PFSENSE помогите настроить защиту от DOS DOSS Атак

zar0ku1

У меня стоит игравой сервер, порты 7777 и 2006 смотрят наружу, по ним вот и досят сервак мой

lineage на pfsense, да вы знаете толк в извращениях

l2grom

@l2grom:

@l2grom:

State Type
* synproxy state

Proxies incoming TCP connections to help protect servers from spoofed TCP SYN floods. This option includes the functionality of keep state and modulate state combined.
Включил это

У меня стоит игравой сервер, порты 7777 и 2006 смотрят наружу, по ним вот и досят сервак мой

А как определил, что досят?

Был достигнут предел подключений, машина не реагировала не на одно подключение, а те кто уже подключины были, лагали

Eugene

Screenshot правил на WAN можно?

l2grom

Что нарыл
Protocol TCP -выставил
Address: XXXXXXXXX-выставил
from: 7777
to: 7777

Advanced Options
Maximum state entries per host-2
Maximum new connections -2 / per second -2

State Type -synproxy state
Proxies incoming TCP connections to help protect servers from spoofed TCP SYN floods. This option includes the functionality of keep state and modulate state combined.

и на логин порт тоже самое, это входящие соединения

l2grom

@l2grom:

Что нарыл
Protocol TCP -выставил
Address: XXXXXXXXX-выставил
from: 7777
to: 7777

Advanced Options
Maximum state entries per host-2
Maximum new connections -2 / per second -2

State Type -synproxy state
Proxies incoming TCP connections to help protect servers from spoofed TCP SYN floods. This option includes the functionality of keep state and modulate state combined.

и на логин порт тоже самое, это входящие соединения

Screenshot правил на WAN можно? к сожалению, что я могу тут выставить если у меня игракв может бытьот 1 до 300 одновременн

l2grom

@Evgeny:

Screenshot правил на WAN можно?

Что можно тут поставить? Ведь тут задается количество подключений с разных IP а не на конкретный хост

dvserg

Попробуй это
Maximum state entries per host = 5

А кленты знакомые или нет? Может ввести белый лист?

l2grom

@dvserg:

Попробуй это
Maximum state entries per host = 5

А кленты знакомые или нет? Может ввести белый лист?

Клиенты не знакомы, и каждый раз новые прибывают.

Maximum state entries per host = 5
Maximum new connections = 1 / per second = 10 сек

{ хотя кажется Maximum state entries per host = 4}
Maximum new connections = 0 / per second = 0

fox

хм…. а что мешает поставить snort )))

zar0ku1

@fox:

хм…. а что мешает поставить snort )))

я за Cisco ASA

l2grom

@zar0ku1:

@fox:

хм…. а что мешает поставить snort )))

snort можно по подробней, что это и с чем кушается. Это пакет или какая софтина , железка..

zar0ku1

@l2grom:

snort можно по подробней, что это и с чем кушается. Это пакет или какая софтина , железка..

http://ru.wikipedia.org/wiki/Snort

l2grom

@zar0ku1:

@l2grom:

snort можно по подробней, что это и с чем кушается. Это пакет или какая софтина , железка..

http://ru.wikipedia.org/wiki/Snort

Спасибо друзья, осталось разобраться с правилами к примеру откуда и куда
ПРИМЕР
SID Proto Source Port Destination Port Message
2010156 udp any any $HOME_NET 27901 ET GAMES Alien Arena 7.30 Remote Code Execution Attempt

alert udp any any -> $HOME_NET 27901 (msg:"ET GAMES Alien Arena 7.30 Remote Code Execution Attempt"; content:"print|0A 5C|"; isdataat:257,relative; pcre:"/\x5C[^\x5C\x00]{257,}/"; classtype:misc-attack; reference:url,www.packetstormsecurity.org/0910-advisories/alienarena-exec.txt; reference:url,doc.emergingthreats.net/2010156; reference:url,www.emergingthreats.net/cgi-bin/cvsweb.cgi/sigs/GAMES/GAMES_AlienArena; sid:2010156; rev:4;)

sid - ну это номер правила
Proto- протокол
Source - источник ( не понятно внутренний или внешний ?)
Port - порт ( не понятно внутренний или внешний ?)
Destination - назначение
Port - порт ( не понятно внутренний или внешний ?)

Если кто-то разбирался, помогите с ориентироваться, пожалуйста

vardan

rebyata ya toje zapustil snort i u menya vot chto v logax

snort[40959]: FATAL ERROR: Failed to Lock PID File "/var/log/snort/run/snort_rl09877rl0.pid" for PID "40959"

:(

fox

**есть еще нюанс snort прожорливый к памяти минимум 512 **

fox

@zar0ku1:

@fox:

хм…. а что мешает поставить snort )))

я за Cisco ASA

ну здесь без комментариев ))) ;)

l2grom

Всем спасибо, SHORT ВПОЛНЕ СПРАВИЛСЯ С БОЛЬШИНСТВОМ DOS АТАК НА МАШИНУ.

DasTieRR

@l2grom:

Всем спасибо, SHORT ВПОЛНЕ СПРАВИЛСЯ С БОЛЬШИНСТВОМ DOS АТАК НА МАШИНУ И ПАРТЫ.

парты школьные?

fox

@DasTieRR:

@l2grom:

Всем спасибо, SHORT ВПОЛНЕ СПРАВИЛСЯ С БОЛЬШИНСТВОМ DOS АТАК НА МАШИНУ И ПАРТЫ.

парты школьные?

;D ;D

l2grom

@fox:

@DasTieRR:

@l2grom:

Всем спасибо, SHORT ВПОЛНЕ СПРАВИЛСЯ С БОЛЬШИНСТВОМ DOS АТАК НА МАШИНУ И ПАРТЫ.

парты школьные?

;D ;D

Да парты школьные, как создать свою сигнатуру, у меня игровой сервер Lineage порты 2106 и 7777 , хотелось бы для них создать правила от ДОС ну и если возможна чит кода. ) Это возможна?