Перейти к содержимому
Калькуляторы

syn flood на 1723 порт (pptp) на циске. Нарвались на глючного клиента.

Проверил на 7201 и 7301, если на 1723 порт начинает приходить больше 10-20 syn пакетов в секунду через пару секунд перестает отвечать всем.

 

Какие варианты защиты есть?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

100 пакетов c одного ip и уже всем не отвечает.

 

 

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ищите порт этого IP и ставьте Stoprm Control на 20 broadcast

А на доступе у вас что стоит?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ищите порт этого IP и ставьте Stoprm Control на 20 broadcast
Счас матом таких советчиков крыть начну.

 

При чем тут броадкаст? vpdn шлюзы стоят за 65 каталистом.

 

Пакеты идут юникастные на адрес vpdn.

 

Клиент с переклинившим роутером конечно же был отключен через 10 мин.

 

Если не найду решение на 72 циске, то pbrом вытащу с 65й syn пакеты на фаервол. Не нравится мне, что клиент может положить впн на 10 мин.

 

P.s. Проверил на корбиновском vpn.corbina.ru. Тоже перестал отвечать всем(

Изменено пользователем Дегтярев Илья

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Прошу прощения, там Unicast нужен, перепутал.

А на доступе реал прописать ACL на Syn пакеты?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А на доступе реал прописать ACL на Syn пакеты?

Нет. И не видел L2 железок, которые это могут.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ищите порт этого IP и ставьте Stoprm Control на 20 broadcast
Счас матом таких советчиков крыть начну.

 

При чем тут броадкаст? vpdn шлюзы стоят за 65 каталистом.

 

Пакеты идут юникастные на адрес vpdn.

 

Клиент с переклинившим роутером конечно же был отключен через 10 мин.

 

Если не найду решение на 72 циске, то pbrом вытащу с 65й syn пакеты на фаервол. Не нравится мне, что клиент может положить впн на 10 мин.

 

P.s. Проверил на корбиновском vpn.corbina.ru. Тоже перестал отвечать всем(

 

а установленные до этого сессии работают?

если нет, то думаю их можно спасти повесив на самом шлюзе ratelimit с acl-ем на сины.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вообще не вижу, где на не цисках ( не на пиксах и асах) сделать органичение на количество пакетов от одного ипа.

 

Например для исходящей почты стоит отдельная виртуалька с xt_recent чтоб спамеров давить. На нее pbr с циски, чтоб прозрачно. Придется и тут также делать, скорее всего.

 

Посмотрел точно ограничения - не более 32 сессий в состояний SYNSENT.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

на 8-ом софте асы это так:

ASA(config)# policy-map CONNS-POLICY

ASA(config-pmap)# class CONNS-MAP

! The following sets connection number limits

ASA(config-pmap-c)# set connection {[conn-max n] [embryonic-conn-max n]

[per-client-embryonic-max n] [per-client-max n] [random-sequence-number {enable | disable}]}

 

 

Вообще не вижу, где на не цисках ( не на пиксах и асах) сделать органичение на количество пакетов от одного ипа.

 

Например для исходящей почты стоит отдельная виртуалька с xt_recent чтоб спамеров давить. На нее pbr с циски, чтоб прозрачно. Придется и тут также делать, скорее всего.

 

Посмотрел точно ограничения - не более 32 сессий в состояний SYNSENT.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

... не видел L2 железок, которые это могут.
ежик 3528M:

...

!

access-list ip extended pptp-syn

permit tcp any host 1.2.3.4 destination-port 1723 control-flag 2

!

class-map pptp-tcp-syn match-any

match access-list pptp-syn

!

...

!

policy-map pptp-syn-100bps

class pptp-tcp-syn

police 100 100 exceed-action drop

...

!

interface ethernet 1/9

...

service-policy input pptp-syn-100bps

!

вот как-то так..

Изменено пользователем ugluck

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Посмотрел точно ограничения - не более 32 сессий в состояний SYNSENT.

Если не секрет - где посмотрел?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если не секрет - где посмотрел?

show tcp brief | inc SYNRCVD

 

По умолчанию время жизни в этом состоянии - 30 сек.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

show tcp brief | inc SYNRCVD

 

По умолчанию время жизни в этом состоянии - 30 сек.

Спасибо. Это понятно.

Я имел ввиду, где написано что 32 сессии в состоянии SYNRCVD - это ограничение?

 

И, кстати, удалось найти решение без pbr?

 

Озабочен аналогичной проблемой. Периодически у клиентов 800-я ошибка массово. Думаю, причина та же.

 

Думаю, что предложение

policy-map pptp-syn-100bps

class pptp-tcp-syn

police 100 100 exceed-action drop

не пойдет, т.к. минимальный полицай 8 кбит/сек. В эту полосу можно много синов воткнуть. Опять же это позволит только ограничить если поток очень большой. При этом под дроп попадут и правильные сессии. Т.е. все равно будет масса 800-х ошибок.

 

Изменено пользователем Alx65

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Какие варианты защиты есть?

можно попробовать TCP Intercept включить

в аксес листе обозначить только dst address на котором терминируется впн и 1723 порт

 

http://www.cisco.com/en/US/docs/ios/11_3/s...e/scdenial.html

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

откуда инфа про мин. 8 кбит?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

откуда инфа про мин. 8 кбит?
core7604(config-pmap-c)#police ?
  WORD       8,000-10,000,000,000 Bits per second

 

можно попробовать TCP Intercept включить

в аксес листе обозначить только dst address на котором терминируется впн и 1723 порт

Вариант с TCP Intercept похоже рабочий...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

откуда инфа про мин. 8 кбит?
core7604(config-pmap-c)#police ?
  WORD       8,000-10,000,000,000 Bits per second

речь насчет полисера шла про порт L2-свича доступа. конкретно ежик ES3528M.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Проверил TCP Intercept на 6509. Проблему решит.

 

Ночью включим для теста на боевой.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.