[Morbid]

За последний месяц, очень сильно возросла проблема с DVRами :( Пользователи понакупают говна всякого, и наружу выставляют все это.

 

В итоге генерируют большое кол-во соединений наружу, что весьма печально.

tcp      6 5 ESTABLISHED src=193.169.xxx.xxx dst=168.253.25.46 sport=31752 dport=25102 [uNREPLIED] src=168.253.25.46 dst=193.169.xxx.xxx sport=25102 dport=31752 mark=0 use=1
tcp      6 111 SYN_SENT src=193.169.xxx.xxx dst=137.144.52.129 sport=30548 dport=23 [uNREPLIED] src=137.144.52.129 dst=193.169.xxx.xxx sport=23 dport=30548 mark=0 use=1
tcp      6 285 ESTABLISHED src=193.169.xxx.xxx dst=168.253.25.55 sport=41976 dport=601 [uNREPLIED] src=168.253.25.55 dst=193.169.xxx.xxx sport=601 dport=41976 mark=0 use=1
tcp      6 283 ESTABLISHED src=193.169.xxx.xxx dst=168.253.25.0 sport=45048 dport=40997 [uNREPLIED] src=168.253.25.0 dst=193.169.xxx.xxx sport=40997 dport=45048 mark=0 use=1
tcp      6 279 ESTABLISHED src=193.169.xxx.xxx dst=168.253.25.61 sport=52331 dport=1091 [uNREPLIED] src=168.253.25.61 dst=193.169.xxx.xxx sport=1091 dport=52331 mark=0 use=1
tcp      6 265 ESTABLISHED src=193.169.xxx.xxx dst=168.253.25.54 sport=19481 dport=54964 [uNREPLIED] src=168.253.25.54 dst=193.169.xxx.xxx sport=54964 dport=19481 mark=0 use=1
tcp      6 253 ESTABLISHED src=193.169.xxx.xxx dst=168.253.25.4 sport=30478 dport=22816 [uNREPLIED] src=168.253.25.4 dst=193.169.xxx.xxx sport=22816 dport=30478 mark=0 use=1
tcp      6 251 ESTABLISHED src=193.169.xxx.xxx dst=168.253.25.62 sport=26819 dport=53444 [uNREPLIED] src=168.253.25.62 dst=193.169.xxx.xxx sport=53444 dport=26819 mark=0 use=1
tcp      6 216 ESTABLISHED src=193.169.xxx.xxx dst=168.253.25.15 sport=31147 dport=34896 [uNREPLIED] src=168.253.25.15 dst=193.169.xxx.xxx sport=34896 dport=31147 mark=0 use=1
tcp      6 29 SYN_SENT src=193.169.xxx.xxx dst=116.42.144.186 sport=30548 dport=2323 [uNREPLIED] src=116.42.144.186 dst=193.169.xxx.xxx sport=2323 dport=30548 mark=0 use=1
tcp      6 27 SYN_SENT src=193.169.xxx.xxx dst=19.140.1.68 sport=6769 dport=23 [uNREPLIED] src=19.140.1.68 dst=193.169.xxx.xxx sport=23 dport=6769 mark=0 use=1
tcp      6 178 ESTABLISHED src=193.169.xxx.xxx dst=168.253.25.38 sport=20489 dport=36096 [uNREPLIED] src=168.253.25.38 dst=193.169.xxx.xxx sport=36096 dport=20489 mark=0 use=1
tcp      6 150 ESTABLISHED src=193.169.xxx.xxx dst=168.253.25.47 sport=23110 dport=60114 [uNREPLIED] src=168.253.25.47 dst=193.169.xxx.xxx sport=60114 dport=23110 mark=0 use=1

 

И такого 2 ляма... вопрос как бороться? кроме как блокировать абонента на уровне порта.

 

Попробовал через connlimit машина ушла в штопор...

 

Есть какие либо мысли? (проблема только с белыми адресами)

[tartila]

За последний месяц, очень сильно возросла проблема с DVRами :( Пользователи понакупают говна всякого, и наружу выставляют все это.

