[В Густелёв]

Друзья,

 

вчера получили новую вирусню в сеть. Абоненты шлют огромное количество icmp на какой-то определенный сервер в интернете.

 

В результате такой активности, наш freebsd шлюз начинает поттупливать, повышается время прохождения через него, теряются пакеты.

 

Добавляем в ipfw первой строчкой правило deny icmp from any to any, счётчик крутится, но все проблемы всё равно проявляются.

 

Таким образом, я делаю предположение, что суть проблемы - в большом ip input на интерфейсе, таком большом, что даже фильтр ipfw не помогает.

 

Я сделал workaround, поубивав весть этот трафик фильтрами на коммутаторах.

 

Но меня теперь беспокоит проблема, что реализуема атака на наш шлюз большим количеством пакетов.

 

Какие у меня выходы?

 

1. Я могу подумать о какой-то системе лимитирования pps с одного порта, чтобы оградить себя от таких неприятностей. Подскажите, какие технологии на L2-L3 свичах применяют обычно в таких случаях?

 

2. Я могу что-то покрутить на сервере, чтобы усилить его. В какую-сторону посмотреть? Насколько я понимаю, имеет смысл изучать параметры сетевой карточки и тюнить их.

[terrible]

ACL icmp rx-rate

[XeonVs]

вот тут все: http://forum.nag.ru/forum/index.php?showtopic=55763

В кратце:

голова виря 83.222.226.219

дополнительные центры

92.243.21.79:80

70.32.35.17:80

[В Густелёв]

XeonVs, точно-точно, мы те же данные получили

[XeonVs]

по фильтрам:

 

на fbsd:

ipfw add deny icmp from any to any not icmptypes 0,3,4,5,8,9,10,11,12,13,14,15,16,17,18

route add 83.222.226.219/32 -blackhole -iface lo0

 

на циске что-то типа:

access-list 105 deny icmp any any fragments

access-list 105 permit icmp any any echo-request

access-list 105 permit icmp any any time-exceeded

access-list 105 permit icmp any any packet-too-big

access-list 105 deny icmp any any

 

там где коммутаторы умеют, можно ограничить прямо на порту.

 

по поводу анализа, в принципе проблема та же, что и в теме http://forum.nag.ru/forum/index.php?showtopic=54539

Изменено 18 марта, 2010 пользователем XeonVs

[В Густелёв]

по фильтрам:

 

на fbsd:

ipfw add deny icmp from any to any not icmptypes 0,3,4,5,8,9,10,11,12,13,14,15,16,17,18

 

на циске что-то типа:

access-list 105 deny icmp any any fragments

access-list 105 permit icmp any any echo-request

access-list 105 permit icmp any any time-exceeded

access-list 105 permit icmp any any packet-too-big

access-list 105 deny icmp any any

 

там где коммутаторы умеют, можно ограничить прямо на порту.

 

по поводу анализа, в принципе проблема та же, что и в теме http://forum.nag.ru/forum/index.php?showtopic=54539

в том то и дело, что даже правило в ipfw блокирующее этот трафик создаёт нагрузку для нас. А вот правило на агрегации помогает.

[Ivan_83]

Но меня теперь беспокоит проблема, что реализуема атака на наш шлюз большим количеством пакетов.

Либо лимитируйте траффик до сервера, либо делайте чтобы суммарная полоса до сервера не превышала его возможности, типа 10 клиентам по 100мегатит ставить сервер с гигабитным портом :)

Утрированно конечно.

 

Подсчитать максимальный pps при пакетах в 32 байта на гигабитном линке, потом на стенде дотюнить сервер чтобы такое держал, написать докторскую по этой теме :)

И потом, не все коммутаторы такое выдержат.