Jump to content
Local
MazaXaka

Атака дос чи не дос по певному порту

Recommended Posts

Добрий вечір форумчанам, є питання яке час від часу мучить сервер і не дає клієнтам бути щасливими.

 

Сервер на freebsd + ubilling на борту, NAS тут же, інколи (раз в пів року або декілька разів на тиждень) "вішається" ну в сенсі не з кінцями, а до того моменту поки з нього не відключити інтернет.

Відповідно коли таке стається фаєрволом блокуємо діапазон портів, який звужуємо методом виключення, або при можливості ідентифікуємо порт через trafshow 2018-10-18_205403.png.c5f6fcc7a8a81ba176ff232a2c111ebf.png

наприклад в цьому випадку заблокували 61855 сервер ожив, життя прекрасне.

 

Так от питання хто і як з цим бореться? Настройка BSD чи вище стоячого маршрутизатора/комутатора ?

Share this post


Link to post
Share on other sites

Покажи правило ipfw объявления номера ната.

Share this post


Link to post
Share on other sites
46 минут назад, MazaXaka сказал:

Добрий вечір форумчанам, є питання яке час від часу мучить сервер і не дає клієнтам бути щасливими.

 

Сервер на freebsd + ubilling на борту, NAS тут же, інколи (раз в пів року або декілька разів на тиждень) "вішається" ну в сенсі не з кінцями, а до того моменту поки з нього не відключити інтернет.

Відповідно коли таке стається фаєрволом блокуємо діапазон портів, який звужуємо методом виключення, або при можливості ідентифікуємо порт через trafshow 2018-10-18_205403.png.c5f6fcc7a8a81ba176ff232a2c111ebf.png

наприклад в цьому випадку заблокували 61855 сервер ожив, життя прекрасне.

 

Так от питання хто і як з цим бореться? Настройка BSD чи вище стоячого маршрутизатора/комутатора ?

deny_in ищите темы на форуме не раз обсуждали.

Share this post


Link to post
Share on other sites
30 минут назад, pavlabor сказал:

Покажи правило ipfw объявления номера ната.

nat 11 config log ip 2.2.2.2 reset same_ports

якось  так..

потім table 80 add 2.2.2.2 11

ну і add 5551 nat tablearg ip from any to table\(80\) via ${WAN_IF} in

Share this post


Link to post
Share on other sites

за deny_in не знав не чув, прочитав темку

буду пробувати.. дякую за напрямок)

Share this post


Link to post
Share on other sites
15 минут назад, MazaXaka сказал:

nat 11 config log ip 2.2.2.2 reset same_ports

измени на

nat 11 config log ip 2.2.2.2 reset same_ports deny_in

и будет счастье твоим клиентам

Share this post


Link to post
Share on other sites

Т.е. BSD настолько рогатое из коробки что по умолчанию не дропает чужие пакеты?)))

Share this post


Link to post
Share on other sites
15 минут назад, KaYot сказал:

Т.е. BSD настолько рогатое из коробки что по умолчанию не дропает чужие пакеты?)))

А здесь подробнее, пжл

Что значит дропает чужие?

Share this post


Link to post
Share on other sites
10 минут назад, Kiano сказал:

А здесь подробнее, пжл

Что значит дропает чужие?

Дропать трафик который пришел на нат ипишки, которого нет в таблице стейтов.

Но нихера, линукс тоже не дропает если ничего не делать.

Share this post


Link to post
Share on other sites
26 минут назад, l1ght сказал:

Дропать трафик который пришел на нат ипишки, которого нет в таблице стейтов.

Но нихера, линукс тоже не дропает если ничего не делать.

Дык, для того, чтобы понять, нужен этот трафик или нет, его в любом случае нужно анализировать

Share this post


Link to post
Share on other sites
8 часов назад, l1ght сказал:

Дропать трафик который пришел на нат ипишки, которого нет в таблице стейтов.

Но нихера, линукс тоже не дропает если ничего не делать.

Это случаем не то самое, что в микротиках зовётся connection state = invalid?

Сколько раз читал, там настоятельно советуют в фаерволе запрещать эти инвалиды везде на всех интерфейсах.

Но получается 2 лишних правила, да и без этих правил работает вроде как нормально.

Share this post


Link to post
Share on other sites
3 часа назад, Туйон сказал:

Это случаем не то самое, что в микротиках зовётся connection state = invalid?

Сколько раз читал, там настоятельно советуют в фаерволе запрещать эти инвалиды везде на всех интерфейсах.

Но получается 2 лишних правила, да и без этих правил работает вроде как нормально.

Ну вот пусть Кайот отвечает, это он вброс сделал)))

Share this post


Link to post
Share on other sites

Кайот не по микротикам :)

Share this post


Link to post
Share on other sites
2 минуты назад, Dimkers сказал:

Кайот не по микротикам :)

А это общее поведение линукс систем.

Share this post


Link to post
Share on other sites
16 часов назад, pavlabor сказал:

nat 11 config log ip 2.2.2.2 reset deny_in

 

так же стоит убрать same_ports

Детали тут: http://www.major12.net/2014/05/high-cpu-load-with-freebsd-ipfw-nat.html

 

еще одно слабое место ipfw nat это redirect_address - если есть хотя-бы сотня таких трансляций и кто-то запустит интенсивное сканирование на этот диапазон, то 100% CPU гарантирован :(

Share this post


Link to post
Share on other sites

Когда поставишь deny_in - не забудь выше прописать разрешающие правила для доступа к серверу, если у тебя один айпи

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Recently Browsing   0 members

    No registered users viewing this page.

