Jump to content

Вирусный флуд валит freebsd-шлюз

В Густелёв
 Share

Recommended Posts

В Густелёв

В Густелёв

Posted
Posted

Друзья,

 

вчера получили новую вирусню в сеть. Абоненты шлют огромное количество icmp на какой-то определенный сервер в интернете.

 

В результате такой активности, наш freebsd шлюз начинает поттупливать, повышается время прохождения через него, теряются пакеты.

 

Добавляем в ipfw первой строчкой правило deny icmp from any to any, счётчик крутится, но все проблемы всё равно проявляются.

 

Таким образом, я делаю предположение, что суть проблемы - в большом ip input на интерфейсе, таком большом, что даже фильтр ipfw не помогает.

 

Я сделал workaround, поубивав весть этот трафик фильтрами на коммутаторах.

 

Но меня теперь беспокоит проблема, что реализуема атака на наш шлюз большим количеством пакетов.

 

Какие у меня выходы?

 

1. Я могу подумать о какой-то системе лимитирования pps с одного порта, чтобы оградить себя от таких неприятностей. Подскажите, какие технологии на L2-L3 свичах применяют обычно в таких случаях?

 

2. Я могу что-то покрутить на сервере, чтобы усилить его. В какую-сторону посмотреть? Насколько я понимаю, имеет смысл изучать параметры сетевой карточки и тюнить их.

XeonVs

XeonVs

Posted
Posted (edited)

по фильтрам:

 

на fbsd:

ipfw add deny icmp from any to any not icmptypes 0,3,4,5,8,9,10,11,12,13,14,15,16,17,18

route add 83.222.226.219/32 -blackhole -iface lo0

 

на циске что-то типа:

access-list 105 deny icmp any any fragments

access-list 105 permit icmp any any echo-request

access-list 105 permit icmp any any time-exceeded

access-list 105 permit icmp any any packet-too-big

access-list 105 deny icmp any any

 

там где коммутаторы умеют, можно ограничить прямо на порту.

 

по поводу анализа, в принципе проблема та же, что и в теме http://forum.nag.ru/forum/index.php?showtopic=54539

Edited by XeonVs
В Густелёв

В Густелёв

Posted
  • Author
Posted
по фильтрам:

 

на fbsd:

ipfw add deny icmp from any to any not icmptypes 0,3,4,5,8,9,10,11,12,13,14,15,16,17,18

 

на циске что-то типа:

access-list 105 deny icmp any any fragments

access-list 105 permit icmp any any echo-request

access-list 105 permit icmp any any time-exceeded

access-list 105 permit icmp any any packet-too-big

access-list 105 deny icmp any any

 

там где коммутаторы умеют, можно ограничить прямо на порту.

 

по поводу анализа, в принципе проблема та же, что и в теме http://forum.nag.ru/forum/index.php?showtopic=54539

в том то и дело, что даже правило в ipfw блокирующее этот трафик создаёт нагрузку для нас. А вот правило на агрегации помогает.
Ivan_83

Ivan_83

Posted
Posted
Но меня теперь беспокоит проблема, что реализуема атака на наш шлюз большим количеством пакетов.
Либо лимитируйте траффик до сервера, либо делайте чтобы суммарная полоса до сервера не превышала его возможности, типа 10 клиентам по 100мегатит ставить сервер с гигабитным портом :)

Утрированно конечно.

 

Подсчитать максимальный pps при пакетах в 32 байта на гигабитном линке, потом на стенде дотюнить сервер чтобы такое держал, написать докторскую по этой теме :)

И потом, не все коммутаторы такое выдержат.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.