Stránka 1 z 1
SYN FLOOD PROTECT mi zabila celu siet...
Napsal: 07 Feb 2015 21:54
od rado3105
Na sieti sa mi vyskytol zaujimavy problem. Dlhe roky firewall nerobil ziadny problem. Ale asi den internet siel velmi pomaly, ping do netu okolo 1000ms (mal byt okolo 5ms). Problem s uploadom - max. 1mbit/s. Down rozne...ale pomaly nacitavalo stranky a vsetko mozne. CPU nebolo na 100%. Cez torch som zistil nejake IP z bogon rozsahov, ktore sa tvarili ako lokalne ale neboli - dal som ich dropovat nepomohlo.
Pomohlo az vypnutie tychto troch pravidiel, ktore chrania pred utokom flood. Teraz ma trapi, ci vlastne neprebiehal utok a tieto pravidla to neubranili a defakto to este viac zhorsili, kedze po ich vypnuti to ide dobre. Co si myslite?
Kód: Vybrat vše
/ip firewall filter add chain=forward protocol=tcp tcp-flags=syn connection-state=new \
action=jump jump-target=SYN-Protect comment="SYN Flood protect" disabled=yes
/ip firewall filter add chain=SYN-Protect protocol=tcp tcp-flags=syn limit=400,5 connection-state=new \
action=accept comment="" disabled=no
/ip firewall filter add chain=SYN-Protect protocol=tcp tcp-flags=syn connection-state=new \
action=drop comment="" disabled=no
http://wiki.mikrotik.com/wiki/DoS_attack_protection
Re: SYN FLOOD PROTECT mi zabila celu siet...
Napsal: 07 Feb 2015 23:37
od ludvik
Jak ti ten paket jednou přijde, je tvůj a nic s tím nenaděláš

Re: SYN FLOOD PROTECT mi zabila celu siet...
Napsal: 08 Feb 2015 00:39
od rado3105
uz sa vam stalo nieco podobne? ako sa voci tomu branit?
Re: SYN FLOOD PROTECT mi zabila celu siet...
Napsal: 08 Feb 2015 02:32
od ludvik
Nevím. Pokud nemáš infrastrukturu takovou, aby to zvládla i bez toho, tak si prostě moc nepomůžeš. Leda prosit dodavatele o pomoc, aby to sekl někde u sebe.
Jaké bogon rozsahy? Ony už vlastně žádné nejsou ...
Osobně si ale nejsem moc jistý, zda má smysl ten synflood vůbec na úrovni celé sítě řešit. Špatně se hledá právě ta hranice, co je dobře a co už špatně. Já spíš limituji konexe obecně každé (vnitřní) IP adrese. A to ještě spíš tam, kde to opravdu vadí - tedy wifinách. Také to není úplně ideální řešení, alespoň to ovšem nesekne (většinou) celou síť naráz.
A může být lepší to rejectnout s tcp-reset. Alespoň ti to pak neotravuje v conntrack tabulce. Dle symptomů to vypadá, že zrovna to mohl být tvůj problém.
A s podivem víc problémů tohoto rázu jsme měli zevnitř, než z internetu

Re: SYN FLOOD PROTECT mi zabila celu siet...
Napsal: 08 Feb 2015 11:37
od rado3105
skusal som DST pridavat do adresslistu, zmenou posledneho pravidla DROP za toto:
Kód: Vybrat vše
chain=SYN-Protect action=add-dst-to-address-list tcp-flags=syn
connection-state=new protocol=tcp address-list=TCP-SYN-PROTECT
address-list-timeout=1d
len to mi tam hadze desiatky IP z vonku...zeby z tolkych prebiehal pokus o utok? alebo sa jedna o falosne pozitivne?
Re: SYN FLOOD PROTECT mi zabila celu siet...
Napsal: 08 Feb 2015 11:53
od hol
ludvik píše:Jak ti ten paket jednou přijde, je tvůj a nic s tím nenaděláš

