Дегтярев Илья Опубликовано 30 июля, 2009 · Жалоба Проверил на 7201 и 7301, если на 1723 порт начинает приходить больше 10-20 syn пакетов в секунду через пару секунд перестает отвечать всем. Какие варианты защиты есть? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
terrible Опубликовано 30 июля, 2009 · Жалоба с одного IP или с разных? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Дегтярев Илья Опубликовано 30 июля, 2009 · Жалоба 100 пакетов c одного ip и уже всем не отвечает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
terrible Опубликовано 30 июля, 2009 · Жалоба Ищите порт этого IP и ставьте Stoprm Control на 20 broadcast А на доступе у вас что стоит? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Дегтярев Илья Опубликовано 30 июля, 2009 (изменено) · Жалоба Ищите порт этого IP и ставьте Stoprm Control на 20 broadcastСчас матом таких советчиков крыть начну. При чем тут броадкаст? vpdn шлюзы стоят за 65 каталистом. Пакеты идут юникастные на адрес vpdn. Клиент с переклинившим роутером конечно же был отключен через 10 мин. Если не найду решение на 72 циске, то pbrом вытащу с 65й syn пакеты на фаервол. Не нравится мне, что клиент может положить впн на 10 мин. P.s. Проверил на корбиновском vpn.corbina.ru. Тоже перестал отвечать всем( Изменено 30 июля, 2009 пользователем Дегтярев Илья Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
terrible Опубликовано 30 июля, 2009 · Жалоба Прошу прощения, там Unicast нужен, перепутал. А на доступе реал прописать ACL на Syn пакеты? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Дегтярев Илья Опубликовано 30 июля, 2009 · Жалоба А на доступе реал прописать ACL на Syn пакеты? Нет. И не видел L2 железок, которые это могут. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
chocholl Опубликовано 30 июля, 2009 · Жалоба Ищите порт этого IP и ставьте Stoprm Control на 20 broadcastСчас матом таких советчиков крыть начну. При чем тут броадкаст? vpdn шлюзы стоят за 65 каталистом. Пакеты идут юникастные на адрес vpdn. Клиент с переклинившим роутером конечно же был отключен через 10 мин. Если не найду решение на 72 циске, то pbrом вытащу с 65й syn пакеты на фаервол. Не нравится мне, что клиент может положить впн на 10 мин. P.s. Проверил на корбиновском vpn.corbina.ru. Тоже перестал отвечать всем( а установленные до этого сессии работают? если нет, то думаю их можно спасти повесив на самом шлюзе ratelimit с acl-ем на сины. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Дегтярев Илья Опубликовано 30 июля, 2009 · Жалоба Вообще не вижу, где на не цисках ( не на пиксах и асах) сделать органичение на количество пакетов от одного ипа. Например для исходящей почты стоит отдельная виртуалька с xt_recent чтоб спамеров давить. На нее pbr с циски, чтоб прозрачно. Придется и тут также делать, скорее всего. Посмотрел точно ограничения - не более 32 сессий в состояний SYNSENT. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
chocholl Опубликовано 30 июля, 2009 · Жалоба на 8-ом софте асы это так: ASA(config)# policy-map CONNS-POLICY ASA(config-pmap)# class CONNS-MAP ! The following sets connection number limits ASA(config-pmap-c)# set connection {[conn-max n] [embryonic-conn-max n] [per-client-embryonic-max n] [per-client-max n] [random-sequence-number {enable | disable}]} Вообще не вижу, где на не цисках ( не на пиксах и асах) сделать органичение на количество пакетов от одного ипа. Например для исходящей почты стоит отдельная виртуалька с xt_recent чтоб спамеров давить. На нее pbr с циски, чтоб прозрачно. Придется и тут также делать, скорее всего. Посмотрел точно ограничения - не более 32 сессий в состояний SYNSENT. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ugluck Опубликовано 30 июля, 2009 (изменено) · Жалоба ... не видел L2 железок, которые это могут.ежик 3528M:... ! access-list ip extended pptp-syn permit tcp any host 1.2.3.4 destination-port 1723 control-flag 2 ! class-map pptp-tcp-syn match-any match access-list pptp-syn ! ... ! policy-map pptp-syn-100bps class pptp-tcp-syn police 100 100 exceed-action drop ... ! interface ethernet 1/9 ... service-policy input pptp-syn-100bps ! вот как-то так.. Изменено 30 июля, 2009 пользователем ugluck Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alx65 Опубликовано 1 августа, 2009 · Жалоба Посмотрел точно ограничения - не более 32 сессий в состояний SYNSENT. Если не секрет - где посмотрел? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Дегтярев Илья Опубликовано 1 августа, 2009 · Жалоба Если не секрет - где посмотрел? show tcp brief | inc SYNRCVD По умолчанию время жизни в этом состоянии - 30 сек. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alx65 Опубликовано 2 августа, 2009 (изменено) · Жалоба show tcp brief | inc SYNRCVD По умолчанию время жизни в этом состоянии - 30 сек. Спасибо. Это понятно. Я имел ввиду, где написано что 32 сессии в состоянии SYNRCVD - это ограничение? И, кстати, удалось найти решение без pbr? Озабочен аналогичной проблемой. Периодически у клиентов 800-я ошибка массово. Думаю, причина та же. Думаю, что предложение policy-map pptp-syn-100bpsclass pptp-tcp-syn police 100 100 exceed-action drop не пойдет, т.к. минимальный полицай 8 кбит/сек. В эту полосу можно много синов воткнуть. Опять же это позволит только ограничить если поток очень большой. При этом под дроп попадут и правильные сессии. Т.е. все равно будет масса 800-х ошибок. Изменено 2 августа, 2009 пользователем Alx65 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 2 августа, 2009 · Жалоба Какие варианты защиты есть? можно попробовать TCP Intercept включить в аксес листе обозначить только dst address на котором терминируется впн и 1723 порт http://www.cisco.com/en/US/docs/ios/11_3/s...e/scdenial.html Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ugluck Опубликовано 2 августа, 2009 · Жалоба откуда инфа про мин. 8 кбит? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alx65 Опубликовано 2 августа, 2009 · Жалоба откуда инфа про мин. 8 кбит? core7604(config-pmap-c)#police ? WORD 8,000-10,000,000,000 Bits per second можно попробовать TCP Intercept включитьв аксес листе обозначить только dst address на котором терминируется впн и 1723 порт Вариант с TCP Intercept похоже рабочий... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ugluck Опубликовано 3 августа, 2009 · Жалоба откуда инфа про мин. 8 кбит? core7604(config-pmap-c)#police ? WORD 8,000-10,000,000,000 Bits per second речь насчет полисера шла про порт L2-свича доступа. конкретно ежик ES3528M. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Дегтярев Илья Опубликовано 3 августа, 2009 · Жалоба Проверил TCP Intercept на 6509. Проблему решит. Ночью включим для теста на боевой. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...