Morbid Posted November 3, 2016 За последний месяц, очень сильно возросла проблема с DVRами :( Пользователи понакупают говна всякого, и наружу выставляют все это. В итоге генерируют большое кол-во соединений наружу, что весьма печально. tcp 6 5 ESTABLISHED src=193.169.xxx.xxx dst=168.253.25.46 sport=31752 dport=25102 [uNREPLIED] src=168.253.25.46 dst=193.169.xxx.xxx sport=25102 dport=31752 mark=0 use=1 tcp 6 111 SYN_SENT src=193.169.xxx.xxx dst=137.144.52.129 sport=30548 dport=23 [uNREPLIED] src=137.144.52.129 dst=193.169.xxx.xxx sport=23 dport=30548 mark=0 use=1 tcp 6 285 ESTABLISHED src=193.169.xxx.xxx dst=168.253.25.55 sport=41976 dport=601 [uNREPLIED] src=168.253.25.55 dst=193.169.xxx.xxx sport=601 dport=41976 mark=0 use=1 tcp 6 283 ESTABLISHED src=193.169.xxx.xxx dst=168.253.25.0 sport=45048 dport=40997 [uNREPLIED] src=168.253.25.0 dst=193.169.xxx.xxx sport=40997 dport=45048 mark=0 use=1 tcp 6 279 ESTABLISHED src=193.169.xxx.xxx dst=168.253.25.61 sport=52331 dport=1091 [uNREPLIED] src=168.253.25.61 dst=193.169.xxx.xxx sport=1091 dport=52331 mark=0 use=1 tcp 6 265 ESTABLISHED src=193.169.xxx.xxx dst=168.253.25.54 sport=19481 dport=54964 [uNREPLIED] src=168.253.25.54 dst=193.169.xxx.xxx sport=54964 dport=19481 mark=0 use=1 tcp 6 253 ESTABLISHED src=193.169.xxx.xxx dst=168.253.25.4 sport=30478 dport=22816 [uNREPLIED] src=168.253.25.4 dst=193.169.xxx.xxx sport=22816 dport=30478 mark=0 use=1 tcp 6 251 ESTABLISHED src=193.169.xxx.xxx dst=168.253.25.62 sport=26819 dport=53444 [uNREPLIED] src=168.253.25.62 dst=193.169.xxx.xxx sport=53444 dport=26819 mark=0 use=1 tcp 6 216 ESTABLISHED src=193.169.xxx.xxx dst=168.253.25.15 sport=31147 dport=34896 [uNREPLIED] src=168.253.25.15 dst=193.169.xxx.xxx sport=34896 dport=31147 mark=0 use=1 tcp 6 29 SYN_SENT src=193.169.xxx.xxx dst=116.42.144.186 sport=30548 dport=2323 [uNREPLIED] src=116.42.144.186 dst=193.169.xxx.xxx sport=2323 dport=30548 mark=0 use=1 tcp 6 27 SYN_SENT src=193.169.xxx.xxx dst=19.140.1.68 sport=6769 dport=23 [uNREPLIED] src=19.140.1.68 dst=193.169.xxx.xxx sport=23 dport=6769 mark=0 use=1 tcp 6 178 ESTABLISHED src=193.169.xxx.xxx dst=168.253.25.38 sport=20489 dport=36096 [uNREPLIED] src=168.253.25.38 dst=193.169.xxx.xxx sport=36096 dport=20489 mark=0 use=1 tcp 6 150 ESTABLISHED src=193.169.xxx.xxx dst=168.253.25.47 sport=23110 dport=60114 [uNREPLIED] src=168.253.25.47 dst=193.169.xxx.xxx sport=60114 dport=23110 mark=0 use=1 И такого 2 ляма... вопрос как бороться? кроме как блокировать абонента на уровне порта. Попробовал через connlimit машина ушла в штопор... Есть какие либо мысли? (проблема только с белыми адресами) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
tartila Posted November 3, 2016 За последний месяц, очень сильно возросла проблема с DVRами :( Пользователи понакупают говна всякого, и наружу выставляют все это. В итоге генерируют большое кол-во соединений наружу, что весьма печально. tcp 6 5 ESTABLISHED src=193.169.xxx.xxx dst=168.253.25.46 sport=31752 dport=25102 [uNREPLIED] src=168.253.25.46 dst=193.169.xxx.xxx sport=25102 dport=31752 mark=0 use=1 tcp 6 111 SYN_SENT src=193.169.xxx.xxx dst=137.144.52.129 sport=30548 dport=23 [uNREPLIED] src=137.144.52.129 dst=193.169.xxx.xxx sport=23 dport=30548 mark=0 use=1 tcp 6 285 ESTABLISHED src=193.169.xxx.xxx dst=168.253.25.55 sport=41976 dport=601 [uNREPLIED] src=168.253.25.55 dst=193.169.xxx.xxx sport=601 dport=41976 mark=0 use=1 tcp 6 283 ESTABLISHED src=193.169.xxx.xxx dst=168.253.25.0 sport=45048 dport=40997 [uNREPLIED] src=168.253.25.0 dst=193.169.xxx.xxx sport=40997 dport=45048 mark=0 use=1 tcp 6 279 ESTABLISHED src=193.169.xxx.xxx dst=168.253.25.61 sport=52331 dport=1091 [uNREPLIED] src=168.253.25.61 dst=193.169.xxx.xxx sport=1091 dport=52331 mark=0 use=1 tcp 6 265 ESTABLISHED src=193.169.xxx.xxx dst=168.253.25.54 sport=19481 dport=54964 [uNREPLIED] src=168.253.25.54 dst=193.169.xxx.xxx sport=54964 dport=19481 mark=0 use=1 tcp 6 253 ESTABLISHED src=193.169.xxx.xxx dst=168.253.25.4 sport=30478 dport=22816 [uNREPLIED] src=168.253.25.4 dst=193.169.xxx.xxx sport=22816 dport=30478 mark=0 use=1 tcp 6 251 ESTABLISHED