В Густелёв Опубликовано 18 марта, 2010 · Жалоба Друзья, вчера получили новую вирусню в сеть. Абоненты шлют огромное количество icmp на какой-то определенный сервер в интернете. В результате такой активности, наш freebsd шлюз начинает поттупливать, повышается время прохождения через него, теряются пакеты. Добавляем в ipfw первой строчкой правило deny icmp from any to any, счётчик крутится, но все проблемы всё равно проявляются. Таким образом, я делаю предположение, что суть проблемы - в большом ip input на интерфейсе, таком большом, что даже фильтр ipfw не помогает. Я сделал workaround, поубивав весть этот трафик фильтрами на коммутаторах. Но меня теперь беспокоит проблема, что реализуема атака на наш шлюз большим количеством пакетов. Какие у меня выходы? 1. Я могу подумать о какой-то системе лимитирования pps с одного порта, чтобы оградить себя от таких неприятностей. Подскажите, какие технологии на L2-L3 свичах применяют обычно в таких случаях? 2. Я могу что-то покрутить на сервере, чтобы усилить его. В какую-сторону посмотреть? Насколько я понимаю, имеет смысл изучать параметры сетевой карточки и тюнить их. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
terrible Опубликовано 18 марта, 2010 · Жалоба ACL icmp rx-rate Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
XeonVs Опубликовано 18 марта, 2010 · Жалоба вот тут все: http://forum.nag.ru/forum/index.php?showtopic=55763 В кратце: голова виря 83.222.226.219 дополнительные центры 92.243.21.79:80 70.32.35.17:80 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
В Густелёв Опубликовано 18 марта, 2010 · Жалоба XeonVs, точно-точно, мы те же данные получили Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
XeonVs Опубликовано 18 марта, 2010 (изменено) · Жалоба по фильтрам: на fbsd: ipfw add deny icmp from any to any not icmptypes 0,3,4,5,8,9,10,11,12,13,14,15,16,17,18 route add 83.222.226.219/32 -blackhole -iface lo0 на циске что-то типа: access-list 105 deny icmp any any fragments access-list 105 permit icmp any any echo-request access-list 105 permit icmp any any time-exceeded access-list 105 permit icmp any any packet-too-big access-list 105 deny icmp any any там где коммутаторы умеют, можно ограничить прямо на порту. по поводу анализа, в принципе проблема та же, что и в теме http://forum.nag.ru/forum/index.php?showtopic=54539 Изменено 18 марта, 2010 пользователем XeonVs Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
В Густелёв Опубликовано 18 марта, 2010 · Жалоба по фильтрам: на fbsd: ipfw add deny icmp from any to any not icmptypes 0,3,4,5,8,9,10,11,12,13,14,15,16,17,18 на циске что-то типа: access-list 105 deny icmp any any fragments access-list 105 permit icmp any any echo-request access-list 105 permit icmp any any time-exceeded access-list 105 permit icmp any any packet-too-big access-list 105 deny icmp any any там где коммутаторы умеют, можно ограничить прямо на порту. по поводу анализа, в принципе проблема та же, что и в теме http://forum.nag.ru/forum/index.php?showtopic=54539 в том то и дело, что даже правило в ipfw блокирующее этот трафик создаёт нагрузку для нас. А вот правило на агрегации помогает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 19 марта, 2010 · Жалоба Но меня теперь беспокоит проблема, что реализуема атака на наш шлюз большим количеством пакетов.Либо лимитируйте траффик до сервера, либо делайте чтобы суммарная полоса до сервера не превышала его возможности, типа 10 клиентам по 100мегатит ставить сервер с гигабитным портом :)Утрированно конечно. Подсчитать максимальный pps при пакетах в 32 байта на гигабитном линке, потом на стенде дотюнить сервер чтобы такое держал, написать докторскую по этой теме :) И потом, не все коммутаторы такое выдержат. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...