[Løst] DDoS på port 25565, mulig å beskytte alle porter?

[Anzure]

Jeg tror jeg blir ddoset på porten 25565. Er det mulig å få en type beskyttelse for alle portene? Har hørt om cloudflare, men jeg tror den bare beskytter port 80/433. Hva anbefales, og hva er enklest?

 

 

 

OS: Windows Server 2008 R2 Standard (64-bit)

[Rudde]

Lukk portene, da er du ganske beskytta.

[Anzure]

Da kan jeg ikke har serveren min på, og det må jeg

[myhken]

Du spiller Minecraft da regner jeg med? Mange rutere har DDoS beskyttelse innebygd, men vet ikke hvor effektivt det er i det virkelige liv.

Bruker du fast IP eller dynamisk, og/eller har du satt opp et domenenavn mot IP adressen din?

Kanskje mulig å endre noe av dette for å få DDoS angrepet til å stoppe opp.

 

I webhosting bransjen nulrouter de IP adressen ved store DDoS angrep. Men har du kun en IP adressen (som de fleste har) så er ikke det noe løsning.

[Anzure]

Ja, det er en Minecraft server. Jeg har satt ett domenenavn opp mot min IP adresse. Jeg har Altibox Fibernett 60/60mit. Altså, jeg har fint internett selv, men det tar unormalt lang tid for brukere å koble til, men jeg, jeg kan koble til raskt fordi jeg kobler til via lokalnettet.

Endret 3. april 2013 av waremanu

[myhken]

Om det er et DDoS angrep mot deg, ville du jo merket det på internet hastigheten din. Har du sjekket med f.eks Nettfart.no osv for å se om hastigheten din er nær eller lik 60/60 mbit?

Og så skal du jo kunne sjekke nettrafikk til serveren din, så vidt jeg skjønner har du en Windows 2008 server? I oppgavebehandling og under Nettverk kan du se hvor stor trafikken er på nettkortet ditt.

Er det et DDoS angrep vil jo 60 mbit bli spist opp lett, til og med når det er snakk om et lite angrep.

 

Sjekk disse tingene og rapporter tilbake. Er jo ikke sikkert det er noe DDoS angrep, men at det er noen innstillinger ett eller annet sted.

 

PS! Hvordan har du satt opp domenet ditt? Bruker du noen form for DNS tjeneste, og/eller har du en fast IP eller en dynamisk IP fra internet leverandøren din?

[Anzure]

Folk fra USA, Australia, Cuba, Romania prøver å koble til serveren hele tiden (sporte opp IPen..), serveren min er bare norsk. Dette må nesten være DDoS. Jeg har testet litt ut, de prøver bare å koble til via port 25565

[myhken]

Igjen, hvor mye trafikk opplever du på serveren din og på internett linjen din? Som nevnt over er det lett å se hvor mye trafikk som brukes på en windows Server 2008 R2 server, og også nokså enkelt å teste internet linjen.

Et DDoS angrep fungerer jo ved at hundre og tusenvis av maskiner kobler seg på serveren din, noe som genererer veldig mye datatrafikk, så mye at linjen vil gå i stå.

 

At folk fra andre land kobler seg på en server er jo ikke unormalt så lenge du har offentlig domene navn som sikkert du har delt på ymse forum osv tilknyttet spillet?

[Anzure]

Dette virker som er unaturlig DDoS, fordi det er ca 10-20 folk som prøver å koble til port 25565. Det plager porten 25565, men ikke annet. Port 25565 bruker clientene mine for å koble til, da går pingen og innloggingen ekstremt tregt. Er det noen måte å fikse dette? Pingen er altså så treg at det står serveren er av, ofte. Dette påvirker ingenting annet enn port 25565 merklig nokk.

[ForumParse]

Hva med å bytte port? Regner med du spiller med kompiser, og at serveren ikke er public/åpen for alle, slik du lett kan formidle endringene.

 

Mange vil sikkert si dette er upraktisk og tungvindt, det skal jeg være enig i, men de tjenestene jeg setter opp for meg selv og "nærmeste krets" bytter jeg standard port på, _uansett_.

Endret 5. april 2013 av ForumParse

[Anzure]

Det vil ikke fungere så bra å bytte port, da må de 7000 brukerene mine skrive en annen IP (altså med kolon etter), uansett da kunne de som DDoS-et bytte port.

[radivx]

Dersom det er en begrenset liste over maskiner som lager problemer, kan du forsøke å konfigurere Windows brannmuren til å droppe connections fra disse maskinene (se screenhost). Da slipper du at Minecraft bruker ressurser på fake tilkoblinger.

 

Alternativet er jo selvsagt å benytte en dedikert firewall (maskin eller fysisk boks). Ved store angrep må nok nettleverandør kobles inn, og adresser omroutes, som det ble nevnt i poster over.

[myhken]

Jeg er fortsatt nysjerrig på hva internet bruken din er på til vanlig. Du sier du har 7000 brukere og du har kun en linje på 60 mbit?

