classic.ISPforum.cz

1. pravidlo detekuje skenovanie portov - pre tcp (vyuziva PSD funkciu zakomponovanu v linuxackom netfiltri ako prevencia skenovania portov) - pomocou tohto pravidla ochytane pakety su hned zahodene...
2. druhe pravidlo spomaluje skenovacov portov pomocou funkcie tarpit a znizi pocet spojeni detekovanej ip na 3 - ti ktori su odchyteni a oznaceni tretim pravidlom ako black_list
3. pravidlo: oznaci ako black_list ip ktore urobia viac ako 10 spojeni na vas router

add chain=input protocol=tcp psd=21,3s,3,1 action=drop comment="detect and drop port scan connections" disabled=no
add chain=input protocol=tcp connection-limit=3,32 src-address-list=black_list action=tarpit \
comment="suppress DoS attack" disabled=no
add chain=input protocol=tcp connection-limit=10,32 action= add-src-to-address-list \
address-list=black_list address-list-timeout=1d comment="detect DoS attack" disabled=no

Otazka je: Tretie pravidlo da do blacklistu kazdu ip s viac ako 1O spojeniami, cize ak vam router robi dns, tak samozrejme aj toto, popripade este nejaky broadcast a myslim ze sa to da kludne vysplhat na 10 spojeni. Pricom tieto ip automaticky su pomocou druheho pravidla obmedzene na 3 spojenia a su spomalene....
Co si o tom myslite? Ma vyznam to pouzivat alebo nie, je mozne vytvorit viac ako 10 spojeni ak vam router robi aj DNS...a popripade nieco ine? AKo to lepsie zoptimalizovat?

Router nemá čo robiť dns , na všetko ostatné tu máme port knocking .

Vyznam to nema. Na inputu si povolim, jen to, co potrebuju a zbytek zakazu. Jednoduche, efektivni a jiz nekolik let bez problemu .

pepulis píše:Vyznam to nema. Na inputu si povolim, jen to, co potrebuju a zbytek zakazu. Jednoduche, efektivni a jiz nekolik let bez problemu .

Ano? a kolko portov mas povolenych, myslis ze cez ne sa neda spravit dos utok?

Mam tam povolene porty pro icmp, winox, pptp a ntp + nejake privat. ver. IP. Zbytek zakazany, protoze nikdo nema co lezt do routru z venku .

A myslis ze cez tieto porty sa neda urobit DOS utok?

rado3105 píše:A myslis ze cez tieto porty sa neda urobit DOS utok?

Ano da se udelat utok na icmp flood, jednou mi to generovalo na hranicni router trafik kolem 6 Mbit (coz by nevadilo), ale silene moc paketu (to byl zabijak). Pokud ale nepotrebujes mit otevreny ping z venku, neni duvod to povolovat, ja ho mam povoleny jen z urcitych IP, ze kterych si hlidam sit apod.

tohle to vůbec nic neřeší. Pošli mi ipčko tvýho routeru a já ti pošlu nějaký udp flood . Pak si můžeš blokovat co chceš a jak chceš a nedosahneš ničeho protože ti prostě zaseru konektivitu a routery přetížený bejt vůbec nemusí. A tohle prostě ty sám nejseš schopnej blokovat. Budeš muset požádat o pomoc toho kdo je před tebou a případně že nejseš přímo na nějakýho národního operátora co má bgp tak budeš muset ještě dál a v případě že udp flood pochází ze stovky adres ti nezbejvá než modlit se protože policie je u nás laxní.

hapi píše:tohle to vůbec nic neřeší. Pošli mi ipčko tvýho routeru a já ti pošlu nějaký udp flood . Pak si můžeš blokovat co chceš a jak chceš a nedosahneš ničeho protože ti prostě zaseru konektivitu a routery přetížený bejt vůbec nemusí. A tohle prostě ty sám nejseš schopnej blokovat. Budeš muset požádat o pomoc toho kdo je před tebou a případně že nejseš přímo na nějakýho národního operátora co má bgp tak budeš muset ještě dál a v případě že udp flood pochází ze stovky adres ti nezbejvá než modlit se protože policie je u nás laxní.

Aj ked zablokujem UDP na inpute?

je to jedno, UDP k tobě dopluje tak či tak. Ty ho akorát dropneš na inputě k lokálním procesům routeru, nic víc.

Ako najefektivnejsie riesit podobne situacie? drop? reject? tarpit?

Nijak. UDP flood prostě ucpe tvou linku, takže na routeru můžeš dělat co chceš.

Jedno z možných řešení je, pokud jsem rozumný subjekt s vlasntím AS (ať už ISP, hosting, velká firma), tak celý tok předaným některému ze specializovanoých filtrovacích subjektů. V podstatě se přehodí, že moje IPčka začne propagovat daný subjekt, který stáhne celý tok na sebe, obvykle mají přímé tlusté linky do řady peeringových centrer nebo jsou v řadě hostingách, takže chytí na sebe ten tok co nejblíže zdroje. Já mu řeknu co chci propustit, on to prožene svojí farmou filtrovacích strojů a co zbyde, tak tunelem mi pošle k životu. Až událost pomine, vrátí se routing zpět a dotyčnému subjektu předám klíčky k novému Ferrari.
Tady je přehled pár podobných služebníků, ale dle titulků jich tam i hodně velkých chybí: http://www.net-security.org/secworld.php?id=13446

rado3105 píše:Aj ked zablokujem UDP na inpute?

to je stejne ucinne jako kdyz pred privalovou vlnou zastavis v sachte u domu privod vody

Majklik píše:Jedno z možných řešení je, pokud jsem rozumný subjekt s vlasntím AS (ať už ISP, hosting, velká firma), tak celý tok předaným některému ze specializovanoých filtrovacích subjektů. V podstatě se přehodí, že moje IPčka začne propagovat daný subjekt, který stáhne celý tok na sebe, obvykle mají přímé tlusté linky do řady peeringových centrer nebo jsou v řadě hostingách, takže chytí na sebe ten tok co nejblíže zdroje. Já mu řeknu co chci propustit, on to prožene svojí farmou filtrovacích strojů a co zbyde, tak tunelem mi pošle k životu. Až událost pomine, vrátí se routing zpět a dotyčnému subjektu předám klíčky k novému Ferrari.
Tady je přehled pár podobných služebníků, ale dle titulků jich tam i hodně velkých chybí: http://www.net-security.org/secworld.php?id=13446

jasně no, to je takový, hele pustíme mu tam nějakej udp flood a on si nás najme na filtrování, tak budou nějaký prachy

řešení by bylo vzít třeba nějakej router, posadit ho na třeba 10Gbit lajnu aby pro mě filtroval a v případě průseru bych mohl zasáhnout ale co jsem na posledy viděl tak to šlo z tisíců adres tak i tohle by byl docela problém.