|
Título: Problema de seguridad Publicado por: Magnetto en 6 Enero 2012, 15:56 pm Bueneas mi nombre es Alejandro.
Tengo un servidor Linux (dedicado) en Canada en la empresa iweb y uso CENTOS. Bueno, alojo varios servidores de SA:MP y pasa lo siguiente: (SA:MP un juego online) SA:MP tiene un query que manda X información al usuario antes de entrar al servidor... Intentare explicarlo de la forma mas fácil de comprender. Ese query da 50 respuestas cada segundo, si le piden más de 50 personas (conexiones) cada segundo la información ese query deja de funcionar y deja de enviar la información del servidor al usuario, el servidor no se bloquea sigue funcionando y la gente puede seguir jugando pero el problema es que desde fuera (sin entrar al servidor) el servidor parece como caído, apagado. He intentado de varias maneras intentar filtrar ese ataque. Soy consciente que es algún tipo de botnet externo creado en php que está mandando peticiones de información constantemente desde varias IP´s. Me gustaría saber como ver a tiempo real las direcciones IP que están siquiera entrando al dedicado, es decir, IP que solicite información, IP que entre a una web alojada, todo, ¿existe forma de verlo? Que he hecho hasta ahora: Lo que hice principalmente fue esto: iptables --new-chain BLACKLISTADD iptables --append BLACKLISTADD --match recent --name BLACKLIST --set --jump DROP iptables --append INPUT --match recent --name BLACKLIST --rcheck --seconds 300 --jump DROP iptables --append INPUT --match recent --name BLACKLIST --remove iptables --append INPUT --protocol udp --dport 7777 --in-interface eth0 --match state --state NEW --match recent --name BLOCK --set iptables --append INPUT --protocol udp --dport 7777 --in-interface eth0 --match state --state NEW --match recent --update --seconds 1 --hitcount 3 --name BLOCK --jump BLACKLISTADD Puse que en el puerto UDP 7777 ( es por donde sale el query de SA:MP y el servidor) se hace tres peticiones en un segundo bloquee dicha IP, el problema es que no surge efecto alguno. Mi temor es que no pueda filtrar el trafico de un usuario normal a un bot... y realmente me va a joder mucho, he cambiado de IP, puerto millones de veces y claro.. no son tontos los que me están atacando y por lo tanto tardan horas inclusive minutos en atacarme nuevamente. Soluciones para monitorizar ese trafico, detalladamente es decir IP exacta. A tener en cuenta que juega gente de paises distintos: Perú, Chile, Argentina, Ecuador, Colombia, Paraguay, Uruguay, EEUU, España... Me gustaría que me pudieran aconsejar algo. Saludos y gracias. |