Skocz do zawartości


 

Zdjęcie

Zabezpieczenie ts3

Zabezpieczenie ts3

  • Proszę się zalogować aby odpowiedzieć
9 odpowiedzi na ten temat

Zabezpieczenie ts3

#1 DaFFX

DaFFX

    Stały użytkownik

  • Użytkownicy
  • PipPipPipPipPip
  • 277 postów

Napisany 02 luty 2017 - 12:17

Wotajcie
Mam pewny problem i pytanie. Mam serwer dedykowany w ovh i zmagam sie z atakami exploitem 'ts3fuck' Czy istnieje możliwość wyciecia tego softem albo fw od ovh?
  • 0

#2 Pan Kot

Pan Kot

    Mrrr

  • Zbanowani
  • PipPipPipPipPipPipPipPip
  • 2819 postów

Napisany 02 luty 2017 - 12:23

Tak, np. http://www.mpcforum..../#entry12643610


Edytowany przez Archi, 02 luty 2017 - 12:23.

  • 0

#3 DaFFX

DaFFX

    Stały użytkownik

  • Użytkownicy
  • PipPipPipPipPip
  • 277 postów

Napisany 02 luty 2017 - 12:25

Moglbys troche mnie nakierowac? Blokując np przez iptables na zasadzie hex i limitujac liczbe polaczen na sekunde nadal da sie floodowac ten port.
@up mam to zastosowane

Edytowany przez DaFFX, 02 luty 2017 - 12:26.

  • 0

#4 Pan Kot

Pan Kot

    Mrrr

  • Zbanowani
  • PipPipPipPipPipPipPipPip
  • 2819 postów

Napisany 02 luty 2017 - 12:30

Da się bo zabawki do wywalania TS3 nie należą do grupy rocket science i nie załatasz firewallem dziur w protokole. Możesz niwelować najbardziej znane ataki bazując np. na nagłówkach pakietów i ich typów, ale jedyne prawidłowe rozwiązanie to przeanalizować cały protokół UDP używany przez TSa i napisać regułki, które będą wpuszczać tylko prawidłowy ruch sprecyzowany z góry, a nie blokować nieprawidłowy który wysyłają exploity.

 

Problem jest taki, że i to może nic nie dać jeśli exploit wykorzystuje specyficzną kombinację prawidłowego ruchu, wtedy musiałbyś się bawić w precyzowanie np. ile tego prawidłowego ruchu może być w danej sekundzie/minucie, i tak dalej.

 

TL;DR - Zabawa w kotka i myszkę. Po 5 latach hostowania serwera TS3 wyniosłem się z tego gównianego softu i zastanawiam się tylko czemu nie zrobiłem tego wcześniej.

 

Nikt Ci na tacy takich rozwiązań nie da - osoby, które umieją takie regułki pisać swoje zarabiają i zabezpieczają największe serwisy hostujące TSa. Ja swoje napisałem, i sprzedałem na wyłączność jednej firmie podpisując NDA ;).


Edytowany przez Archi, 02 luty 2017 - 12:34.

  • 0

#5 DaFFX

DaFFX

    Stały użytkownik

  • Użytkownicy
  • PipPipPipPipPip
  • 277 postów

Napisany 02 luty 2017 - 12:34

Da się bo zabawki do wywalania TS3 nie należą do grupy rocket science i nie załatasz firewallem dziur w protokole. Możesz niwelować najbardziej znane ataki bazując np. na nagłówkach pakietów i ich typów, ale jedyne prawidłowe rozwiązanie to przeanalizować cały protokół UDP używany przez TSa i napisać regułki, które będą wpuszczać tylko prawidłowy ruch sprecyzowany z góry, a nie blokować nieprawidłowy który wysyłają exploity.
 
Problem jest taki, że i to może nic nie dać jeśli exploit wykorzystuje specyficzną kombinację prawidłowego ruchu, wtedy musiałbyś się bawić w precyzowanie np. ile tego prawidłowego ruchu może być w danej sekundzie/minucie, i tak dalej.
 
TL;DR - Zabawa w kotka i myszkę. Po 5 latach hostowania serwera TS3 wyniosłem się z tego gównianego softu i zastanawiam się tylko czemu nie zrobiłem tego wcześniej.

Wlasnie mam problem z blokowaniem tego bo ataki posiadają randomowe ciagi znakow generowane co kazdy pakiet :/
  • 0

#6 Pan Kot

Pan Kot

    Mrrr

  • Zbanowani
  • PipPipPipPipPipPipPipPip
  • 2819 postów

Napisany 02 luty 2017 - 12:36

Wlasnie mam problem z blokowaniem tego bo ataki posiadają randomowe ciagi znakow generowane co kazdy pakiet :/

 

I dlatego mówię, że bez perfekcyjnej znajomości protokołu TS3 i tego co robi w swoim UDP nigdzie nie zajedziesz. Możesz co najwyżej wykupić serwer gdzieś gdzie dostajesz zabezpieczenia z góry i nie są to typowe anty-ddosy, a konkretne filtrowanie L7.

 

Nie umiem niestety doradzić "gdzie", bo od zawsze hostowałem się tylko na swoich blachach i kleiłem własne rozwiązania - być może ktoś inny pomoże. Chyba Spoofy z multigaming.pl coś klei.

 

BTW, jedną z przyczyn dla których rzuciłem ten soft w cholerę jest właśnie m.in to, że znudziło mi się pisanie własnego firewalla, który naprawia to czego soft sam nie potrafi.


Edytowany przez Archi, 02 luty 2017 - 12:39.

