Jump to content
Калькуляторы

syn flood на 1723 порт (pptp) на циске. Нарвались на глючного клиента.

Проверил на 7201 и 7301, если на 1723 порт начинает приходить больше 10-20 syn пакетов в секунду через пару секунд перестает отвечать всем.

 

Какие варианты защиты есть?

Share this post


Link to post
Share on other sites

Ищите порт этого IP и ставьте Stoprm Control на 20 broadcast

А на доступе у вас что стоит?

Share this post


Link to post
Share on other sites
Ищите порт этого IP и ставьте Stoprm Control на 20 broadcast
Счас матом таких советчиков крыть начну.

 

При чем тут броадкаст? vpdn шлюзы стоят за 65 каталистом.

 

Пакеты идут юникастные на адрес vpdn.

 

Клиент с переклинившим роутером конечно же был отключен через 10 мин.

 

Если не найду решение на 72 циске, то pbrом вытащу с 65й syn пакеты на фаервол. Не нравится мне, что клиент может положить впн на 10 мин.

 

P.s. Проверил на корбиновском vpn.corbina.ru. Тоже перестал отвечать всем(

Edited by Дегтярев Илья

Share this post


Link to post
Share on other sites

Прошу прощения, там Unicast нужен, перепутал.

А на доступе реал прописать ACL на Syn пакеты?

 

Share this post


Link to post
Share on other sites
Ищите порт этого IP и ставьте Stoprm Control на 20 broadcast
Счас матом таких советчиков крыть начну.

 

При чем тут броадкаст? vpdn шлюзы стоят за 65 каталистом.

 

Пакеты идут юникастные на адрес vpdn.

 

Клиент с переклинившим роутером конечно же был отключен через 10 мин.

 

Если не найду решение на 72 циске, то pbrом вытащу с 65й syn пакеты на фаервол. Не нравится мне, что клиент может положить впн на 10 мин.

 

P.s. Проверил на корбиновском vpn.corbina.ru. Тоже перестал отвечать всем(

 

а установленные до этого сессии работают?

если нет, то думаю их можно спасти повесив на самом шлюзе ratelimit с acl-ем на сины.

Share this post


Link to post
Share on other sites

Вообще не вижу, где на не цисках ( не на пиксах и асах) сделать органичение на количество пакетов от одного ипа.

 

Например для исходящей почты стоит отдельная виртуалька с xt_recent чтоб спамеров давить. На нее pbr с циски, чтоб прозрачно. Придется и тут также делать, скорее всего.

 

Посмотрел точно ограничения - не более 32 сессий в состояний SYNSENT.

Share this post


Link to post
Share on other sites

на 8-ом софте асы это так:

ASA(config)# policy-map CONNS-POLICY

ASA(config-pmap)# class CONNS-MAP

! The following sets connection number limits

ASA(config-pmap-c)# set connection {[conn-max n] [embryonic-conn-max n]

[per-client-embryonic-max n] [per-client-max n] [random-sequence-number {enable | disable}]}

 

 

Вообще не вижу, где на не цисках ( не на пиксах и асах) сделать органичение на количество пакетов от одного ипа.

 

Например для исходящей почты стоит отдельная виртуалька с xt_recent чтоб спамеров давить. На нее pbr с циски, чтоб прозрачно. Придется и тут также делать, скорее всего.

 

Посмотрел точно ограничения - не более 32 сессий в состояний SYNSENT.

Share this post


Link to post
Share on other sites
... не видел L2 железок, которые это могут.
ежик 3528M:

...

!

access-list ip extended pptp-syn

permit tcp any host 1.2.3.4 destination-port 1723 control-flag 2

!

class-map pptp-tcp-syn match-any

match access-list pptp-syn

!

...

!

policy-map pptp-syn-100bps

class pptp-tcp-syn

police 100 100 exceed-action drop

...

!

interface ethernet 1/9

...

service-policy input pptp-syn-100bps

!

вот как-то так..

Edited by ugluck

Share this post


Link to post
Share on other sites
Посмотрел точно ограничения - не более 32 сессий в состояний SYNSENT.

Если не секрет - где посмотрел?

Share this post


Link to post
Share on other sites
show tcp brief | inc SYNRCVD

 

По умолчанию время жизни в этом состоянии - 30 сек.

Спасибо. Это понятно.

Я имел ввиду, где написано что 32 сессии в состоянии SYNRCVD - это ограничение?

 

И, кстати, удалось найти решение без pbr?

 

Озабочен аналогичной проблемой. Периодически у клиентов 800-я ошибка массово. Думаю, причина та же.

 

Думаю, что предложение

policy-map pptp-syn-100bps

class pptp-tcp-syn

police 100 100 exceed-action drop

не пойдет, т.к. минимальный полицай 8 кбит/сек. В эту полосу можно много синов воткнуть. Опять же это позволит только ограничить если поток очень большой. При этом под дроп попадут и правильные сессии. Т.е. все равно будет масса 800-х ошибок.

 

Edited by Alx65

Share this post


Link to post
Share on other sites

откуда инфа про мин. 8 кбит?

Share this post


Link to post
Share on other sites
откуда инфа про мин. 8 кбит?
core7604(config-pmap-c)#police ?
  WORD       8,000-10,000,000,000 Bits per second

 

можно попробовать TCP Intercept включить

в аксес листе обозначить только dst address на котором терминируется впн и 1723 порт

Вариант с TCP Intercept похоже рабочий...

Share this post


Link to post
Share on other sites
откуда инфа про мин. 8 кбит?
core7604(config-pmap-c)#police ?
  WORD       8,000-10,000,000,000 Bits per second

речь насчет полисера шла про порт L2-свича доступа. конкретно ежик ES3528M.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this