src=193.169.xxx.xxx dst=168.253.25.62 sport=26819 dport=53444 [uNREPLIED] src=168.253.25.62 dst=193.169.xxx.xxx sport=53444 dport=26819 mark=0 use=1 tcp 6 216 ESTABLISHED src=193.169.xxx.xxx dst=168.253.25.15 sport=31147 dport=34896 [uNREPLIED] src=168.253.25.15 dst=193.169.xxx.xxx sport=34896 dport=31147 mark=0 use=1 tcp 6 29 SYN_SENT src=193.169.xxx.xxx dst=116.42.144.186 sport=30548 dport=2323 [uNREPLIED] src=116.42.144.186 dst=193.169.xxx.xxx sport=2323 dport=30548 mark=0 use=1 tcp 6 27 SYN_SENT src=193.169.xxx.xxx dst=19.140.1.68 sport=6769 dport=23 [uNREPLIED] src=19.140.1.68 dst=193.169.xxx.xxx sport=23 dport=6769 mark=0 use=1 tcp 6 178 ESTABLISHED src=193.169.xxx.xxx dst=168.253.25.38 sport=20489 dport=36096 [uNREPLIED] src=168.253.25.38 dst=193.169.xxx.xxx sport=36096 dport=20489 mark=0 use=1 tcp 6 150 ESTABLISHED src=193.169.xxx.xxx dst=168.253.25.47 sport=23110 dport=60114 [uNREPLIED] src=168.253.25.47 dst=193.169.xxx.xxx sport=60114 dport=23110 mark=0 use=1 И такого 2 ляма... вопрос как бороться? кроме как блокировать абонента на уровне порта. Попробовал через connlimit машина ушла в штопор... Есть какие либо мысли? (проблема только с белыми адресами) NOTRACK на белые адреса? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Morbid Posted November 3, 2016 Как крайний вариант, возможно. Так как не решит всей проблемы, поскольку они ДДоСят, и приходят жалобы на таких клиентов. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
nickD Posted November 3, 2016 Аналогичная проблема, прям эпидемия пока с одним разбирался еще два в сети нашел, убивают conntrack. Пока отключил юзера, думал connlimit спасет но пока не пробывал. А что с connlimit не так. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
nickD Posted November 3, 2016 Может ограничит скорость поступления от них syn, а затем connlimit Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
myth Posted November 4, 2016 Не авторизовывать и все. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
nuclearcat Posted November 4, 2016 Вырубать таких клиентов сразу же, пока не отключат железку или не пофиксят, ибо оставлять их работать - преступление. А то как всегда, многие думают как бы убрать свою проблему, а на то, что они ддосят кого-то пофиг. А потом будут визги и писки "спасите-помогите" когда на такого горе-провайдера ддос в гигабит 100 приедет. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
hsvt Posted November 4, 2016 (edited) Вырубали таких, доходило до абсурда, выключали - звонят просят включить мол поправили и так всю неделю, потом скандал по телефону, истеричные юр. лица женских особей которые ничего слышать и понимать не хочят, но пару регистраторов зато имеют с вирусами, которые ни как не обслуживаются и на админе экономить можно, ваще збс. А вообще прежде чем одну тему создавать — надо посмотреть на соседние, совсем недавно создали http://forum.nag.ru/forum/index.php?showtopic=123201 Edited November 4, 2016 by hsvt Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Morbid Posted November 4, 2016 Тему по вашей ссылке читаю, создал отдельно: 1) Потому что там человека ДДоСят, а не он ддосит. 2) Потому что здесь и определенный ДДоС, именно регистраторы. Одна из целей темы, может быть кто-то глубоко изучил суть проблемы с ДВРами, и знает решение проблемы. Ну примеру залочить порт какой либо или еще что-то. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
satboy Posted November 4, 2016 Так закрывайте по умолчанию на внешниках 21,22,23,123,3389... Чтобы клиент платил например 50 рублей в месяц, за возможность работать по указанным портам, учитывая бесплатность внешних IP у многих.. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
nickD Posted November 4, 2016 Подтверждаю, Connlimit подыхает, грузя все процы, даже если его натравить хоть на один ip. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Morbid Posted November 5, 2016 Так закрывайте по умолчанию на внешниках 21,22,23,123,3389... Чтобы клиент платил например 50 рублей в месяц, за возможность работать по указанным портам, учитывая бесплатность внешних IP у многих.. Задача же не денеге стрясти с абонента. (которые они и так платит за белый ИП). А решить проблему так? что бы она и мне и другим не мешала (в ввиде ДДоСА на чужие сети). Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