  • Similar Content

    • By Impulsee
      День добрый!
      Есть Связка Ubilling+NAS на freebsd. 
      Настроена на Виртуалке VMware. 
      Без VLAN все работает идеально. Трафик бегает, IP раздается, Денюжка зачисляется и т.д.
      Появилась потребность поднять 3 VLAN на локальном интерфейсе для Абонов. 
      Сделал: /etc/rc.conf
       
      Вывод /etc/firewall.conf 
       
       
      Сети, шаблоны NAS, в биллинге прописал. Абоны IP получают через VLAN. Интернет есть....
       
      НО:
       
      При отрицательном балансе на em1 все отключается мгновенно, и отправляет в кабинет. 
      А на VLAN сетях Интернет есть. 
       
      Кусок /var/stargazer/allconnect.log

       
      кусок /var/log/stargazer.log
       
       
      Подскажите, плиз, в какую сторону копать?
       
    • By Туйон
      Нужны комментарии по поводу настройки фаервола.
      Настраиваю очередной интернет-шлюз под заказчика, пользователей около 100, включение/выключение руками (через ip - firewall - address list).
      Пробовал разные варианты, и придумал вот что:
       
      /ip firewall filter add action=drop chain=input connection-state=invalid #блокирует некорректные соединения на вход add action=drop chain=forward connection-state=invalid #блокирует некорректные соединения на транзит add action=accept chain=input src-address-list=Client #разрешает входящие соединения для пользователей, если ip активен в адрес-листе add action=accept chain=forward src-address-list=Client #разрешает транзитные соединения для пользователей, если ip активен в адрес-листе add action=accept chain=input protocol=icmp #разрешает входящий ICMP для всех add action=drop chain=input connection-state=new #запрет для всех входяших новых соединений, которые не попадают в вышестоящие правила add action=drop chain=forward connection-state=new #запрет для всех транзитных новых соединений, которые не попадают в вышестоящие правила И вроде бы всё работает. Из интернета пинг на шлюз есть, доступа на порты нет, инет для активных ай-пи в адрес-листе работает.
      Однако, поразмыслив с коллегами, пришли к сомнениям.
      1. Нужны ли первые два правила для резки неких инвалидных соединений? Мне предлагают их выбросить вообще, мол, на работу не влияют, больше для красоты и верности.
      2. Моя логика с чередованием input/forward кривая, мол, нужно сначала прописать все intup, потом все forward. Я так пробовал. Визуально начинают дольше грузиться странички. Или же это из-за перестройки и нужно сначала ребутнуть роутер?
      3. Нужно в разрешающих правилах разрешать не всё, а только established и related, а в нижних правилах рубить всё, а не только new.
      Вот я и задумался.
       
      Как бы посоветовали вы?
    • By pavlabor
      В 2019 году продолжаются DDoS-атаки с использованием протокола LDAP: в этот раз на сайт Qiwi
      В четверг, 24 января, мы наблюдали атаку 212,5 Gbps (гигабит в секунду) / ~10 Mpps (миллионов пакетов в секунду) в пике, комбинировавшую векторы старого доброго SYN-флуда и достаточно редкой LDAP-амплификации с фрагментами.

    • By hailnora
      Продам сабж.
      CISCO ASA 5520 без модулей расширения. Залит последний софт и asdm

      Характеристики:
      1U / память 512Mb RAM (2 планки) / 256Mb CompactFlash / 4x Ethernet 1Gbit / 1 mgmt / 2x USB / 1x SSM / 1x Compact Flash / console / AUX
      Производительность: http://nhprice.com/cisco-asa-5500-specs-features-and-model-comparisons.html
      Уши для крепления в стойку - есть.
      ш/в/г: 20.04 x 36.20 x 4.45
      установленная лицензия: unlimited
      Дам гарантию на проверку.
      Уедет Новой Почтой по Украине.

       
      Цена: 5000 uah
       
       
      0бб-5l3-93-22 Алексей
       

       
       
    • By Baneff
      Всем привет.
      Давно использую freebsd + ipfw + dummynet + kernel nat + ещё куча всякого разного и всё на одном серваке. Менять платформу не хочу - старый я уже для этого. Так вот. Нагрузка постепенно растёт, пора как-бы железо менять в очередной раз, но есть проблема. Всё в этой схеме прекрасно параллелится на мультиядерной системе. Всё, кроме старичка DUMMYNET. В очередной раз смотрю на процесс kernel{dummynet} и в очередной раз вижу конкретное узкое место во всй системе. Обойти невозможно, работает только в один поток и когда загрузка превышает 80-90% начинаются естественные проблемы. Все остальное работает с большим запасом по нагрузке. Вот и вопрос: как-то эту проблему удаётся решать? Чем шейпить юзеров, если не дамминетом? Или может появилась возможность как-то его параллелить? Или, возможно, какие-то новые методы позволяют как-то снизить нагрузку на дамминет? В документации появились некие новые варианты настроек CoDel, PIE, FQ-CoDel и FQ-PIE в дополнение к старым, может они помогут? Кто-то пробовал?
      Спасибо.
×