none
Windows Server 2016->ДоС атаки->Ограничение Максимального количества подключений от одного IP RRS feed

  • Вопрос

  • Доброго времени суток, господа!

    Кто-нибудь может подсказать, существует ли решение этой проблемы? Имеем несколько IP "клиентов", каждый из которых открывает несколько десятков тысяч соединений(атакует нас)... В firewall не существует такого критерия как "лимит подключений для каждого IP".  

    Возможно, все-таки существует нечто такое же, но "под другим названием"? Пусть даже сторонний firewall.


    13 июня 2020 г. 9:09

Ответы

  • обычно вопросы с дос атаками решают на стороне роутера с анализом трафика или фаерволом с анализом трафика которые по характеру (типу,частоте, времени итд) определяют насколько траффик правильный

    Если так случилось что ваш сервер находится на первой линии (голым интерфейсом смотрит в мир) то часто используют логи firewall + windows logs + PowerShell чтобы дописывать правила фаервола добавляя туда дополнительные ip в блеклист. Но стоит понимать что такой метод не поможет в случае атаки на отказ, так как при много милионных запросах с нелегетимных ip, легитимные до вас перестанут доходить.

    Что за трафик? Как выглядит сеть? Что установлено на сервере (к чему пробуют достучаться "клиенты")?


    The opinion expressed by me is not an official position of Microsoft

    13 июня 2020 г. 10:34
    Модератор
  • Игровой сервер для небольшого количества друзей и друзей друзей. Решения со сложными внешними фаерволами или тем же роутером боюсь что невозможны, ввиду дорозовизны.

    Добрый день,

    Обычно игровые сервера использую UDP протокол для соединений,  у которого в отличие от TCP нет необходимости установки соединения. Из-за этого могут возникнуть некоторые сложности с написанием скриптов.

    Если вы приобретали лицензию на ОС Windows Server 2016 официально, то можете увидеть, что цена на него на много выше, чем например на простой роутер Mikrotik (а так имеются много не дорогих производиетей сетевых устройств, которые смогу вам помочь), у которого есть возможность ограничить число соединение для одного ip, тем более что вы писали вам необходимо 200-300 подключений.

    P.S. Важно понимать, что если вы будете на том же сервере использовать средства способные ограничить число подключений, может оказать на снижение производительности сервера.


    Avis de non-responsabilité:
    Mon opinion ne peut pas coïncider avec la position officielle de Microsoft.

    Bien cordialement, Andrei ...

    MCP

    • Изменено SQxModerator 13 июня 2020 г. 15:14 обновлено
    • Помечено в качестве ответа Vector BCOModerator 20 июля 2020 г. 6:39
    13 июня 2020 г. 15:05
    Модератор
  • В том-то и дело что имеются, и первое время вроде помогало, а потом атаки стали пробиваться и пришло письмо от администрации что ваш сервер сейчас находится под цитата "extremely large network attack". Судя по всему, часть подключений они блочат(что видно по номеру порта), но часть проходит :-(

    Поэтому и ищем решение проблемы...

    Приветствую.

    Решение вашей проблемы - это IPS / IDS   

    Емнип её продают как опцию крупные провайдеры, стоимость сей зависит от поставщика.


    Я не волшебник, только учусь. MCTS, CCNA. Если вам помог чей-либо ответ, пожалуйста, не забывайте нажать на кнопку "отметить как ответ" или проголосовать за "полезное сообщение". Disclaimer: Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции работодателя. Вся информация предоставляется как есть, без каких-либо на то гарантий. Блог IT Инженера, Яндекс Дзен, YouTube, GitHub, Facebook, TechNet Forum Team.

    • Предложено в качестве ответа Vector BCOModerator 20 июля 2020 г. 6:38
    • Помечено в качестве ответа Vector BCOModerator 20 июля 2020 г. 6:39
    13 июня 2020 г. 17:37
    Модератор

Все ответы

  • обычно вопросы с дос атаками решают на стороне роутера с анализом трафика или фаерволом с анализом трафика которые по характеру (типу,частоте, времени итд) определяют насколько траффик правильный

    Если так случилось что ваш сервер находится на первой линии (голым интерфейсом смотрит в мир) то часто используют логи firewall + windows logs + PowerShell чтобы дописывать правила фаервола добавляя туда дополнительные ip в блеклист. Но стоит понимать что такой метод не поможет в случае атаки на отказ, так как при много милионных запросах с нелегетимных ip, легитимные до вас перестанут доходить.

