Jump to content
Калькуляторы

Вирусный флуд валит freebsd-шлюз Очень много пакетов, очень.

Друзья,

 

вчера получили новую вирусню в сеть. Абоненты шлют огромное количество icmp на какой-то определенный сервер в интернете.

 

В результате такой активности, наш freebsd шлюз начинает поттупливать, повышается время прохождения через него, теряются пакеты.

 

Добавляем в ipfw первой строчкой правило deny icmp from any to any, счётчик крутится, но все проблемы всё равно проявляются.

 

Таким образом, я делаю предположение, что суть проблемы - в большом ip input на интерфейсе, таком большом, что даже фильтр ipfw не помогает.

 

Я сделал workaround, поубивав весть этот трафик фильтрами на коммутаторах.

 

Но меня теперь беспокоит проблема, что реализуема атака на наш шлюз большим количеством пакетов.

 

Какие у меня выходы?

 

1. Я могу подумать о какой-то системе лимитирования pps с одного порта, чтобы оградить себя от таких неприятностей. Подскажите, какие технологии на L2-L3 свичах применяют обычно в таких случаях?

 

2. Я могу что-то покрутить на сервере, чтобы усилить его. В какую-сторону посмотреть? Насколько я понимаю, имеет смысл изучать параметры сетевой карточки и тюнить их.

Share this post


Link to post
Share on other sites

по фильтрам:

 

на fbsd:

ipfw add deny icmp from any to any not icmptypes 0,3,4,5,8,9,10,11,12,13,14,15,16,17,18

route add 83.222.226.219/32 -blackhole -iface lo0

 

на циске что-то типа:

access-list 105 deny icmp any any fragments

access-list 105 permit icmp any any echo-request

access-list 105 permit icmp any any time-exceeded

access-list 105 permit icmp any any packet-too-big

access-list 105 deny icmp any any

 

там где коммутаторы умеют, можно ограничить прямо на порту.

 

по поводу анализа, в принципе проблема та же, что и в теме http://forum.nag.ru/forum/index.php?showtopic=54539

Edited by XeonVs

Share this post


Link to post
Share on other sites
по фильтрам:

 

на fbsd:

ipfw add deny icmp from any to any not icmptypes 0,3,4,5,8,9,10,11,12,13,14,15,16,17,18

 

на циске что-то типа:

access-list 105 deny icmp any any fragments

access-list 105 permit icmp any any echo-request

access-list 105 permit icmp any any time-exceeded

access-list 105 permit icmp any any packet-too-big

access-list 105 deny icmp any any

 

там где коммутаторы умеют, можно ограничить прямо на порту.

 

по поводу анализа, в принципе проблема та же, что и в теме http://forum.nag.ru/forum/index.php?showtopic=54539

в том то и дело, что даже правило в ipfw блокирующее этот трафик создаёт нагрузку для нас. А вот правило на агрегации помогает.

Share this post


Link to post
Share on other sites
Но меня теперь беспокоит проблема, что реализуема атака на наш шлюз большим количеством пакетов.
Либо лимитируйте траффик до сервера, либо делайте чтобы суммарная полоса до сервера не превышала его возможности, типа 10 клиентам по 100мегатит ставить сервер с гигабитным портом :)

Утрированно конечно.

 

Подсчитать максимальный pps при пакетах в 32 байта на гигабитном линке, потом на стенде дотюнить сервер чтобы такое держал, написать докторскую по этой теме :)

И потом, не все коммутаторы такое выдержат.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this