|
Título: ¿Qué puedo hacer? Publicado por: Benjes en 30 Noviembre 2015, 06:26 am Estuve recibiendo ataques todo el mes, ¿qué puedo hacer?
Uso www.nfoservers.com. Es una máquina virtual en la cual hosteo un servidor de SA:MP. Tengo una whitelist por países, protocolo solo UDP, puerto 7777, detuve las vulnerabilidades de SA:MP (en la versión 0.3z atacaban un paquete específico con rango de 32 bytes para no dejar entrar a usuarios, también le disparaban al query para dejar el servidor OFF, aprovechándose de los filtros que pone NFO). Ahora estoy trabajando con un amigo para falsificar el query y retrasar los paquetes que lleguen a través de la aplicación SA:MP (para despistar al atacante), pero de eso no hay novedades... No sé como hacer para que NFO entienda mi situación y deje de poner tantas rutas nulas. Estos son ataques sencillos, del mes, que no llegan a afectar al servidor. Constantemente los veo en el log de eventos, en 3-4 me pusieron ruta nula: (http://i.imgur.com/5cojc5y.png) (http://i.imgur.com/6047Zd6.png) (http://i.imgur.com/aw47iAW.png) (http://i.imgur.com/aw47iAW.png) (http://i.imgur.com/oY8pZMW.png) (http://i.imgur.com/MIGSPt6.png) (http://i.imgur.com/STnW1Yz.png) (http://i.imgur.com/mxiZA5f.png) (http://i.imgur.com/ZhruTNw.png) ¿Qué recomiendan hacer para terminar con las rutas nulas? Título: Re: ¿Qué puedo hacer? Publicado por: Wick3D en 9 Diciembre 2015, 04:41 am ¿Por qué no pruebas a hacer una prueba rápida de análisis de puertos abiertos a través de http://www.speedguide.net/scan.php (http://www.speedguide.net/scan.php)? tardas segundos y podrás ver si hay algun puerto abierto y poder cerrarlo.
En caso de que los tengas todos cerrados, o debidamente flitrados, lo único que se me ocurre es que crees una regla que no permita conexiones que sean inseguras y no certificadas a través de "x sitios" donde ahí ya tu pondrías todos tus sitios de confianza. El problema de los ataque DDos, es que se realiza a través de centenares de ordenadores zombi, por lo que es casi imposible rastrear o detener este tipo de ataque. Con lo que el que te lo quiere tirar, lo va a conseguir de una manera u otra, pero por lo menos lo retrasas. Título: Re: ¿Qué puedo hacer? Publicado por: engel lex en 9 Diciembre 2015, 06:23 am ¿Por qué no pruebas a hacer una prueba rápida de análisis de puertos abiertos a través de http://www.speedguide.net/scan.php (http://www.speedguide.net/scan.php)? tardas segundos y podrás ver si hay algun puerto abierto y poder cerrarlo. En caso de que los tengas todos cerrados, o debidamente flitrados, lo único que se me ocurre es que crees una regla que no permita conexiones que sean inseguras y no certificadas a través de "x sitios" donde ahí ya tu pondrías todos tus sitios de confianza. El problema de los ataque DDos, es que se realiza a través de centenares de ordenadores zombi, por lo que es casi imposible rastrear o detener este tipo de ataque. Con lo que el que te lo quiere tirar, lo va a conseguir de una manera u otra, pero por lo menos lo retrasas. con tu solución no va a hacer nada XD es un servidor de juegos XD por otro lado, lo están atacando de mil maneras distintas... alguien sabe un poco de eso y está experimentando una buena cantidad de formas distintas... podrías intentar habilitar el acceso por listas blancas Título: Re: ¿Qué puedo hacer? Publicado por: Wick3D en 9 Diciembre 2015, 14:59 pm con tu solución no va a hacer nada XD es un servidor de juegos XD por otro lado, lo están atacando de mil maneras distintas... alguien sabe un poco de eso y está experimentando una buena cantidad de formas distintas... podrías intentar habilitar el acceso por listas blancas Gracias por la aclaración, siempre es grato saber algo más. Tomo nota ;) Título: Re: ¿Qué puedo hacer? Publicado por: Benjes en 16 Diciembre 2015, 07:03 am Con los ataques anteriores jamás me tiraron, algunos llevaron a lags (retraso) de quince o veinte segundos. Ahora están atacando con 30 GBPS y tampoco le hace tanto daño. Lo que quiero es mitigar de alguna forma esto, es molesto ver un ataque todos los días. Gracias por responder.
Edito: Agrego los ataques de éste mes :rolleyes: (no fueron tantos como el mes pasado) (http://i.imgur.com/Q8uf36p.png) (http://i.imgur.com/7yv7OR1.png) (http://i.imgur.com/wKPazIU.png) (http://i.imgur.com/E2lKhqZ.png) Especialmente quiero parar éstos: (http://i.imgur.com/7KRYmxK.png) Título: Re: ¿Qué puedo hacer? Publicado por: RevolucionVegana en 16 Diciembre 2015, 12:21 pm Pues vaya :S que forma de molestar es para Gta San Andreas Online o algo así para que juego es? (Curiosidad)
Saludos! Título: Re: ¿Qué puedo hacer? Publicado por: Benjes en 16 Diciembre 2015, 20:29 pm Sí. San Andreas Multiplayer :/
Título: Re: ¿Qué puedo hacer? Publicado por: HelThunk en 19 Diciembre 2015, 22:11 pm ¿Cómo hago eso de habilitar el acceso por lista blanca? Con la lista blanca (whitelist) lo que haces es limitar el acceso a tu servidor, haciendo que solo puedan entrar a los que tu des permiso (ya sea por ip, cuenta, etc..)No se si el compañero de arriba se refiere a este tipo de whitelist. Un saludo, Título: Re: ¿Qué puedo hacer? Publicado por: _Zume en 19 Diciembre 2015, 22:20 pm Haz una captura de paquetes, payloads, etc. Filtra todos los paquetes que se utilizan para la conexion a tu servidor y a lo mejor te va mejor, igualmente, el firewall de NFO es muy bueno, si sabes bien la forma en que debes de configurarlo puedes hacerlo casi invensible.
Yo tengo un servidor del mismo juego jaja, me atacabana full, y ahora no pueden mas. En SA:MP además hay muchas vulnerabilidades con las querys.. Si detienes los DDoS te darás cuenta que eso es el comienzo :P pero de igual forma, el que te está atacando es un novato a lo mejor, ataca de la misma IP, y lo único que hace son ataques repetitivos que a lo mejor tendrá una stresser. Bloquea la IP y listo. Si siguen prosigue a la captura de paquetes. Verifica los puertos, si no usas TCP para MySQL, socket o RCON remoto, desactiva el TCP que eso no se usa en SA:MP, SA:MP usa nada más el udp |