Перейти к содержимому
Local
MazaXaka

Атака дос чи не дос по певному порту

Рекомендованные сообщения

Добрий вечір форумчанам, є питання яке час від часу мучить сервер і не дає клієнтам бути щасливими.

 

Сервер на freebsd + ubilling на борту, NAS тут же, інколи (раз в пів року або декілька разів на тиждень) "вішається" ну в сенсі не з кінцями, а до того моменту поки з нього не відключити інтернет.

Відповідно коли таке стається фаєрволом блокуємо діапазон портів, який звужуємо методом виключення, або при можливості ідентифікуємо порт через trafshow 2018-10-18_205403.png.c5f6fcc7a8a81ba176ff232a2c111ebf.png

наприклад в цьому випадку заблокували 61855 сервер ожив, життя прекрасне.

 

Так от питання хто і як з цим бореться? Настройка BSD чи вище стоячого маршрутизатора/комутатора ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Покажи правило ipfw объявления номера ната.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
46 минут назад, MazaXaka сказал:

Добрий вечір форумчанам, є питання яке час від часу мучить сервер і не дає клієнтам бути щасливими.

 

Сервер на freebsd + ubilling на борту, NAS тут же, інколи (раз в пів року або декілька разів на тиждень) "вішається" ну в сенсі не з кінцями, а до того моменту поки з нього не відключити інтернет.

Відповідно коли таке стається фаєрволом блокуємо діапазон портів, який звужуємо методом виключення, або при можливості ідентифікуємо порт через trafshow 2018-10-18_205403.png.c5f6fcc7a8a81ba176ff232a2c111ebf.png

наприклад в цьому випадку заблокували 61855 сервер ожив, життя прекрасне.

 

Так от питання хто і як з цим бореться? Настройка BSD чи вище стоячого маршрутизатора/комутатора ?

deny_in ищите темы на форуме не раз обсуждали.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
30 минут назад, pavlabor сказал:

Покажи правило ipfw объявления номера ната.

nat 11 config log ip 2.2.2.2 reset same_ports

якось  так..

потім table 80 add 2.2.2.2 11

ну і add 5551 nat tablearg ip from any to table\(80\) via ${WAN_IF} in

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

за deny_in не знав не чув, прочитав темку

буду пробувати.. дякую за напрямок)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
15 минут назад, MazaXaka сказал:

nat 11 config log ip 2.2.2.2 reset same_ports

измени на

nat 11 config log ip 2.2.2.2 reset same_ports deny_in

и будет счастье твоим клиентам

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Т.е. BSD настолько рогатое из коробки что по умолчанию не дропает чужие пакеты?)))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
15 минут назад, KaYot сказал:

Т.е. BSD настолько рогатое из коробки что по умолчанию не дропает чужие пакеты?)))

А здесь подробнее, пжл

Что значит дропает чужие?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
10 минут назад, Kiano сказал:

А здесь подробнее, пжл

Что значит дропает чужие?

Дропать трафик который пришел на нат ипишки, которого нет в таблице стейтов.

Но нихера, линукс тоже не дропает если ничего не делать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
26 минут назад, l1ght сказал:

Дропать трафик который пришел на нат ипишки, которого нет в таблице стейтов.

Но нихера, линукс тоже не дропает если ничего не делать.

Дык, для того, чтобы понять, нужен этот трафик или нет, его в любом случае нужно анализировать

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
8 часов назад, l1ght сказал:

Дропать трафик который пришел на нат ипишки, которого нет в таблице стейтов.

Но нихера, линукс тоже не дропает если ничего не делать.

Это случаем не то самое, что в микротиках зовётся connection state = invalid?

Сколько раз читал, там настоятельно советуют в фаерволе запрещать эти инвалиды везде на всех интерфейсах.

Но получается 2 лишних правила, да и без этих правил работает вроде как нормально.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
3 часа назад, Туйон сказал:

Это случаем не то самое, что в микротиках зовётся connection state = invalid?

Сколько раз читал, там настоятельно советуют в фаерволе запрещать эти инвалиды везде на всех интерфейсах.

Но получается 2 лишних правила, да и без этих правил работает вроде как нормально.

Ну вот пусть Кайот отвечает, это он вброс сделал)))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Кайот не по микротикам :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
2 минуты назад, Dimkers сказал:

Кайот не по микротикам :)

А это общее поведение линукс систем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
16 часов назад, pavlabor сказал:

nat 11 config log ip 2.2.2.2 reset deny_in

 

так же стоит убрать same_ports

Детали тут: http://www.major12.net/2014/05/high-cpu-load-with-freebsd-ipfw-nat.html

 

еще одно слабое место ipfw nat это redirect_address - если есть хотя-бы сотня таких трансляций и кто-то запустит интенсивное сканирование на этот диапазон, то 100% CPU гарантирован :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Когда поставишь deny_in - не забудь выше прописать разрешающие правила для доступа к серверу, если у тебя один айпи

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас

  • Сейчас на странице   0 пользователей

    Нет пользователей, просматривающих эту страницу.

