Ataque demasiado fuerte please help

Buenas Wyatt puedes contactarme al skipe , tengo la solucion .

Y si abres un solo tema como que mejor y tal... https://forum.ovh.es/showthread.php?...te-please-help

Buenas señores que tal, tengo un gran problema un tipo que se dedica a atacar servidores ahora va por el mio yo pense que con el anti ddos game era suficiente pero no, bueno el problema es que el tipo flodea el log con todas IPs diferentes y la gente no logra conectarse a menos que ingresen la ip del dedicado en google, es decir vos pones la ip en el cliente SAMP asi normal te sale ON el servidor con los user pero al entrar sale que no responde hasta que vos abris la ip en el navegador al abrirla te conecta de una y en el log sale un flodeo intenso el log llega a pesa 0.5gb en 10m de IPs es una locura el juego es SAMP uso el puerto 7777 udp, alguien si me podria ayudar a crear una regla o algo la verdad se lo agradeceria yo no consco mucho de seguridad.

Como podria configurar fail2ban para el puerto 7777 que es donde tengo el servidor SAMP, que bloque todas esas ip, el tipo que me ataca lo que hace es cojer las ip de sus usuarios nose como hace y con esas ip me ataca que son las que flodean el log

Hola amigo, otra vez volvio el maldito flodeo ahora son todas ip diferentes en 1m me llenan el log todas diferentes que me recomendas hacer?

Eso ni es un ataque y ni siquiera tiene la relevancia de ser etiquetado como "demasiado fuerte". Créeme que si fuera fuerte, no tendrias ni acceso a tu propia máquina. Los ataques no los genera "una empresa muy grande", los genera ABONADOS hacia esa empresa y que tienen instalado una botnet. Estoy seguro que el 99% de los que te están atacando, no saben ni siquiera que tienen una botnet instalado en sus equipos.

Así que tus únicas soluciones son: Configurar patrones de acceso o rate limits (Con iptables en Linux y el módulo recent es muy fácil de configurar. Si es un ataque hacia un daemon en concreto, seguramente Fail2ban sea tu solución) y contactar con el departamento de abuse de los AS de cada una de las IPs que te está atacando.

Y por favor, no hagas acusaciones de esa manera, porque si se demuestra que estás incurriendo a una calumnia, se te volverá en tu contra.

Más bien lo que necesitas son unas reglas para bloquear flood en ese puerto, he visto esto: http://pawnscript.com/foro/seguridad...mp-t13316.html que te puede servir de ayuda.

Un saludo.

@Wyatt lo que te haria falta seria un firewall para que bloqueara todas esas IPs como fueran entrando yo suelo recomendar CSF

Link: https://configserver.com/cp/csf.html

Sino te aclaras a la hora de instalarlo y configurarlo me agregas a skype y te lo configuro yo.

Mi skype es: luis.gomez896

mmm no, no tengo mucha idea de eso, pero bloqueando esas ips con iptables seria suficiente? aunque son muchisimas ip todas comienzan con 200.252 y 190.50, localizacion bs argentina, sino seria bloquear a Argentina.

Puedes intentar enviar un abuse complaint a abuse@TA.TELECOM.COM.AR , aunque no sé que tan en serio se lo tomen... la mayoría de ISPs domésticos no se lo toman en serio

No conozco mucho sobre el SAMP, pero.... sabes aprox cuantos paquetes por segundo envía el cliente al servidor? Eso puede ayudar a tunear el firewall para que rechace paquetes

aca hay mas evidencia de donde vienen los ataques, es una empresa muy grande.

http://img.fenixzone.net/i/ewim0uO.png

Como podria bloquear absolutamente todas las ips que empiezen en 200.251.... y las que empiezen en 190.50

Hola de nuevo estube investigando y las ips son de argentina buenos aires, la ubicacion exacta donde vive este sujeto y la empresa es telcel algo asi, como podria yo frenar esto podria bloquear las ips de argentina pero el tema que una buena cantidad de usuarios son de ahi y perderia mucho, y como puedes ver en menos de un segundo todo ese flodeo imaginate en 1h el log llego a pesar 7gb

http://img.fenixzone.net/i/PwWr0nb.png

Veamos.... Lo primero, y que cualquier abogado te recomendaría de buena fe es que no hagas acusaciones directas tan a la ligera... Si tienes evidencia que el ataque lo están lanzando desde servidores dentro de la red de OVH, puedes abrir un caso de abuse: https://www.ovh.com/us/abuse/ Pero ten en cuenta que vas a necesitar pasarles logs y/o capturas de tráfico en donde se evidencie que el tráfico proviene de servidores de OVH. Si los servidores de los cuales te están atacando están fuera de la red de OVH, también puedes intentar contactar a su ISP y enviarle la info, para que puedan advertirles, o suspender o terminar su servicio.

Otra posibilidad es que estén utilizando una botnet; en tal caso, no hay mucho que puedas hacer, ya que el ataque provendría de diferentes ISPs por todo el mundo.

En cuanto a qué hacer con tu servidor... Lo primero es que no utilices la función de firewall que tienes en el manager: simplemente, no es fiable. Implementa un buen firewall por software, o si prefieres algo mejor, contrata el firewall Cisco que SyS y OVH ofrecen, aunque es algo caro.

Sobre la premisa del firewall por software, hay varias cosas que se pueden hacer:

- Si encuentras una cantidad limitada de IPs de las cuales proviene el ataque, puedes bloquearlas directamente, y estar atento a futuros ataques para bloquear otras IPs que aparezcan
- Si tus usuarios se encuentran en ciertos ISPs, puedes habilitar las conexiones en el puerto necesario sólo para los rangos de IP de los ISPs en que se ubican tus usuarios. Puede ser algo tedioso, pero funcionaría de maravilla
- También puedes establecer un límite de ratio de conexiones, para evitar que desde una misma IP puedan abrir nuevas conexiones demasiado rápido

Buenas, cuento con un dedicado game de ovh, en el cual alojo mi servidor SAMP oviamente en el puerto 7777(ya abierto desde el panel ovh), pero hace dos dias que estoy recibiendo un ataque el cual flodea el log masivamente de IPs diferentes en 5m llega a pesar 3gb el LOG del flodeo masivo de IP y todas diferentes o diferente puerto y eso hace que el servidor no responda a los usuarios reales osea no les conecta a menos que abran la ip del dedicado en el navegador, una vez abierta intentan entrar y les conecta normalmente eso a que se debe? como podria crear una regla para parar ese flodeo masivo hace 3 dias y nada, o limitar las conexiones o algo para parar eso no se mucho de esto por eso pido ayuda, desde ya muchas gracias.

El que ataca es un cliente de aca de ovh el cual tiene un servidor de SAMP tambien mas conocido como Netzek - Osvaldo Pingote (ahora), el y su hermano Kanox dueños de fenixzone.com son los hdp que estan atacando.