Mohl bych poprosit o.podrobnosti? Jak to funguje, jak to diagnostikovat? Diky moc.
Re: SYN FLOOD PROTECT mi zabila celu siet...
Napsal: 08 Feb 2015 13:36
od ludvik
Bohužel to funguje tak, že se musíš naučit všechno, co se sítí týká. Návod ve formě kuchařky neexistuje.
Případně si koupíš krabičku typu Allot nebo reporterů od Invea za šílené peníze a doufáš, že ti to v těch grafech někde řeknou.
Re: SYN FLOOD PROTECT mi zabila celu siet...
Napsal: 08 Feb 2015 14:06
od rado3105
neriesil nikdy nikto podobny problem?
Re: SYN FLOOD PROTECT mi zabila celu siet...
Napsal: 08 Feb 2015 14:32
od ludvik
Ukládáš si DST, tedy destination ... pokud je to útok z venku, tak do adress-listu ukládáš VNITŘNÍ adresy. A pokud tam jsou VNĚJŠÍ adresy, tak je to "útok" zevnitř ven.
rado3105 píše:skusal som DST pridavat do adresslistu, zmenou posledneho pravidla DROP za toto:
Kód: Vybrat vše
chain=SYN-Protect action=add-dst-to-address-list tcp-flags=syn
connection-state=new protocol=tcp address-list=TCP-SYN-PROTECT
address-list-timeout=1d
len to mi tam hadze desiatky IP z vonku...zeby z tolkych prebiehal pokus o utok? alebo sa jedna o falosne pozitivne?
Re: SYN FLOOD PROTECT mi zabila celu siet...
Napsal: 08 Feb 2015 15:51
od rado3105
ved ano...zle som sa vyjadril ked dam pridavanie do adreslistu dst ci src...ide to obojstranne...a obrovske mnozstvo ip....
ked dam src to adress list - hadze mi tam ip lokalnej siete...a semtam aj nieco zvonku...
je to cele nejake zvlastne ... nemyslim ze by z tolkych ip prebiehal utok...resp. neviem ako zistit z ktorych ip zistenych tymto pravidlom ide a nejde utok....
Re: SYN FLOOD PROTECT mi zabila celu siet...
Napsal: 08 Feb 2015 21:57
od rado3105
zacal som blokovat niektore rozsahy co nepouzivam lokalne...a ked to dam lovovat...tak napr. nepouzivajuca ip lokalne: 192.168.1.9..robi spojenia na web....pise pri nich: proto tcp (ack,fin), alebo pri dalsich spojeniach (ack, rst), (ack,fin, psh)....zistit povod odkial to ide sa mi nedari....pravdepodobne to budu packety s prepisanymi hlavickami z nejakeho stroja na internete...a ten asi meni pakety a dava tam rozne lokalne ip adresy a rozne verejne.....a router chce poslat odpoved na ne...ale kedze to nie su skutocne ip utocnika...tak sa to vytazuje branu....
nevyzna sa niekto do tychto veci ze by mi to pozrel? aj by som mu zaplatil...
Re: SYN FLOOD PROTECT mi zabila celu siet...
Napsal: 09 Feb 2015 09:17
od pepulis
rado3105 píše:zacal som blokovat niektore rozsahy co nepouzivam lokalne...a ked to dam lovovat...tak napr. nepouzivajuca ip lokalne: 192.168.1.9..robi spojenia na web....pise pri nich: proto tcp (ack,fin), alebo pri dalsich spojeniach (ack, rst), (ack,fin, psh)....zistit povod odkial to ide sa mi nedari....pravdepodobne to budu packety s prepisanymi hlavickami z nejakeho stroja na internete...a ten asi meni pakety a dava tam rozne lokalne ip adresy a rozne verejne.....a router chce poslat odpoved na ne...ale kedze to nie su skutocne ip utocnika...tak sa to vytazuje branu....
nevyzna sa niekto do tychto veci ze by mi to pozrel? aj by som mu zaplatil...
A nemuze to byt rozsah z tve site, tj. od klienta. Mikrotik bezne propousti vnitrni IP, i kdyz je na MK aktivovany NAT (maskarada). Bezne mi na sektoru, kde povoluju jen IP WAN rozhrani klientova SXT, naskakuji jako nepovolene IP jejich domaci adresy z DHCP serveru, ktery je nastaveny na tom danem SXT.
Re: SYN FLOOD PROTECT mi zabila celu siet...
Napsal: 09 Feb 2015 10:05
od rado3105
pepulis píše:rado3105 píše:zacal som blokovat niektore rozsahy co nepouzivam lokalne...a ked to dam lovovat...tak napr. nepouzivajuca ip lokalne: 192.168.1.9..robi spojenia na web....pise pri nich: proto tcp (ack,fin), alebo pri dalsich spojeniach (ack, rst), (ack,fin, psh)....zistit povod odkial to ide sa mi nedari....pravdepodobne to budu packety s prepisanymi hlavickami z nejakeho stroja na internete...a ten asi meni pakety a dava tam rozne lokalne ip adresy a rozne verejne.....a router chce poslat odpoved na ne...ale kedze to nie su skutocne ip utocnika...tak sa to vytazuje branu....
nevyzna sa niekto do tychto veci ze by mi to pozrel? aj by som mu zaplatil...
A nemuze to byt rozsah z tve site, tj. od klienta. Mikrotik bezne propousti vnitrni IP, i kdyz je na MK aktivovany NAT (maskarada). Bezne mi na sektoru, kde povoluju jen IP WAN rozhrani klientova SXT, naskakuji jako nepovolene IP jejich domaci adresy z DHCP serveru, ktery je nastaveny na tom danem SXT.
ak to tak funguje tak by to mohlo byt...neviem ake rozsahy maju klienti....ale nemalo by to robit? cize zacal som vsetky rozsahy okrem tych ktore pouzivam blokovat. NAT robim tak, ze rozsah mikrotikov, ubnt ktore su pripojene cez wlan do mojej siete su natovane v hlavnej brane cez masqueradu a dalsi NAT robi klientske ubnt alebo mikrotik. Cize to ide cez dva NATy a to by nemalo prechadzat?