 

В итоге генерируют большое кол-во соединений наружу, что весьма печально.

tcp      6 5 ESTABLISHED src=193.169.xxx.xxx dst=168.253.25.46 sport=31752 dport=25102 [uNREPLIED] src=168.253.25.46 dst=193.169.xxx.xxx sport=25102 dport=31752 mark=0 use=1
tcp      6 111 SYN_SENT src=193.169.xxx.xxx dst=137.144.52.129 sport=30548 dport=23 [uNREPLIED] src=137.144.52.129 dst=193.169.xxx.xxx sport=23 dport=30548 mark=0 use=1
tcp      6 285 ESTABLISHED src=193.169.xxx.xxx dst=168.253.25.55 sport=41976 dport=601 [uNREPLIED] src=168.253.25.55 dst=193.169.xxx.xxx sport=601 dport=41976 mark=0 use=1
tcp      6 283 ESTABLISHED src=193.169.xxx.xxx dst=168.253.25.0 sport=45048 dport=40997 [uNREPLIED] src=168.253.25.0 dst=193.169.xxx.xxx sport=40997 dport=45048 mark=0 use=1
tcp      6 279 ESTABLISHED src=193.169.xxx.xxx dst=168.253.25.61 sport=52331 dport=1091 [uNREPLIED] src=168.253.25.61 dst=193.169.xxx.xxx sport=1091 dport=52331 mark=0 use=1
tcp      6 265 ESTABLISHED src=193.169.xxx.xxx dst=168.253.25.54 sport=19481 dport=54964 [uNREPLIED] src=168.253.25.54 dst=193.169.xxx.xxx sport=54964 dport=19481 mark=0 use=1
tcp      6 253 ESTABLISHED src=193.169.xxx.xxx dst=168.253.25.4 sport=30478 dport=22816 [uNREPLIED] src=168.253.25.4 dst=193.169.xxx.xxx sport=22816 dport=30478 mark=0 use=1
tcp      6 251 ESTABLISHED src=193.169.xxx.xxx dst=168.253.25.62 sport=26819 dport=53444 [uNREPLIED] src=168.253.25.62 dst=193.169.xxx.xxx sport=53444 dport=26819 mark=0 use=1
tcp      6 216 ESTABLISHED src=193.169.xxx.xxx dst=168.253.25.15 sport=31147 dport=34896 [uNREPLIED] src=168.253.25.15 dst=193.169.xxx.xxx sport=34896 dport=31147 mark=0 use=1
tcp      6 29 SYN_SENT src=193.169.xxx.xxx dst=116.42.144.186 sport=30548 dport=2323 [uNREPLIED] src=116.42.144.186 dst=193.169.xxx.xxx sport=2323 dport=30548 mark=0 use=1
tcp      6 27 SYN_SENT src=193.169.xxx.xxx dst=19.140.1.68 sport=6769 dport=23 [uNREPLIED] src=19.140.1.68 dst=193.169.xxx.xxx sport=23 dport=6769 mark=0 use=1
tcp      6 178 ESTABLISHED src=193.169.xxx.xxx dst=168.253.25.38 sport=20489 dport=36096 [uNREPLIED] src=168.253.25.38 dst=193.169.xxx.xxx sport=36096 dport=20489 mark=0 use=1
tcp      6 150 ESTABLISHED src=193.169.xxx.xxx dst=168.253.25.47 sport=23110 dport=60114 [uNREPLIED] src=168.253.25.47 dst=193.169.xxx.xxx sport=60114 dport=23110 mark=0 use=1

 

И такого 2 ляма... вопрос как бороться? кроме как блокировать абонента на уровне порта.

 

Попробовал через connlimit машина ушла в штопор...

 

Есть какие либо мысли? (проблема только с белыми адресами)

 

NOTRACK на белые адреса?

[Morbid]

Как крайний вариант, возможно. Так как не решит всей проблемы, поскольку они ДДоСят, и приходят жалобы на таких клиентов.

[nickD]

Аналогичная проблема, прям эпидемия пока с одним разбирался еще два в сети нашел, убивают conntrack. Пока отключил юзера, думал connlimit спасет но пока не пробывал.

А что с connlimit не так.

[nickD]

Может ограничит скорость поступления от них syn, а затем connlimit

[myth]

Не авторизовывать и все.

[nuclearcat]

Вырубать таких клиентов сразу же, пока не отключат железку или не пофиксят, ибо оставлять их работать - преступление.

А то как всегда, многие думают как бы убрать свою проблему, а на то, что они ддосят кого-то пофиг. А потом будут визги и писки "спасите-помогите" когда на такого горе-провайдера ддос в гигабит 100 приедет.

[hsvt]

Вырубали таких, доходило до абсурда, выключали - звонят просят включить мол поправили и так всю неделю, потом скандал по телефону, истеричные юр. лица женских особей которые ничего слышать и понимать не хочят, но пару регистраторов зато имеют с вирусами, которые ни как не обслуживаются и на админе экономить можно, ваще збс.

 

А вообще прежде чем одну тему создавать — надо посмотреть на соседние, совсем недавно создали http://forum.nag.ru/forum/index.php?showtopic=123201

Edited November 4, 2016 by hsvt

[Morbid]

Тему по вашей ссылке читаю, создал отдельно: 1) Потому что там человека ДДоСят, а не он ддосит. 2) Потому что здесь и определенный ДДоС, именно регистраторы. Одна из целей темы, может быть кто-то глубоко изучил суть проблемы с ДВРами, и знает решение проблемы. Ну примеру залочить порт какой либо или еще что-то.

