[myth]

Всем привет. И до наших абонентов докатились ддос атаки. Хочется это дело оперативно вычислять и блокировать. Хотелось бы спросить кто как это реализует? Трафика - 1г, с перспективой роста до 2г.

[nuclearcat]

 

[myth]

А без применения отдельного сервера с зеркалом аплинка? Или я что-то не так понял?

Есть вроде с iptables варианты?

[nuclearcat]

fastnetmon умеет по netflow и другим источникам

Можно лепить и через NFQUEUE, только на dns amp есть большой риск что это сложит сервер, если чуть ошибиться

[myth]

меня бы устроило "записать в лог, если юзер генерит >1000 пакетов в секунду по 53 порту"

[myth]

Как насчет такой конструкции?

iptables -A FORWARD -o eth0 -i ppp+ -p udp --dport 53 -m limit --limit 1000/s -j ACCEPT
iptables -A FORWARD -o eth0 -i ppp+ -p udp --dport 53 -j LOG --log-prefix "OUT DNS Amp. detected: "


iptables -A FORWARD -i eth0 -o ppp+ -p udp --dport 53 -m limit --limit 1000/s -j ACCEPT
iptables -A FORWARD -i eth0 -o ppp+ -p udp --dport 53 -j LOG --log-prefix "IN DNS Amp. detected: "

 

[pavel.odintsov]

myth пока FNM так не умеет, но запросов такой фичи довольно много, поэтому скорее всего добавим со временем :)

 

Вообще, такое сделать проще простого правкой 3-4 строчек в FNM. Просто возьмите какой-нить порог а-ля fragmentation и замените его задачки, чтобы считать еще один тип трафика (src/dst 53).

 

myth FNM может работать без зеркала, с зеркалом, на зеркале, на чем угодно в общем :) Если ядро новое - можете попробовать AF_PACKET и захват трафика прямо на машине.

[myth]

На действующем интерфейсе можно использовать?

 

[YuryD]

 

2 часа назад, myth сказал:

На действующем интерфейсе можно использовать?

 

 Почему нет ? Ограничивать кол-во исходящих запросов по udp, хоть это dns или ntp в секунду для пользователя это нормально. Справляется любой фиреволл, хоть ipfw хоть линуксовые.

[myth]

А каков нормальный и достаточный лимит на юзера?

[YuryD]

Только что, myth сказал:

А каков нормальный и достаточный лимит на юзера?

 От сайта зависит, на майлвру например рекламы немеряно, примерно 10-30 запросов на резолв в секунду.

 

5 минут назад, myth сказал:

А каков нормальный и достаточный лимит на юзера?

 Я пользуюсь полезной утилью dnstop во FreeBSD.  Она вполне информативна, кто гадит.

[myth]

7 минут назад, YuryD сказал:

От сайта зависит, на майлвру например рекламы немеряно, примерно 10-30 запросов на резолв в секунду.

Сколько пакетов в секунду для юзера - норма? 500-1000 в секунду?

[YuryD]

23 минуты назад, myth сказал:

Сколько пакетов в секунду для юзера - норма? 500-1000 в секунду?

 По моим - не более 100 в сек, если это простой клиент. Если он у себя на реальнике почтовик поднимает, то и и более. И не пакетов, а полных запросов на резолв.

[myth]

А в пакетах?

[YuryD]

А мне в общем по барабану. dnstop просто рисует топ по днс-запросам, независимо от ответов. Ограничение на исходящие udp/53  немного решает траблему с днсампл, т.е.немного  защищает внешний мир от атак от моих клиентов. Далее - как обычно, кнут и пряник.

[pavel.odintsov]

5 часов назад, myth сказал:

На действующем интерфейсе можно использовать?

 

Да, но будет оверхед - за нагрузкой смотреть крайне рекомендуется. 

[myth]

Что надо в конфиге написать?

[pavel.odintsov]

Да ничего особенного, просто 1 опцию включить - https://github.com/pavel-odintsov/fastnetmon/blob/master/src/fastnetmon.conf#L101 Установщик тут: https://github.com/pavel-odintsov/fastnetmon/blob/master/docs/INSTALL.md 

[myth]

Таким образом я смогу ее запустить, не отключая интерфейс от системы и ядро им сможет пользоваться?

[rdc]

я тупо зашейпил 53+123 udp - 300 кбит на рыло

[myth]

тоже вполне себе вариант

[hsvt]

А речь про ddos К абонентам или ОТ абонентов в мир?

 

Вроде как тут говорили закрывать все распространённые порты К абонентам.

 

 pkts bytes target     prot opt in     out     source               destination
1571M  105G DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0            multiport dports 53,67,69,123,135,136,137,139,445,161,162 match-set subscribers dst

 

[myth]

в основном интересуют атаки к нам

[snvoronkov]

41 минуту назад, myth сказал:

в основном интересуют атаки к нам

Со стороны клиентов или аплинка? Если второе, то читать про fnm до полного понимания.

[myth]

аплинка. На клиентов, в принципе, пофиг, т.к conntrack выключен