Nå vet jeg ikke hva Minecraft bruker av ressurser, men uansett høres det sykt mye ut med 7000 brukere på en slik linje.

Ville vel tro at det ikke er nødvendig med noe DDoS angrep for å få ting til å gå i sirup hos deg.

[Anzure]

https://dl.dropbox.c...ddos%20logg.txt

 

Der kan dere se det er ekstremt mange folk som prøver å koble til, midt på natten. Altså, DDoS-en påvirker ikke selve nettet, men port 25565 (når man pinger Minecraft-serveren). Før vi ble DDoS-et hadde vi ingen ploblemer med på pinge serveren, nå kommer det "can't reach server", ofte og innloggingene er trege.

Endret 7. april 2013 av waremanu

[myhken]

Får håpe noen andre her på forumet kan hjelpe deg, for jeg skjønner fortsatt ikke hvordan du kan bli DDoSet. Jeg har drevet med webhosting i veldig mange år nå, har f.eks 13 aktive webservere rundt om kring i verden for øyeblikket.

De få gangene jeg har blitt utsatt for DDoS angrep har det ikke spilt noen rolle på hvilken port de angriper. Resultatet er uansett det samme, massiv båndbredde bruk som gjør slik at internet linjen går i stå.

 

Derfor kan jeg ikke forstå hvordan det er mulig å kun stoppe den aktuelle porten, uten at noen annet blir påvirket. Om noen virkelig hadde utsatt deg for et DDoS angrep så ville angrepet ha påvirket båndbredden din.

 

Du sier at båndbredden din er fin (det betyr at om du kjører en test som nettfart.no eller speedtest.net osv, så får du et resultat enten max eller nær av dine 60 mbit? Kan du bekrefte dette?

 

Hvordan er ping ut fra internet hos deg? Om du f.eks kjører nettfart.no eller speedtest.net ser du jo ping tiden til nærmeste server. Burde ligge på max 10-20 ms om du ikke bor langt pokker i vold.

Kan du bekrefte dette?

 

Og jeg spør igjen til det kjedsommlige, kan du vise noe som helst statistikk på hvor mye båndbredde serveren din bruker til vanlig? Kan ikke skjønne noe annet enn at 7000 brukere MÅ bruke noe vannvittig med båndbredde.

 

Som nevnt over, og flere ganger før i denne tråden, ut i fra min kunnskap om DDoS angrep, så blir du ikke utsatt for et slik angrep, om ikke båndbredden din blir spist opp. Massivt missbruk av en port vil resultere i båndbredde tap.

 

Siste tips er at du kanskje vil få mer hjelp enten på et dedikert Minecraft forum, eller på webhostingtalk.com under VPS hosting, fordi du har jo i prinsippet en virtuell pc.

[radivx]

Er nok kids som DDoS'er med Minecraft DoS tools ala.

http://www.youtube.com/watch?v=CgVYJ5UgqFA

De lager altså connections til minecraft og lar med vilje være å svare.

 

Hvis man teller linjene:

 

grep -Eo '[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}' ddos\ logg.txt 
| sort | uniq | wc -l

 

returneres 997 unike linjer (se vedlagt.txt).

 

Ville bare plugget disse inn i windows brannmuren så MineCraft ikke trenger å ta seg av kødderequestene. Bruk avansert modus, se screenshottet mitt i forrige post.

 

Verdt et forsøk i alle fall.

Endret 7. april 2013 av radivx

[myhken]

Men igjen, et slikt angrep vil jo gjøre serveren helt utilgjengelig. (som vist i videoen) og jeg opprettholder fortsatt påstanden min om at dette vil gå utover båndbredden. Tar jeg virkelig så feil?

Greier ikke å se forskjellen på et DDoS angrep på en Minecraft server og et DDoS angrep på en Webserver.

[radivx]

Tror kanskje ikke det er nok boter til å ta ned router, etc, så kan være begresningen ligger i net-kode hos Minecraft. Men ville forundre meg om ikke CPU er påvirket i såfall.

 

Hvis serveren ikke går ned er det vel bare å dra opp Wireshark og se hva de egentlig prøver på.

[Anzure]

Jeg har på samme nett som serveren, nettet fungerer fint. Pingen er heller ikke unormalt lav (~30). Det er også bare port 25565 som er treg (prøvde å bytte server-porten til 25566 i noen minutter for testing, det var ingen ploblemer med å logge inn da).

 

CPU-en er lavere, og alt virker mer tregt. Når jeg kobler til via lokal ip-adresse tar det to sekunder å logge på serveren, normalt tar det mye lengre tid og enkelte ganger er det håpløst å prøve å logge på eller pinge.

 

Det virker som det er de samme IP-adressene som DoS-er serveren, jeg skal prøve å blokkere de i Windows-brannmuren.

 

 

EDIT:

se gjerne denne

http://youtu.be/7nkzjcx9Yos

Endret 12. april 2013 av waremanu

[Anzure]

Hvordan blokkerer jeg DOS i windows firewall? Feks, jeg vil blokkere ALL informasjon fra en IP-adresse.