CS Validation module for iptables

Fire

Команда форума
Администратор
Регистрация
12 Сен 2017
Сообщения
40
Симпатии
38
#1
Будет кому-то интересен модуль для iptables'a, который пропускает только валидный трафик?
Блочатся некоторые виды Tsource флуда, рандом атак, различных флудеров типа LOIC, CS Flooder и т.д. Т.е весь не игровой трафик будет дропаться. Нагрузка такая-же как от обычных правил фаервола, все работает на уровне ядра системы. От забития канала он не спасет, конечно, но в пределах атак канала будет работать.
Модуль предполагается платным, но цена небольшая.
 

neygomon

Его Темнейшество :j
Заблокированные
Пользователь
Регистрация
8 Июн 2017
Сообщения
806
Симпатии
374
Пол
Мужской
#2
Fire, мне интересно в условиях игрового хостинга.
если возможна такая продажа, то в телегу постучи
 

Fire

Команда форума
Администратор
Регистрация
12 Сен 2017
Сообщения
40
Симпатии
38
#3
Предполагается 2 версии, для серверо держателей и игрохостов.
Подробности будут чуть позже, идет допил и тестирование модуля.
 

Fire

Команда форума
Администратор
Регистрация
12 Сен 2017
Сообщения
40
Симпатии
38
#4
Пилим подключаемый лимит на тсурс флуд, который имеет вид полностью валидного. В случае необходимости, его можно лимитировать что-бы сам сервер не лег, да, он будет недоступен в избранном в момент атаки, но сам сервер работать будет. Если у вас доп. средства фильтрации или прокси-софт для таких дел, лимит можно будет отключать.
 

fantom

Пользователь
Регистрация
11 Июн 2017
Сообщения
164
Симпатии
69
Пол
Мужской
#5
Озвучте приблизительную цену. А также интересует вид поставки конечному пользователю. Это будет отдельным ПО, баш или просто кфг с правилами iptables?
 

Fire

Команда форума
Администратор
Регистрация
12 Сен 2017
Сообщения
40
Симпатии
38
#6
Я уже написал выше, что это будет полноценный модуль, вернее их 2.
Один загружается в ядро через insmod xt_cs.ko, другой ложится в директорию фаервола (.so)
Предполагаемая цена за стандарт версию (до 5 серверов под фильтрацией) 1000р, для хостингов - с ограничением в 30-40 серверов 2500.
 

Fire

Команда форума
Администратор
Регистрация
12 Сен 2017
Сообщения
40
Симпатии
38
#7
Вобщем, сейчас чутка потестили модуль.
1) Наливал полный рандом (рандом размер пакета, рандом порты, рандом пэйлод (data) пакета, вобшем везде рандом) под 900мбит.
Скрины:
1) Нормальное состояние, без флуда (смотрим нагрузку)


При атаке:


Как видим, нагрузка не изменилась. 400к pps | 835mbps ( в пиках было 920)
На самом сервер все было ок:

Трафик чуть меньше чем за минуту флуда:


2) VSE. Он-же тсурс флуд, он же query-флуд, он же a2s_info, вобщем, то, в каком он виде идет со стресс-панелек.
Выжать получилось поменьше в мбитах (маленький размер пакетов), но поболее в pps
Почти 400мбит и 750k pps


Правила (предварительно сброшены счетчики были)


При этом сервер прекрасно отображался в избранном у меня и у других.

Нагрузка на тачку:

Не изменилась.
Тазик обычный E3-1270

Вобщем, как-то так.
Пока модуль еще в процессе допила, фиксятся другие типы атак, актуальные для кс. Но уже скоро ;)

ps\\ сори, чет спойлер не найду никак.
 

SFGMobile

Постоялец
Регистрация
8 Июн 2017
Сообщения
203
Симпатии
72
Пол
Мужской
#8
Интересная тема, ещё бы добавили, где можно "собственными ручками потрогать", так сказать потестировать...
 

Fire

Команда форума
Администратор
Регистрация
12 Сен 2017
Сообщения
40
Симпатии
38
#9
Пока нигде. Свободных ресурсов с 10гбит линком нету пока, как с 1гбитом.
 

argotel

Пользователь
Регистрация
17 Июн 2017
Сообщения
75
Симпатии
14
#10
Fire, ни для кого не секрет что iptables не способен на любой машине переварить более 4 миллионов pps (особенность реализации)
в связи с этим хочется узнать. А есть ли у тебя возможность реализовать данный функционал на базе фреймворка DPDK и/или PF_RING (ванила) или NETMAP ?
да, цель получить с одной машинки до 20-40G
на DPDK есть шанс снять лайнрейт с 40G интерфейса (их есть у нас)
 

Fire

Команда форума
Администратор
Регистрация
12 Сен 2017
Сообщения
40
Симпатии
38
#11
На pf_ring_zc если только, в будущем. Сроков назвать не могу, есть более приоритетные задачи.