Buenas mi nombre es Alejandro.
Tengo un servidor Linux (dedicado) en Canada en la empresa iweb y uso CENTOS.


Bueno, alojo varios servidores de SA:MP y pasa lo siguiente: (SA:MP un juego online)
SA:MP tiene un query que manda X información al usuario antes de entrar al servidor...

Intentare explicarlo de la forma mas fácil de comprender.
Ese query da 50 respuestas cada segundo, si le piden más de 50 personas (conexiones) cada segundo la información ese query deja de funcionar y deja de enviar la información del servidor al usuario, el servidor no se bloquea sigue funcionando y la gente puede seguir jugando pero el problema es que desde fuera (sin entrar al servidor) el servidor parece como caído, apagado.
He intentado de varias maneras intentar filtrar ese ataque. Soy consciente que es algún tipo de botnet externo creado en php que está mandando peticiones de información constantemente desde varias IP´s.
Me gustaría saber como ver a tiempo real las direcciones IP que están siquiera entrando al dedicado, es decir, IP que solicite información, IP que entre a una web alojada, todo, ¿existe forma de verlo?

Que he hecho hasta ahora:
Lo que hice principalmente fue esto:

iptables --new-chain BLACKLISTADD
iptables --append BLACKLISTADD --match recent --name BLACKLIST --set --jump DROP
iptables --append INPUT --match recent --name BLACKLIST --rcheck --seconds 300 --jump DROP
iptables --append INPUT --match recent --name BLACKLIST --remove
iptables --append INPUT --protocol udp --dport 7777 --in-interface eth0 --match state --state NEW --match recent --name BLOCK --set
iptables --append INPUT --protocol udp --dport 7777 --in-interface eth0 --match state --state NEW --match recent --update --seconds 1 --hitcount 3 --name BLOCK --jump BLACKLISTADD



Puse que en el puerto UDP 7777 ( es por donde sale el query de SA:MP y el servidor) se hace tres peticiones en un segundo bloquee dicha IP, el problema es que no surge efecto alguno.
Mi temor es que no pueda filtrar el trafico de un usuario normal a un bot... y realmente me va a joder mucho, he cambiado de IP, puerto millones de veces y claro.. no son tontos los que me están atacando y por lo tanto tardan horas inclusive minutos en atacarme nuevamente.


Soluciones para monitorizar ese trafico, detalladamente es decir IP exacta. A tener en cuenta que juega gente de paises distintos: Perú, Chile, Argentina, Ecuador, Colombia, Paraguay, Uruguay, EEUU, España...

Me gustaría que me pudieran aconsejar algo.


Saludos y gracias.

No se si sera un ataque tal vez sea mala configuración .. de todos modos hay muchas herramientas para empezar a indagar

en google

comentanos

iptables no se usa mas para seguridad, jajaja

iptables es un modulo del Kernel de Linux por lo que cualquier aplicación que trabaje sobre puertos trabaja sobre iptables...

no entiendo a que te refieres con que no se usa mas para seguridad......

Busca información sobre connlimit.

Ejemplo:

iptables -A INPUT -p tcp --syn --dport 7777 -m connlimit --connlimit-above 10 -j REJECT --reject-with tcp-reset

Limitaría las conexiones a 10 por ip. No conozco el juego, no sé cuántas conexiones utiliza normalmente por ip. (conexión no es lo mismo que petición).

Y algo así ralentizaría a quien envíe demasiadas peticiones simultáneas:

iptables -I INPUT -p tcp --dport 7777 -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport 7777 -m state --state NEW -m recent --update --seconds 5 --hitcount 3 -j DROP

Dándole un delay de 5 segundos (que se pueden aumentar, claro) luego de la tercera petición fallida.

Hay más posibilidades, pero te dejo buscarlas. Un ejemplo.

En cuanto a ver las conexiones en "tiempo real", existe iptraf. Pero también deberás aprender a leerlo.