    Что за трафик? Как выглядит сеть? Что установлено на сервере (к чему пробуют достучаться "клиенты")?


    The opinion expressed by me is not an official position of Microsoft

    13 июня 2020 г. 10:34
    Модератор
  • Игровой сервер для небольшого количества друзей и друзей друзей. Решения со сложными внешними фаерволами или тем же роутером боюсь что невозможны, ввиду дорозовизны.

    Подскажите, а где-то можно найти более-менее подробный гайд по установке подобных решений?

    логи+powershell создание правил. Трафик - около 200-300 подключений.

    13 июня 2020 г. 12:48
  • Игровой сервер для небольшого количества друзей и друзей друзей. Решения со сложными внешними фаерволами или тем же роутером боюсь что невозможны, ввиду дорозовизны.

    Добрый день,

    Обычно игровые сервера использую UDP протокол для соединений,  у которого в отличие от TCP нет необходимости установки соединения. Из-за этого могут возникнуть некоторые сложности с написанием скриптов.

    Если вы приобретали лицензию на ОС Windows Server 2016 официально, то можете увидеть, что цена на него на много выше, чем например на простой роутер Mikrotik (а так имеются много не дорогих производиетей сетевых устройств, которые смогу вам помочь), у которого есть возможность ограничить число соединение для одного ip, тем более что вы писали вам необходимо 200-300 подключений.

    P.S. Важно понимать, что если вы будете на том же сервере использовать средства способные ограничить число подключений, может оказать на снижение производительности сервера.


    Avis de non-responsabilité:
    Mon opinion ne peut pas coïncider avec la position officielle de Microsoft.

    Bien cordialement, Andrei ...

    MCP

    • Изменено SQxModerator 13 июня 2020 г. 15:14 обновлено
    • Помечено в качестве ответа Vector BCOModerator 20 июля 2020 г. 6:39
    13 июня 2020 г. 15:05
    Модератор
  • Игровой сервер для небольшого количества друзей и друзей друзей. Решения со сложными внешними фаерволами или тем же роутером боюсь что невозможны, ввиду дорозовизны.

    Добрый день,

    Обычно игровые сервера использую UDP протокол для соединений,  у которого в отличие от TCP нет необходимости установки соединения. Из-за этого могут возникнуть некоторые сложности с написанием скриптов.

    Если вы приобретали лицензию на ОС Windows Server 2016 официально, то можете увидеть, что цена на него на много выше, чем например на простой роутер Mikrotik (а так имеются много не дорогих производиетей сетевых устройств, которые смогу вам помочь), у которого есть возможность ограничить число соединение для одного ip, тем более что вы писали вам необходимо 200-300 подключений.

    P.S. Важно понимать, что если вы будете на том же сервере использовать средства способные ограничить число подключений, может оказать на снижение производительности сервера.


    Avis de non-responsabilité:
    Mon opinion ne peut pas coïncider avec la position officielle de Microsoft.

    Bien cordialement, Andrei ...
    MCP

    У нас нет физического контроля над сервером. Сервер - облачный VPS. Windows официальный, от провайдера. Наша игра использует TCP, т.к. позволяет "маскировать" лаги.

    Вот так выглядит типичный netstat -na
      TCP    IP сервера:порт   IP атакующего:43046  ESTABLISHED
      TCP    IP сервера:порт   IP атакующего:43062  ESTABLISHED
      TCP    IP сервера:порт   IP атакующего:43064  ESTABLISHED
      TCP    IP сервера:порт   IP атакующего:43070  ESTABLISHED
      TCP    IP сервера:порт   IP атакующего:43082  ESTABLISHED
      TCP    IP сервера:порт   IP атакующего:43086  ESTABLISHED
      TCP    IP сервера:порт   IP атакующего:43092  ESTABLISHED

    А есть еще и CLOSE_WAIT'ы...

    И таких строк десятки, если не сотни тысяч...

    Мощности сервера достаточно чтобы нагрузка не доходила до заметных цифр, так что проблема чисто в самом факте нереального количества подключений.

    Ну не верим что не существует простого способа ограничить такой примитивный абуз.