  • 0

#7 DaFFX

DaFFX

    Stały użytkownik

  • Użytkownicy
  • PipPipPipPipPip
  • 277 postów

Napisany 02 luty 2017 - 19:17

Da się bo zabawki do wywalania TS3 nie należą do grupy rocket science i nie załatasz firewallem dziur w protokole. Możesz niwelować najbardziej znane ataki bazując np. na nagłówkach pakietów i ich typów, ale jedyne prawidłowe rozwiązanie to przeanalizować cały protokół UDP używany przez TSa i napisać regułki, które będą wpuszczać tylko prawidłowy ruch sprecyzowany z góry, a nie blokować nieprawidłowy który wysyłają exploity.

 

Problem jest taki, że i to może nic nie dać jeśli exploit wykorzystuje specyficzną kombinację prawidłowego ruchu, wtedy musiałbyś się bawić w precyzowanie np. ile tego prawidłowego ruchu może być w danej sekundzie/minucie, i tak dalej.

 

TL;DR - Zabawa w kotka i myszkę. Po 5 latach hostowania serwera TS3 wyniosłem się z tego gównianego softu i zastanawiam się tylko czemu nie zrobiłem tego wcześniej.

 

Nikt Ci na tacy takich rozwiązań nie da - osoby, które umieją takie regułki pisać swoje zarabiają i zabezpieczają największe serwisy hostujące TSa. Ja swoje napisałem, i sprzedałem na wyłączność jednej firmie podpisując NDA ;).

 

 

Nie chcę na tacy gotowca który w pełni mnie zabezpieczy, analizuję ruch na porcie serwera i z łatwością byłoby wyciąć ruch ze starego 'ts3fuck', ale tutaj każdy pakiet wygląda inaczej i nic się nie powtarza, to jest ten problem. Co prawda, mogę odciąć kraje typu chiny/usa itd, ale mam użytkowników z nich i taka opcja to ostateczność. 

 

Aktualnie jedyne czym mogę skojarzyć większość ataków ze sobą to tylko początki, Załączony plik  fckts3.png   46,23K   10 pobrań

a prawidłowe,

Załączony plik  fckts32.png   4,96K   9 pobrań


  • 0

#8 SchErk

SchErk

    Stały użytkownik

  • Użytkownicy
  • PipPipPipPipPip
  • 223 postów
  • Firma:Newbie

Napisany 03 luty 2017 - 00:22

 

 

Nie chcę na tacy gotowca który w pełni mnie zabezpieczy, analizuję ruch na porcie serwera i z łatwością byłoby wyciąć ruch ze starego 'ts3fuck', ale tutaj każdy pakiet wygląda inaczej i nic się nie powtarza, to jest ten problem. Co prawda, mogę odciąć kraje typu chiny/usa itd, ale mam użytkowników z nich i taka opcja to ostateczność. 

 

Aktualnie jedyne czym mogę skojarzyć większość ataków ze sobą to tylko początki, attachicon.giffckts3.png

a prawidłowe,

attachicon.giffckts32.png

 

A nie lepiej będzie zablokować cały ruch dla portu 9987 i odblokować go przy pomocy modułu "geoip" (chodzi tu o zezwolenie połączeń na port 9987 dla wybranych krajów) do iptables'a?

 

np.

 

iptables -I INPUT -p udp --dport 9987 -m geoip --src-cc PL,DE -j ACCEPT

iptables -A INPUT -p udp --dport 9987 -j REJECT

 

 


Edytowany przez SchErk, 03 luty 2017 - 00:26.

  • 0

#9 DaFFX

DaFFX

    Stały użytkownik

  • Użytkownicy
  • PipPipPipPipPip
  • 277 postów

Napisany 06 luty 2017 - 17:18

 

A nie lepiej będzie zablokować cały ruch dla portu 9987 i odblokować go przy pomocy modułu "geoip" (chodzi tu o zezwolenie połączeń na port 9987 dla wybranych krajów) do iptables'a?

 

np.

 

iptables -I INPUT -p udp --dport 9987 -m geoip --src-cc PL,DE -j ACCEPT

iptables -A INPUT -p udp --dport 9987 -j REJECT

 

 

 

Jak pisałem wyżej, to jest rozwiązanie ostateczne. Wielu moich "użytkowników" korzysta z vpnów lub po prostu przesiaduje w innych krajach, więc jako "łagodne" rozwiązanie takie coś odpada.


  • 0

#10 SchErk

SchErk

    Stały użytkownik

  • Użytkownicy
  • PipPipPipPipPip
  • 223 postów
  • Firma:Newbie

Napisany 08 luty 2017 - 15:57

Na sofcie nie ma sensu tego wycinać, gdyż szkoda tyrać maszynę i CPU.

Softowe zapory dobre są jedynie do ograniczania, ale przy większym ruchu i tak serwer tego nie wytrzyma.

 

Jedynie musisz korzystać z uprzejmości dostawcy i pomocy przy filtrowaniu ataków aplikacyjnych. OVH oferuje domyślnie w konfiguracji "Firewall Network" tylko 20 regułek, które nie pozwolą tobie zbytni poszaleć w tym temacie, ale po wprowadzeniu "Anty-DDOS GAME" ovh filtruje aplikacje takie jak np. ts3, gta:sa, rust.

 

Radziłbym przejść np. na serwer z data center hosteam.pl lub serwer z ovh game (przy pomocy reseller'a).

 


  • 0





0 użytkowników czyta ten temat

0 użytkowników, 0 gości, 0 anonimowych użytkowników