Jump to content
Local
MazaXaka

Атака дос чи не дос по певному порту

Recommended Posts

Добрий вечір форумчанам, є питання яке час від часу мучить сервер і не дає клієнтам бути щасливими.

 

Сервер на freebsd + ubilling на борту, NAS тут же, інколи (раз в пів року або декілька разів на тиждень) "вішається" ну в сенсі не з кінцями, а до того моменту поки з нього не відключити інтернет.

Відповідно коли таке стається фаєрволом блокуємо діапазон портів, який звужуємо методом виключення, або при можливості ідентифікуємо порт через trafshow 2018-10-18_205403.png.c5f6fcc7a8a81ba176ff232a2c111ebf.png

наприклад в цьому випадку заблокували 61855 сервер ожив, життя прекрасне.

 

Так от питання хто і як з цим бореться? Настройка BSD чи вище стоячого маршрутизатора/комутатора ?

Share this post


Link to post
Share on other sites

Покажи правило ipfw объявления номера ната.

Share this post


Link to post
Share on other sites
46 минут назад, MazaXaka сказал:

Добрий вечір форумчанам, є питання яке час від часу мучить сервер і не дає клієнтам бути щасливими.

 

Сервер на freebsd + ubilling на борту, NAS тут же, інколи (раз в пів року або декілька разів на тиждень) "вішається" ну в сенсі не з кінцями, а до того моменту поки з нього не відключити інтернет.

Відповідно коли таке стається фаєрволом блокуємо діапазон портів, який звужуємо методом виключення, або при можливості ідентифікуємо порт через trafshow 2018-10-18_205403.png.c5f6fcc7a8a81ba176ff232a2c111ebf.png

наприклад в цьому випадку заблокували 61855 сервер ожив, життя прекрасне.

 

Так от питання хто і як з цим бореться? Настройка BSD чи вище стоячого маршрутизатора/комутатора ?

deny_in ищите темы на форуме не раз обсуждали.

Share this post


Link to post
Share on other sites
30 минут назад, pavlabor сказал:

Покажи правило ipfw объявления номера ната.

nat 11 config log ip 2.2.2.2 reset same_ports

якось  так..

потім table 80 add 2.2.2.2 11

ну і add 5551 nat tablearg ip from any to table\(80\) via ${WAN_IF} in

Share this post


Link to post
Share on other sites

за deny_in не знав не чув, прочитав темку

буду пробувати.. дякую за напрямок)

Share this post


Link to post
Share on other sites
15 минут назад, MazaXaka сказал:

nat 11 config log ip 2.2.2.2 reset same_ports

измени на

nat 11 config log ip 2.2.2.2 reset same_ports deny_in

и будет счастье твоим клиентам

Share this post


Link to post
Share on other sites

Т.е. BSD настолько рогатое из коробки что по умолчанию не дропает чужие пакеты?)))

Share this post


Link to post
Share on other sites
15 минут назад, KaYot сказал:

Т.е. BSD настолько рогатое из коробки что по умолчанию не дропает чужие пакеты?)))

А здесь подробнее, пжл

Что значит дропает чужие?

Share this post


Link to post
Share on other sites
10 минут назад, Kiano сказал:

А здесь подробнее, пжл

Что значит дропает чужие?

Дропать трафик который пришел на нат ипишки, которого нет в таблице стейтов.

Но нихера, линукс тоже не дропает если ничего не делать.

Share this post


Link to post
Share on other sites
26 минут назад, l1ght сказал:

Дропать трафик который пришел на нат ипишки, которого нет в таблице стейтов.

Но нихера, линукс тоже не дропает если ничего не делать.

Дык, для того, чтобы понять, нужен этот трафик или нет, его в любом случае нужно анализировать

Share this post


Link to post
Share on other sites
8 часов назад, l1ght сказал:

Дропать трафик который пришел на нат ипишки, которого нет в таблице стейтов.

Но нихера, линукс тоже не дропает если ничего не делать.