    13 июня 2020 г. 15:49
  • У нас нет физического контроля над сервером. Сервер - облачный VPS. Windows официальный, от провайдера.

    Странно это как-то, а техническая поддержка вашего облачного сервера не имеет решение?

    Спрашиваю (так как это их сфера), из тех соображение что у некоторых облачных провадеров имеется различные варианты защиты от типичных атак.

    Avis de non-responsabilité:
    Mon opinion ne peut pas coïncider avec la position officielle de Microsoft.

    Bien cordialement, Andrei ...

    MCP

    • Изменено SQxModerator 13 июня 2020 г. 16:03 обновлено
    13 июня 2020 г. 15:53
    Модератор
  • В том-то и дело что имеются, и первое время вроде помогало, а потом атаки стали пробиваться и пришло письмо от администрации что ваш сервер сейчас находится под цитата "extremely large network attack". Судя по всему, часть подключений они блочат(что видно по номеру порта), но часть проходит :-(

    Поэтому и ищем решение проблемы...

    13 июня 2020 г. 16:13
  • В том-то и дело что имеются, и первое время вроде помогало, а потом атаки стали пробиваться и пришло письмо от администрации что ваш сервер сейчас находится под цитата "extremely large network attack". Судя по всему, часть подключений они блочат(что видно по номеру порта), но часть проходит :-(

    Поэтому и ищем решение проблемы...

    Приветствую.

    Решение вашей проблемы - это IPS / IDS   

    Емнип её продают как опцию крупные провайдеры, стоимость сей зависит от поставщика.


    Я не волшебник, только учусь. MCTS, CCNA. Если вам помог чей-либо ответ, пожалуйста, не забывайте нажать на кнопку "отметить как ответ" или проголосовать за "полезное сообщение". Disclaimer: Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции работодателя. Вся информация предоставляется как есть, без каких-либо на то гарантий. Блог IT Инженера, Яндекс Дзен, YouTube, GitHub, Facebook, TechNet Forum Team.

    • Предложено в качестве ответа Vector BCOModerator 20 июля 2020 г. 6:38
    • Помечено в качестве ответа Vector BCOModerator 20 июля 2020 г. 6:39
    13 июня 2020 г. 17:37
    Модератор

  • У нас нет физического контроля над сервером. Сервер - облачный VPS. Windows официальный, от провайдера. Наша игра использует TCP, т.к. позволяет "маскировать" лаги.

    Вот так выглядит типичный netstat -na
      TCP    IP сервера:порт   IP атакующего:43046  ESTABLISHED
      TCP    IP сервера:порт   IP атакующего:43062  ESTABLISHED
      TCP    IP сервера:порт   IP атакующего:43064  ESTABLISHED
      TCP    IP сервера:порт   IP атакующего:43070  ESTABLISHED
      TCP    IP сервера:порт   IP атакующего:43082  ESTABLISHED
      TCP    IP сервера:порт   IP атакующего:43086  ESTABLISHED
      TCP    IP сервера:порт   IP атакующего:43092  ESTABLISHED

    А есть еще и CLOSE_WAIT'ы...

    И таких строк десятки, если не сотни тысяч...

    Мощности сервера достаточно чтобы нагрузка не доходила до заметных цифр, так что проблема чисто в самом факте нереального количества подключений.

    Ну не верим что не существует простого способа ограничить такой примитивный абуз.

    если не помогает блеклист, настройте вайт лист если количество ваших друзей ограничено

    на стороне хостера и сервера вы можете блочить трафик весь кроме указаных адресов своих знакомых

    Будет хорошо работать если у друзей и друзей друзей, статика, в противном случае можно выделять подсети ip тех провайдеров на которых сидят друзья


    The opinion expressed by me is not an official position of Microsoft

    13 июня 2020 г. 20:08
    Модератор
  • Игровой сервер для небольшого количества друзей и друзей друзей. Решения со сложными внешними фаерволами или тем же роутером боюсь что невозможны, ввиду дорозовизны.

    Подскажите, а где-то можно найти более-менее подробный гайд по установке подобных решений?

    логи+powershell создание правил. Трафик - около 200-300 подключений.

    на данном форуме времен начала карантина было штуки 3 подобных тем причем одна вроде была с готовым скриптом

    The opinion expressed by me is not an official position of Microsoft

    13 июня 2020 г. 20:09
    Модератор