  • Похожие публикации

    • Автор: pavlabor
      В 2019 году продолжаются DDoS-атаки с использованием протокола LDAP: в этот раз на сайт Qiwi
      В четверг, 24 января, мы наблюдали атаку 212,5 Gbps (гигабит в секунду) / ~10 Mpps (миллионов пакетов в секунду) в пике, комбинировавшую векторы старого доброго SYN-флуда и достаточно редкой LDAP-амплификации с фрагментами.

    • Автор: hailnora
      Продам сабж.
      CISCO ASA 5520 без модулей расширения. Залит последний софт и asdm

      Характеристики:
      1U / память 512Mb RAM (2 планки) / 256Mb CompactFlash / 4x Ethernet 1Gbit / 1 mgmt / 2x USB / 1x SSM / 1x Compact Flash / console / AUX
      Производительность: http://nhprice.com/cisco-asa-5500-specs-features-and-model-comparisons.html
      Уши для крепления в стойку - есть.
      ш/в/г: 20.04 x 36.20 x 4.45
      установленная лицензия: unlimited
      Дам гарантию на проверку.
      Уедет Новой Почтой по Украине.

       
      Цена: 5000 uah
       
       
      0бб-5l3-93-22 Алексей
       

       
       
    • Автор: Baneff
      Всем привет.
      Давно использую freebsd + ipfw + dummynet + kernel nat + ещё куча всякого разного и всё на одном серваке. Менять платформу не хочу - старый я уже для этого. Так вот. Нагрузка постепенно растёт, пора как-бы железо менять в очередной раз, но есть проблема. Всё в этой схеме прекрасно параллелится на мультиядерной системе. Всё, кроме старичка DUMMYNET. В очередной раз смотрю на процесс kernel{dummynet} и в очередной раз вижу конкретное узкое место во всй системе. Обойти невозможно, работает только в один поток и когда загрузка превышает 80-90% начинаются естественные проблемы. Все остальное работает с большим запасом по нагрузке. Вот и вопрос: как-то эту проблему удаётся решать? Чем шейпить юзеров, если не дамминетом? Или может появилась возможность как-то его параллелить? Или, возможно, какие-то новые методы позволяют как-то снизить нагрузку на дамминет? В документации появились некие новые варианты настроек CoDel, PIE, FQ-CoDel и FQ-PIE в дополнение к старым, может они помогут? Кто-то пробовал?
      Спасибо.
    • Автор: antiddos
      Уважаемые господа!
       
       
       
      Предлагаем Вашему вниманию сервис по защите от DDoS атак для ваших сайтов, серверов, сетей.
       
      Наша компания на рынке более 10 лет. 
      Мы представляем собой распределенную CDN с центрами фильтрации в Украине, Польше и Нидерландах.
      Наши решения построено на оборудовании Radware, Brocade, Juniper и позволяют фильтровать большие обьемы трафика. Мы работаем с любыми атаками включая L2-L7.
       
      Приглашаем к участию в партнерскую программу интеграторов и администраторов сетей, в которой вы будете получать гарантированное вознаграждение за привличенных клиентов. (условия вас приятно удивят!)
       
      Для всех желающих можем предоставить тестовую защиту на сутки. 
       
      Кроме того, для всех наших клиентов мы предоставляем услугу High Load consulting абсолютно бесплатно, как и администрирование выделенного сервера.
       
      Стоимость услуг для украинских пользователей:
      - Удаленная защита сайта без переноса контента на нашу площадку от 1000грн
      - Хостинг с защитой от DDoS от 1350грн
      - Виртуальный выделенный сервер с защитой от DDoS от 3000грн
      - Выделенный сервер с защитой от DDoS от 4000грн.
       
      Будем рады видеть Вас в числе наших клиентов. 
       
      Контакты:
      www.hi-load.biz (на сайте есть online chat)
      +48 518 759 968 (Telegram, Viber)
      +380 68 420 0111
      +380 95 420 0111
       
       
       
       

    • Автор: FosterUA
      Сегодня на появилось
      cam status uncorrectable parity/crc error
      Reatrying command
      Write fpdma queued
       
      Подскажите что это ? Спасибо
×