Это случаем не то самое, что в микротиках зовётся connection state = invalid?

Сколько раз читал, там настоятельно советуют в фаерволе запрещать эти инвалиды везде на всех интерфейсах.

Но получается 2 лишних правила, да и без этих правил работает вроде как нормально.

Share this post


Link to post
Share on other sites
3 часа назад, Туйон сказал:

Это случаем не то самое, что в микротиках зовётся connection state = invalid?

Сколько раз читал, там настоятельно советуют в фаерволе запрещать эти инвалиды везде на всех интерфейсах.

Но получается 2 лишних правила, да и без этих правил работает вроде как нормально.

Ну вот пусть Кайот отвечает, это он вброс сделал)))

Share this post


Link to post
Share on other sites

Кайот не по микротикам :)

Share this post


Link to post
Share on other sites
2 минуты назад, Dimkers сказал:

Кайот не по микротикам :)

А это общее поведение линукс систем.

Share this post


Link to post
Share on other sites
16 часов назад, pavlabor сказал:

nat 11 config log ip 2.2.2.2 reset deny_in

 

так же стоит убрать same_ports

Детали тут: http://www.major12.net/2014/05/high-cpu-load-with-freebsd-ipfw-nat.html

 

еще одно слабое место ipfw nat это redirect_address - если есть хотя-бы сотня таких трансляций и кто-то запустит интенсивное сканирование на этот диапазон, то 100% CPU гарантирован :(

Share this post


Link to post
Share on other sites

Когда поставишь deny_in - не забудь выше прописать разрешающие правила для доступа к серверу, если у тебя один айпи

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Recently Browsing   0 members

    No registered users viewing this page.

  • Similar Content

    • By Максим97
      что нужно настроить, что бы велся учет переданных данных и снималась абонентская плата в схеме собранной в GNS3?
    • By Amourmort
      Доброго времени суток!
      Был шлюз, настроенный неизвестно когда неизвестным админом. Всё прекрасно работало, интернет людям раздавался, пока не возникла необходимость перейти на другого провайдера.

      У предыдущего провайдера IP шлюзу не выдавался, адрес и шлюз был настроен прямо в rc.conf.
      У нового провайдера PPPoE
      Штатными средствами фряхи у меня поднять соединение не получилось... Вернее, соединение поднималось только вручную, командой /etc/rc.d/ppp start - при перезагрузке соединение автоматически не стартовало.
      Решил использовать утилиту mpd5 для PPPoE. Вот содержимое mpd.conf:
      default: load pppoe_client pppoe_client: # # PPPoE client: only outgoing calls, auto reconnect, # ipcp-negotiated address, one-sided authentication, # default route points on ISP's end # create bundle static B1 # set iface enable nat ##NAT is configured elsewhere set iface route default set ipcp ranges 0.0.0.0/0 0.0.0.0/0 create link static L1 pppoe set link action bundle B1 set auth authname ******** set auth password ******** set link max-redial 0 set link mtu 1492 set link keep-alive 10 60 set pppoe iface igb0 set pppoe service "" open Внёс правки в rc.conf, добавив туда запуск mpd5 и убрав интерфейс igb0. Так же, убрал строку defaultrouter - она была нужна для работы с предыдущим провайдером, с новым резолвер получает данные автоматически.
      Далее, в качестве фаервола используется PF.
      В /etc/pf.conf, к счастью, использованы переменные для конфигурации. Меняю одну переменную ext_if = "igb0" на ext_if = "ng0" и думаю, что дело сделано. Соединение при перезагрузке поднимается, доступ в интернет есть... Довольный собой уехал с объекта домой.
      Вроде бы всё хорошо.
      Но вдруг оказывается, что доступ есть далеко не к каждому сайту. Например, к укр.нет доступ есть. А к bitrix24.ua - нет.
      Пингую с сервака:
       