nuclearcat Posted November 5, 2016 Если юзер безмозглый скандалист, а вы под него продавливаетесь - у вас единственный выход, чинить сеть юзера, например подарить юзеру роутер с openwrt, на который у вас есть доступ и где вы сможете заблочить весь исходящий траффик конкретно с DVR, и открыть лишь порты для доступа извне. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DGM Posted November 5, 2016 Собственно, выше Вам все сказали: либо режете порты на вход для этих клиентов, либо помогаете настраивать клиенту оборудование. Или оставляете все как есть и ждете, пока к Вам ответка прилетит в виде 300G и 300MPPS какого-нибудь tcp-SYN или GRE. От этих всяких криво настроенных роутеров с DVR-ами еще много беды будет. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted November 5, 2016 Подтверждаю, Connlimit подыхает, грузя все процы, даже если его натравить хоть на один ip. Подозреваю что он у вас настроен не правильно: вероятно он сразу возвращает ресет, а надо дропать син пакет, тогда клиент не будет так активно долбится. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
nickD Posted November 6, 2016 Убираю connlimit, оставляю --syn -j reject Все ok. Отсюда вывод не юзабелен connlimit. Блин, не ужели в linux, нету инструмента ограничивающих тупо количество сессий, везде токо скорость. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Badyavka Posted November 6, 2016 (edited) Такая же проблема. Подскажите, что вообще послужило причиной этой проблемы? Вирус в новом регистраторе из коробки? Или кто-то специально это делает при настройке? Если поставить абоненту обычный роутер, к примеру, тплинк, там в настройках можно включить - фильтрацию от атак ICMP-FLOOD - фильтрацию UDP-FLOOD - фильтрацию от атак TCP-SYN-FLOOD Включение этих защит поможет заблокировать атаки регистратора, который подключен к lan порту? Edited November 6, 2016 by Badyavka Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
stas_k Posted November 6, 2016 тплинк, там в настройках можно включить - фильтрацию от атак ICMP-FLOOD - фильтрацию UDP-FLOOD - фильтрацию от атак TCP-SYN-FLOOD Включение этих защит поможет заблокировать атаки регистратора, который подключен к lan порту? это не спортивно. поможет. оно тупо банит ip источника по всем протоколам. неаккуратно включенная фильтрация UDP-FLOOD рубит на корню торренты и иногда видеочат скайпа. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
nuclearcat Posted November 6, 2016 Такая же проблема. Подскажите, что вообще послужило причиной этой проблемы? Вирус в новом регистраторе из коробки? Или кто-то специально это делает при настройке? В том, что клиенты "пробрасывают" порт веб-сервера DVR "наружу". Пароли не меняют + безопасности в софте этих DVR нет никакой. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted November 7, 2016 Такая же проблема. Подскажите, что вообще послужило причиной этой проблемы? Вирус в новом регистраторе из коробки? Или кто-то специально это делает при настройке? У вас там чо инет отключили? Ботнет мираи замутился как раз на этих регистраторах, им положили Dyn -DNS прова в америке из за чего на позапрошлой неделе у них там инторнеты плохо похали. Там не вирус, там дефолтные пароли и относительно проста херня которая как когда то кодеред от одного заражённого к другому но при этом ещё и рулится централизованно. В результате у чуваков по желанию дохера гигабит говна может лится куда захотят. Учитывая общепланитарный низкий уровень интеллекта и высокий рас***яйства оно ещё лет 5 будет жить, пока регистраторы частично сами не сдохнут а частично их не прикроют. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Стич Posted November 10, 2016 (edited) https://habrahabr.ru/company/erlyvideo/blog/314146/ Edited November 10, 2016 by Стич Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted November 11, 2016 Ну и кто этим будет заниматься? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...