable, et rajouter sa localisation dans le /etc/rc.local afin de recharger les règles à chaque reboot)
Code:
#Vidage des tables iptables -t filter -F iptables -t filter -X # Creation chaine log des actions sur les ports tcp iptables -N LOG_ACTIVITE_TCP iptables -A LOG_ACTIVITE_TCP -j LOG --log-prefix 'IPTABLES-ACT TCP: ' --log-level info # Log des serveurs iptables -t filter -A INPUT -p tcp --dport 27015 -j LOG_ACTIVITE_TCP # Creation chaine log des actions sur les ports udp iptables -N LOG_ACTIVITE_UDP iptables -A LOG_ACTIVITE_UDP -j LOG --log-prefix 'IPTABLES-ACT UDP: ' --log-level info # Log des serveurs iptables -t filter -A INPUT -p udp --dport 27015 -j LOG_ACTIVITE_UDP # Creation chaine rejet du flood udp 28 iptables -N REJECT_FLOOD28 iptables -A REJECT_FLOOD28 -j LOG --log-prefix 'IPTABLES-FLOOD LENGTH 28: ' --log-level info iptables -A REJECT_FLOOD28 -j DROP # Drop des flood longueur paquet sur UDP iptables -A INPUT -p udp --dport 27015 -m length --length 28 -j REJECT_FLOOD28 # Creation chaine rejet du flood udp 46 iptables -N REJECT_FLOOD46 iptables -A REJECT_FLOOD46 -j LOG --log-prefix 'IPTABLES-FLOOD LENGTH 46: ' --log-level info iptables -A REJECT_FLOOD46 -j DROP # Drop des flood longueur paquet sur UDP iptables -A INPUT -p udp --dport 27015 -m length --length 46 -j REJECT_FLOOD46 # Creation chaine rejet ip identifiees iptables -N LOG_REJECT_IP iptables -A LOG_REJECT_IP -j LOG --log-prefix 'IPTABLES-DROP IP CONNUES: ' --log-level info iptables -A LOG_REJECT_IP -j DROP # Drop des ip connues iptables -t filter -A INPUT -i eth0 -s 93.1.167.224 -j LOG_REJECT_IP
Ce script permets de logguer toutes les actions sur le port 27015 en TCP et UDP (consultable dans /var/log/messages)
Il interdit toute réception de paquet de longueur 28 et 46 par le protocole UDP sur ce port, car dans nos log se sont les 2 tailles de paquets identifiées.
De plus il interdit complètement l'accès à l'IP qui nous attaquait cette nuit... on rajoutera en suivant si on se fait de nouveau attaquer par d'autres.
En espérant que se soit utile aux personnes qui ont le même problème que nous.
Hors ligne
#2 2009-09-21 10:47:49
- tuXenMousse
- Membre
- Date d'inscription: 2008-04-14
- Messages: 43
Re: Se protéger d'une attaque DoS sur serveur Counter Strike Source
Zblock est censé résoudre ce probleme 
Hors ligne
Pages: 1
- Accueil forums
- » Serveur de Jeux sur Dedibox
- » Se protéger d'une attaque DoS sur serveur Counter Strike Source