      ping bitrix24.ua PING bitrix24.ua (18.232.195.40): 56 data bytes ^C --- bitrix24.ua ping statistics --- 26 packets transmitted, 0 packets received, 100.0% packet loss ЧЗН? Спидтест:
       
      speedtest-cli Retrieving speedtest.net configuration... Testing from LIMANET Ltd. (141.105.132.238)... Retrieving speedtest.net server list... Selecting best server based on ping... Hosted by ISP Black Sea (Одесса) [0.43 km]: 5034.671 ms Testing download speed................................................................................ Download: 0.00 Mbit/s Testing upload speed................................................................................................ Upload: 0.00 Mbit/s АААААААААААААААААААА!!!! Что это???
       
      ping korinf-group.com PING korinf-group.com (91.234.33.240): 56 data bytes 64 bytes from 91.234.33.240: icmp_seq=0 ttl=58 time=13.654 ms 64 bytes from 91.234.33.240: icmp_seq=1 ttl=58 time=13.475 ms 64 bytes from 91.234.33.240: icmp_seq=2 ttl=58 time=13.332 ms 64 bytes from 91.234.33.240: icmp_seq=3 ttl=58 time=13.913 ms 64 bytes from 91.234.33.240: icmp_seq=4 ttl=58 time=14.873 ms 64 bytes from 91.234.33.240: icmp_seq=5 ttl=58 time=14.033 ms 64 bytes from 91.234.33.240: icmp_seq=6 ttl=58 time=13.743 ms ^C --- korinf-group.com ping statistics --- 7 packets transmitted, 7 packets received, 0.0% packet loss round-trip min/avg/max/stddev = 13.332/13.860/14.873/0.469 ms ping google.com.ua PING google.com.ua (216.58.215.67): 56 data bytes 64 bytes from 216.58.215.67: icmp_seq=0 ttl=120 time=27.686 ms 64 bytes from 216.58.215.67: icmp_seq=1 ttl=120 time=27.766 ms 64 bytes from 216.58.215.67: icmp_seq=2 ttl=120 time=27.738 ms 64 bytes from 216.58.215.67: icmp_seq=3 ttl=120 time=27.651 ms 64 bytes from 216.58.215.67: icmp_seq=4 ttl=120 time=27.603 ms 64 bytes from 216.58.215.67: icmp_seq=5 ttl=120 time=27.781 ms 64 bytes from 216.58.215.67: icmp_seq=6 ttl=120 time=27.562 ms ^C --- google.com.ua ping statistics --- 7 packets transmitted, 7 packets received, 0.0% packet loss round-trip min/avg/max/stddev = 27.562/27.684/27.781/0.077 ms Как такое может быть? Куда копать?
      При этом, если на компе юзера включить какой-нибудь "впн", с туннелем через Киев или Берлин, доступ к любым сайтам есть, как положено...
    • By Максим97
      После установки FreeBSD на виртуал бокс по инструкции с данного видео, не устанавливается пакет pkg и не могу зайти в режим супер юзера, что делать?
    • By KGroup
      Всем привет!
      Подскажите плиз: Как очистить содержимое всех файлов в каталоге на системе linux без удаления самих файлов?
      Может скрипт какой есть для примера?
       
      зы.
      sudo cat /dev/null > file.txt работает только с одним файлом...
       
    • By a_n_h
      Всем доброго дня!
      в чем разница между созданием vlan:
       
      1-й способ:
      cloned_interfaces="vlan101 vlan102 vlan103 vlan104"
      ifconfig_igb0="up"
      ifconfig_igb1="up"
      ifconfig_igb2="up"
      ifconfig_igb3="up"
      ifconfig_vlan101="vlan 101 vlandev igb0 up"
      ifconfig_vlan102="vlan 102 vlandev igb1 up"
      ifconfig_vlan103="vlan 103 vlandev igb2 up"
      ifconfig_vlan104="vlan 104 vlandev igb3 up"
       
       
      и 2-й способ:
      cloned_interfaces="igb0.101 igb0.102 igb2.103 igb2.104 up"
       
       
×