Jump to content

syn flood на 1723 порт (pptp) на циске.

Дегтярев Илья
 Share

Recommended Posts

Дегтярев Илья

Дегтярев Илья

Posted
  • Author
Posted (edited)
Ищите порт этого IP и ставьте Stoprm Control на 20 broadcast
Счас матом таких советчиков крыть начну.

 

При чем тут броадкаст? vpdn шлюзы стоят за 65 каталистом.

 

Пакеты идут юникастные на адрес vpdn.

 

Клиент с переклинившим роутером конечно же был отключен через 10 мин.

 

Если не найду решение на 72 циске, то pbrом вытащу с 65й syn пакеты на фаервол. Не нравится мне, что клиент может положить впн на 10 мин.

 

P.s. Проверил на корбиновском vpn.corbina.ru. Тоже перестал отвечать всем(

Edited by Дегтярев Илья
chocholl

chocholl

Posted
Posted
Ищите порт этого IP и ставьте Stoprm Control на 20 broadcast
Счас матом таких советчиков крыть начну.

 

При чем тут броадкаст? vpdn шлюзы стоят за 65 каталистом.

 

Пакеты идут юникастные на адрес vpdn.

 

Клиент с переклинившим роутером конечно же был отключен через 10 мин.

 

Если не найду решение на 72 циске, то pbrом вытащу с 65й syn пакеты на фаервол. Не нравится мне, что клиент может положить впн на 10 мин.

 

P.s. Проверил на корбиновском vpn.corbina.ru. Тоже перестал отвечать всем(

 

а установленные до этого сессии работают?

если нет, то думаю их можно спасти повесив на самом шлюзе ratelimit с acl-ем на сины.

Дегтярев Илья

Дегтярев Илья

Posted
  • Author
Posted

Вообще не вижу, где на не цисках ( не на пиксах и асах) сделать органичение на количество пакетов от одного ипа.

 

Например для исходящей почты стоит отдельная виртуалька с xt_recent чтоб спамеров давить. На нее pbr с циски, чтоб прозрачно. Придется и тут также делать, скорее всего.

 

Посмотрел точно ограничения - не более 32 сессий в состояний SYNSENT.

chocholl

chocholl

Posted
Posted

на 8-ом софте асы это так:

ASA(config)# policy-map CONNS-POLICY

ASA(config-pmap)# class CONNS-MAP

! The following sets connection number limits

ASA(config-pmap-c)# set connection {[conn-max n] [embryonic-conn-max n]

[per-client-embryonic-max n] [per-client-max n] [random-sequence-number {enable | disable}]}

 

 

Вообще не вижу, где на не цисках ( не на пиксах и асах) сделать органичение на количество пакетов от одного ипа.

 

Например для исходящей почты стоит отдельная виртуалька с xt_recent чтоб спамеров давить. На нее pbr с циски, чтоб прозрачно. Придется и тут также делать, скорее всего.

 

Посмотрел точно ограничения - не более 32 сессий в состояний SYNSENT.

ugluck

ugluck

Posted
Posted (edited)
... не видел L2 железок, которые это могут.
ежик 3528M:

...

!

access-list ip extended pptp-syn

permit tcp any host 1.2.3.4 destination-port 1723 control-flag 2

!

class-map pptp-tcp-syn match-any

match access-list pptp-syn

!

...

!

policy-map pptp-syn-100bps

class pptp-tcp-syn

police 100 100 exceed-action drop

...

!

interface ethernet 1/9

...

service-policy input pptp-syn-100bps

!

вот как-то так..

Edited by ugluck
Alx65

Alx65

Posted
Posted (edited)
show tcp brief | inc SYNRCVD

 

По умолчанию время жизни в этом состоянии - 30 сек.

Спасибо. Это понятно.

Я имел ввиду, где написано что 32 сессии в состоянии SYNRCVD - это ограничение?

 

И, кстати, удалось найти решение без pbr?

 

Озабочен аналогичной проблемой. Периодически у клиентов 800-я ошибка массово. Думаю, причина та же.

 

Думаю, что предложение

policy-map pptp-syn-100bps

class pptp-tcp-syn

police 100 100 exceed-action drop

не пойдет, т.к. минимальный полицай 8 кбит/сек. В эту полосу можно много синов воткнуть. Опять же это позволит только ограничить если поток очень большой. При этом под дроп попадут и правильные сессии. Т.е. все равно будет масса 800-х ошибок.

 

Edited by Alx65
Alx65

Alx65

Posted
Posted
откуда инфа про мин. 8 кбит?
core7604(config-pmap-c)#police ?
  WORD       8,000-10,000,000,000 Bits per second

 

можно попробовать TCP Intercept включить

в аксес листе обозначить только dst address на котором терминируется впн и 1723 порт

Вариант с TCP Intercept похоже рабочий...

ugluck

ugluck

Posted
Posted
откуда инфа про мин. 8 кбит?
core7604(config-pmap-c)#police ?
  WORD       8,000-10,000,000,000 Bits per second

речь насчет полисера шла про порт L2-свича доступа. конкретно ежик ES3528M.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.