<html>

  <head>

    <meta content="text/html; charset=ISO-8859-1"

      http-equiv="Content-Type">

  </head>

  <body bgcolor="#FFFFFF" text="#000000">

    <font size="-1"><font face="Verdana">Are you talking about being

        exploited as reflector or as being target of the attacks?<br>

        <br>

        If it's the first case one of our mostly exploited machines is

        being targeted with something like 10k pps: after filtering

        _ALL_ the malicious traffic the machine performance is not

        affected... we have seen way higher PPS rates against cod4 in

        the past...<br>

        What PPS rate are you getting? </font></font><font size="-1"><font

        face="Verdana">What are the machine specs?</font></font><br>

    <font size="-1"><font face="Verdana">Is it being affected due to the

        iptables rules or are malicious packets still leaking and

        reaching the gameservers ports?<br>

      </font></font><br>

    Il 25/10/2011 15:49, NewLight Systems ha scritto:

    <blockquote cite="mid:4EA6BE6C.4010805@newlightsystems.com"

      type="cite">

      <meta content="text/html; charset=ISO-8859-1"

        http-equiv="Content-Type">

      Same problems here, the problem is that even with iptables the

      incoming traffic is affecting the machine<br>

      <br>

      El 25/10/11 12:47, Marco Padovan escribi&oacute;:

      <blockquote cite="mid:4EA693C7.7060808@evcz.tk" type="cite">

        <meta content="text/html; charset=ISO-8859-1"

          http-equiv="Content-Type">

        <font size="-1"><font face="Verdana">I can confirm that since

            the day before yesterday I started to receive alerts from

            the firewall about cod2 attacks too.<br>

            <br>

            In the past (up to 3months ago) enemy territory was another

            heavily targeted game.<br>

          </font></font><br>

        Il 25/10/2011 12:43, Luca Farflame Fabbro ha scritto:

        <blockquote

          cite="mid:69568867-D96E-4570-9176-E0FD81DB7687@cybergames.it"

          type="cite">

          <pre wrap="">Hi Ryan

        in one of your previous messages you mentioned that this patch can be "ported" also to the other COD servers. Is there any plan to do this?

Now it seems that even if the server are less in number they target the COD2 servers to do the DDOS attacks. Don't have any COD server running so I don't know if also those are used as reflectors.

Just one simple question  regarding the patch fort the COD4 server.

If you leave the server up'n running for a certain period of time (no restart for 3 weeks let's say) it seems that when the  

sv_queryIgnoreMegs

limit is reached (our servers don't have a lot of players) the server starts to reply to the query with the spoofed IP's. A restart of the server solves the problem.

I know that it will be better to restart the server before that time but would it be a possible solution to flush the stored bad IP's and restart the check on the new incoming packets when the predefined memory is full or just before this happens (% or minimum sv-ignore free memory)? Usually the attackers use the server as a reflector only for a certain amount of time (form 1 hour or less to a maximum of 2 - 3 days) then a lot of time will pass before having the same IP used as destination of the DDOS attack. 

Regards

        Luca

_______________________________________________

cod mailing list

<a moz-do-not-send="true" class="moz-txt-link-abbreviated" href="mailto:cod@icculus.org">cod@icculus.org</a>

<a moz-do-not-send="true" class="moz-txt-link-freetext" href="http://icculus.org/mailman/listinfo/cod">http://icculus.org/mailman/listinfo/cod</a>

</pre>

        </blockquote>

        <br>

        <fieldset class="mimeAttachmentHeader"></fieldset>

        <br>

        <pre wrap="">_______________________________________________

cod mailing list

<a moz-do-not-send="true" class="moz-txt-link-abbreviated" href="mailto:cod@icculus.org">cod@icculus.org</a>

<a moz-do-not-send="true" class="moz-txt-link-freetext" href="http://icculus.org/mailman/listinfo/cod">http://icculus.org/mailman/listinfo/cod</a>

</pre>

      </blockquote>

      <br>

      <div class="moz-signature">-- <br>

        <meta http-equiv="Content-Type" content="text/html;

          charset=ISO-8859-1">

        <meta http-equiv="Content-Style-Type" content="text/css">

        <title></title>

        <meta name="Generator" content="Cocoa HTML Writer">

        <meta name="CocoaVersion" content="949.54">

        <style type="text/css">

    p.p1 {margin: 0.0px 0.0px 0.0px 0.0px; font: 12.0px Times; min-height: 14.0px}

    p.p2 {margin: 0.0px 0.0px 0.0px 0.0px; font: 12.0px Courier; color: #2e3bfb}

    p.p3 {margin: 0.0px 0.0px 0.0px 0.0px; font: 12.0px Courier}

    p.p4 {margin: 0.0px 0.0px 0.0px 0.0px; font: 12.0px Courier; min-height: 14.0px}

    p.p5 {margin: 0.0px 0.0px 0.0px 0.0px; font: 12.0px Courier; color: #0018ea}

    p.p6 {margin: 0.0px 0.0px 0.0px 0.0px; font: 12.0px Times}

    span.s1 {text-decoration: underline}

  </style>

        <p class="p1"><br>

        </p>

        <p class="p2"><b>David Aguilar Valero</b></p>

        <p class="p3">Dpto. Comercial y Soporte t&eacute;cnico</p>

        <p class="p3">NewLight Systems</p>

        <p class="p2"><b>Servidores de juegos, HW, Dedicados</b></p>

        <p class="p4"><br>

        </p>

        <p class="p5"><span class="s1"><a moz-do-not-send="true"

              href="mailto:c"><b>crk01@nls.es</b></a></span></p>

        <p class="p5"><span class="s1"><a moz-do-not-send="true"

              href="mailto:crk01@newlightsystems.com">crk01@newlightsystems.com</a></span></p>

        <p class="p5"><span class="s1"><a moz-do-not-send="true"

              href="mailto:tecnico@newlightsystems.com">tecnico@newlightsystems.com</a></span></p>

        <p class="p3">#NewLight_Systems @ irc-hispano.org</p>

        <p class="p5"><span class="s1"><a moz-do-not-send="true"

              href="http://www.newlightsystems.com/"><b>www.newlightsystems.com</b></a></span></p>

        <p class="p5"><span class="s1"><a moz-do-not-send="true"

              href="http://www.nls.es/"><b>www.nls.es</b></a></span></p>

        <p class="p6">This email and any files or attachments

          transmitted with it are intended solely for the use of the

          intended recipient. This email is confidential and may contain

          legally privileged information. If you are not the intended

          recipient you should not read, disseminate, distribute, or

          copy this email. If you have received this email in error,

          please notify the sender immediately and delete it from your

          system.</p>

      </div>

      <br>

      <fieldset class="mimeAttachmentHeader"></fieldset>

      <br>

      <pre wrap="">_______________________________________________

cod mailing list

<a class="moz-txt-link-abbreviated" href="mailto:cod@icculus.org">cod@icculus.org</a>

<a class="moz-txt-link-freetext" href="http://icculus.org/mailman/listinfo/cod">http://icculus.org/mailman/listinfo/cod</a>

</pre>

    </blockquote>

  </body>

</html>