[satboy]

Так закрывайте по умолчанию на внешниках 21,22,23,123,3389... Чтобы клиент платил например 50 рублей в месяц, за возможность работать по указанным портам, учитывая бесплатность внешних IP у многих..

[nickD]

Подтверждаю, Connlimit подыхает, грузя все процы, даже если его натравить хоть на один ip.

[Morbid]

Так закрывайте по умолчанию на внешниках 21,22,23,123,3389... Чтобы клиент платил например 50 рублей в месяц, за возможность работать по указанным портам, учитывая бесплатность внешних IP у многих..

 

Задача же не денеге стрясти с абонента. (которые они и так платит за белый ИП). А решить проблему так? что бы она и мне и другим не мешала (в ввиде ДДоСА на чужие сети).

[nuclearcat]

Если юзер безмозглый скандалист, а вы под него продавливаетесь - у вас единственный выход, чинить сеть юзера, например подарить юзеру роутер с openwrt, на который у вас есть доступ и где вы сможете заблочить весь исходящий траффик конкретно с DVR, и открыть лишь порты для доступа извне.

[DGM]

Собственно, выше Вам все сказали: либо режете порты на вход для этих клиентов, либо помогаете настраивать клиенту оборудование. Или оставляете все как есть и ждете, пока к Вам ответка прилетит в виде 300G и 300MPPS какого-нибудь tcp-SYN или GRE. От этих всяких криво настроенных роутеров с DVR-ами еще много беды будет.

[Ivan_83]

Подтверждаю, Connlimit подыхает, грузя все процы, даже если его натравить хоть на один ip.

Подозреваю что он у вас настроен не правильно: вероятно он сразу возвращает ресет, а надо дропать син пакет, тогда клиент не будет так активно долбится.

[nickD]

Убираю connlimit, оставляю --syn -j reject

Все ok. Отсюда вывод не юзабелен connlimit.

Блин, не ужели в linux, нету инструмента ограничивающих тупо количество сессий, везде токо скорость.

[Badyavka]

Такая же проблема. Подскажите, что вообще послужило причиной этой проблемы? Вирус в новом регистраторе из коробки? Или кто-то специально это делает при настройке?

Если поставить абоненту обычный роутер, к примеру, тплинк, там в настройках можно включить

- фильтрацию от атак ICMP-FLOOD

- фильтрацию UDP-FLOOD

- фильтрацию от атак TCP-SYN-FLOOD

Включение этих защит поможет заблокировать атаки регистратора, который подключен к lan порту?

Edited November 6, 2016 by Badyavka

[stas_k]

тплинк, там в настройках можно включить

- фильтрацию от атак ICMP-FLOOD

- фильтрацию UDP-FLOOD

- фильтрацию от атак TCP-SYN-FLOOD

Включение этих защит поможет заблокировать атаки регистратора, который подключен к lan порту?

это не спортивно. поможет.

 

оно тупо банит ip источника по всем протоколам.

неаккуратно включенная фильтрация UDP-FLOOD рубит на корню торренты и иногда видеочат скайпа.

[nuclearcat]

Такая же проблема. Подскажите, что вообще послужило причиной этой проблемы? Вирус в новом регистраторе из коробки? Или кто-то специально это делает при настройке?

 

В том, что клиенты "пробрасывают" порт веб-сервера DVR "наружу". Пароли не меняют + безопасности в софте этих DVR нет никакой.

[Ivan_83]

Такая же проблема. Подскажите, что вообще послужило причиной этой проблемы? Вирус в новом регистраторе из коробки? Или кто-то специально это делает при настройке?

У вас там чо инет отключили?

Ботнет мираи замутился как раз на этих регистраторах, им положили Dyn -DNS прова в америке из за чего на позапрошлой неделе у них там инторнеты плохо похали.

Там не вирус, там дефолтные пароли и относительно проста херня которая как когда то кодеред от одного заражённого к другому но при этом ещё и рулится централизованно.

В результате у чуваков по желанию дохера гигабит говна может лится куда захотят.

Учитывая общепланитарный низкий уровень интеллекта и высокий рас***яйства оно ещё лет 5 будет жить, пока регистраторы частично сами не сдохнут а частично их не прикроют.

[Стич]

https://habrahabr.ru/company/erlyvideo/blog/314146/

Edited November 10, 2016 by Стич

[Ivan_83]

Ну и кто этим будет заниматься?