¿Cómo evitar el ataque DDoS de la "Consulta del motor de origen"?

3

Recientemente empecé una compañía de alojamiento de juegos y una de mis cajas está siendo muy afectada por lo que creo que es una red de bots. Estamos recibiendo miles de direcciones IP que envían tráfico a un puerto donde se encuentra un servidor de juegos.

En total, hubo 2,613,561 paquetes enviados desde más de 40,000 direcciones IP diferentes de acuerdo con Wireshark. Alquilé cajas a OVH, y claramente su mitigación de DDoS parece no tener ningún efecto en este ataque ya que se prolongó durante más de dos horas.

Después de inspeccionar los paquetes con Wireshark, descubrí que la mayoría de ellos están dirigidos al puerto 27115 (donde se encuentra el servidor del juego) y contienen "TSource Engine Query" en los datos:

Puedo proporcionar el archivo de captura de wirehark si es necesario. Logré capturar paquetes durante la mayor parte de la duración del ataque.

¿Qué puedo hacer para prevenir este tipo de ataque en el futuro?

    
pregunta Jack 29.08.2017 - 03:05
fuente

4 respuestas

1

Parece que el motor del juego que está utilizando (que no especificó) puede estar utilizando UDP y no TCP, por lo que la instalación habitual Fail2Ban y mod_security (escucha en el puerto 27115) luego escribe un filtro mod_security para activar las problemáticas "Consultas del motor de TSource" solicita si puedes ... Probablemente no funcionaría aquí.

Dicho esto, fácilmente podrías hacer casi lo mismo usando Snort y Fail2Ban

También puedes hacer otras cosas:

Vea si las direcciones IP están asociadas con un número de AS de BGP, país, ISP o posiblemente con nodos de salida Tor (se pueden bloquear).

Si los sistemas que procesan estas solicitudes específicas se pueden aislar en un conjunto separado de computadoras, de modo que otros servicios no se vean afectados cuando esto vuelva a suceder, hágalo.

Realice ajustes de rendimiento preventivos en sus sistemas para que se manejen bien bajo carga. Identifique los cuellos de botella clave e inserte lo más posible en la RAM, incluida su base de datos.

Mire más de cerca los paquetes y vea si hay características únicas sobre los clientes que realizan estas solicitudes que podrían permitir un bloqueo más fácil y seguro.

Algunas herramientas anti-DDoS solo funcionan para protocolos específicos (TCP y no UDP) y / o solo para ciertos puertos (80/443), asegúrese de entender cómo funcionan y no funcionan. Puede que no sea culpa de su ISP, sino simplemente el caso de que la herramienta que tienen solo ayuda si se trata de un sitio web o un servicio que se ejecuta en TCP.

¿Los clientes normales se conectan con una solicitud específica antes de realizar solicitudes adicionales? Si es así, puede usar una cookie del lado del servidor (o al menos aprovechar esa acción equivalente) para autenticar el tipo de usuario antes de permitir que se realicen ciertos tipos de consultas y bloquear todos los demás (piense: ¿es esto un "humano o cliente válido "cookie).

Si hay algún componente web inicial y es una opción, use una herramienta como reCaptcha cuando los usuarios llegan inicialmente a El sitio para verificar que no son parte de los robots atacantes.

Las mejores soluciones requerirán más arquitectura de seguridad, pero estos son buenos lugares para comenzar. Snort combinado con Fail2Ban e IPTables puede ser su mejor opción para una solución rápida por ahora.

    
respondido por el Trey Blalock 29.08.2017 - 03:43
fuente
1

Aunque no he encontrado tales ataques cuando ejecuto servidores de juegos, siempre tuve control sobre la casilla en la que los estaba ejecutando.

En su caso, está siendo inundado por solicitudes A2S_INFO , y según US-CERT, este tipo de ataque se amplifica en aproximadamente 5,5x que de una consulta y respuesta "estándar" para información sobre UDP.

La seguridad de la información trata ampliamente con gestión de riesgos . Como consideraremos este ataque como un riesgo, hay tres opciones para tomar (o combinar):

Puedes mitigar :

  • Use un IPS o firewall para hacer un agujero negro / desviar los paquetes por volumen de solicitudes.
  • Ignore las solicitudes de ciertas direcciones IP (limitado en comparación con el tráfico legítimo).
  • Almacene en caché las solicitudes y responda a las nuevas con una versión en caché.

Puedes transferir :

  • Notifique a su proveedor de servicios que necesita una mitigación DoS especializada.
  • Transfiera a un servicio que comprenda que necesita mitigación del tráfico UDP.

Puedes aceptar :

  • Si bien no es una respuesta que quizás desee escuchar, es válida solo si pierde poco con el tiempo de inactividad.

Lecturas adicionales:

enlace

enlace

enlace

    
respondido por el dark_st3alth 28.09.2017 - 22:18
fuente
1

Probablemente debería contratar un servicio profesional de protección de DDos, como CloudFlare o Akamai DDoS Protection.

Además, puede intentar determinar el servidor C2 del atacante. Si bien esto parece ser un ataque de amplificación UDP, que utiliza paquetes falsificados, lo que dificulta la identificación de la fuente, a veces, los atacantes usan el servidor para enviar paquetes también. A menudo harán ping a su servidor para determinar si está desconectado. Una vez que tenga la IP del servidor de ese atacante, puede denunciar el abuso o lanzar su propio ataque DDos para desconectarlo y, por lo tanto, evitar el ataque. Combatir el fuego con el fuego ... Por supuesto, primero debe verificar la legalidad, no es un consejo legal ...

enlace

    
respondido por el Daniel Grover 28.09.2017 - 16:21
fuente
0

Escribí una solución simple para el ataque DDoS de mitigación en Source Engine

  1. Extraiga el paquete del flujo de datos cambiando el puerto dst a personalizado.
  2. El servidor proxy escucha este puerto personalizado y responde al cliente
  3. Cambiar el puerto de respuesta al puerto del servidor de juegos y el cliente verá una respuesta como la del servidor original

Para los artículos 1 y 3, uso el módulo del kernel de Linux y publiqué la versión simplificada (prueba de concepto): enlace

Puede usarlo para la protección de sus servidores.

Pero necesitas alguna aplicación del artículo 2. La aplicación debe actualizar los cachés (con las respuestas del servidor de juegos) Puede recopilar algunas estadísticas o aplicar estadísticas para determinar las DDoS y bloquear el tráfico no válido

Puede leer más sobre esta solución en el enlace de arriba

    
respondido por el John Anderson 30.01.2018 - 17:51
fuente

Lea otras preguntas en las etiquetas