myth Опубликовано 30 сентября, 2017 · Жалоба Всем привет. И до наших абонентов докатились ддос атаки. Хочется это дело оперативно вычислять и блокировать. Хотелось бы спросить кто как это реализует? Трафика - 1г, с перспективой роста до 2г. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nuclearcat Опубликовано 30 сентября, 2017 · Жалоба Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 30 сентября, 2017 · Жалоба А без применения отдельного сервера с зеркалом аплинка? Или я что-то не так понял? Есть вроде с iptables варианты? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nuclearcat Опубликовано 30 сентября, 2017 · Жалоба fastnetmon умеет по netflow и другим источникам Можно лепить и через NFQUEUE, только на dns amp есть большой риск что это сложит сервер, если чуть ошибиться Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 30 сентября, 2017 · Жалоба меня бы устроило "записать в лог, если юзер генерит >1000 пакетов в секунду по 53 порту" Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 30 сентября, 2017 · Жалоба Как насчет такой конструкции? iptables -A FORWARD -o eth0 -i ppp+ -p udp --dport 53 -m limit --limit 1000/s -j ACCEPT iptables -A FORWARD -o eth0 -i ppp+ -p udp --dport 53 -j LOG --log-prefix "OUT DNS Amp. detected: " iptables -A FORWARD -i eth0 -o ppp+ -p udp --dport 53 -m limit --limit 1000/s -j ACCEPT iptables -A FORWARD -i eth0 -o ppp+ -p udp --dport 53 -j LOG --log-prefix "IN DNS Amp. detected: " Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pavel.odintsov Опубликовано 1 октября, 2017 · Жалоба myth пока FNM так не умеет, но запросов такой фичи довольно много, поэтому скорее всего добавим со временем :) Вообще, такое сделать проще простого правкой 3-4 строчек в FNM. Просто возьмите какой-нить порог а-ля fragmentation и замените его задачки, чтобы считать еще один тип трафика (src/dst 53). myth FNM может работать без зеркала, с зеркалом, на зеркале, на чем угодно в общем :) Если ядро новое - можете попробовать AF_PACKET и захват трафика прямо на машине. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 1 октября, 2017 · Жалоба На действующем интерфейсе можно использовать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 1 октября, 2017 · Жалоба 2 часа назад, myth сказал: На действующем интерфейсе можно использовать? Почему нет ? Ограничивать кол-во исходящих запросов по udp, хоть это dns или ntp в секунду для пользователя это нормально. Справляется любой фиреволл, хоть ipfw хоть линуксовые. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 1 октября, 2017 · Жалоба А каков нормальный и достаточный лимит на юзера? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 1 октября, 2017 · Жалоба Только что, myth сказал: А каков нормальный и достаточный лимит на юзера? От сайта зависит, на майлвру например рекламы немеряно, примерно 10-30 запросов на резолв в секунду. 5 минут назад, myth сказал: А каков нормальный и достаточный лимит на юзера? Я пользуюсь полезной утилью dnstop во FreeBSD. Она вполне информативна, кто гадит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 1 октября, 2017 · Жалоба 7 минут назад, YuryD сказал: От сайта зависит, на майлвру например рекламы немеряно, примерно 10-30 запросов на резолв в секунду. Сколько пакетов в секунду для юзера - норма? 500-1000 в секунду? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 1 октября, 2017 · Жалоба 23 минуты назад, myth сказал: Сколько пакетов в секунду для юзера - норма? 500-1000 в секунду? По моим - не более 100 в сек, если это простой клиент. Если он у себя на реальнике почтовик поднимает, то и и более. И не пакетов, а полных запросов на резолв. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 1 октября, 2017 · Жалоба А в пакетах? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 1 октября, 2017 · Жалоба А мне в общем по барабану. dnstop просто рисует топ по днс-запросам, независимо от ответов. Ограничение на исходящие udp/53 немного решает траблему с днсампл, т.е.немного защищает внешний мир от атак от моих клиентов. Далее - как обычно, кнут и пряник. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pavel.odintsov Опубликовано 1 октября, 2017 · Жалоба 5 часов назад, myth сказал: На действующем интерфейсе можно использовать? Да, но будет оверхед - за нагрузкой смотреть крайне рекомендуется. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 1 октября, 2017 · Жалоба Что надо в конфиге написать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pavel.odintsov Опубликовано 2 октября, 2017 · Жалоба Да ничего особенного, просто 1 опцию включить - https://github.com/pavel-odintsov/fastnetmon/blob/master/src/fastnetmon.conf#L101 Установщик тут: https://github.com/pavel-odintsov/fastnetmon/blob/master/docs/INSTALL.md Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 3 октября, 2017 · Жалоба Таким образом я смогу ее запустить, не отключая интерфейс от системы и ядро им сможет пользоваться? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rdc Опубликовано 3 октября, 2017 · Жалоба я тупо зашейпил 53+123 udp - 300 кбит на рыло Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 3 октября, 2017 · Жалоба тоже вполне себе вариант Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hsvt Опубликовано 3 октября, 2017 · Жалоба А речь про ddos К абонентам или ОТ абонентов в мир? Вроде как тут говорили закрывать все распространённые порты К абонентам. pkts bytes target prot opt in out source destination 1571M 105G DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 53,67,69,123,135,136,137,139,445,161,162 match-set subscribers dst Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 4 октября, 2017 · Жалоба в основном интересуют атаки к нам Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 4 октября, 2017 · Жалоба 41 минуту назад, myth сказал: в основном интересуют атаки к нам Со стороны клиентов или аплинка? Если второе, то читать про fnm до полного понимания. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 4 октября, 2017 · Жалоба аплинка. На клиентов, в принципе, пофиг, т.к conntrack выключен Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...