disappointed Posted June 26, 2011 Posted June 26, 2011 (edited) Систематический замечал неперрывно долбящиеся роутеры клиентов, но всё руки не доходили сделать контроль авторизаций. Сегодня после очередной, смачно сошедшей с ума коробки, которая держала поднятую сессию и при этом молотила попытками авторизоваться паралельно, дописал защиту в радиус. Не более 30 авторизационных событий за 10 минут, по совпадению логина либо мака. Безусловно радиус многопоточен, но несколько таких флудящих коробок неслабо отжирают авторизационный ресурс и засирают БД бесполезными данными. Интересно, а как решается эта проблема в более крупных сетях у вас коллеги? Edited June 26, 2011 by disappointed Вставить ник Quote
NiTr0 Posted June 26, 2011 Posted June 26, 2011 (edited) Иптейблсом попытаться резать флуд PADI к примеру, лимит скажем 10 пакетов в 5 минут (возможо, придется подпилить recent или написать свой аналог для работы с маками вместо ип). В свое время на пптп резали. Но после перехода на пппое лениво стало. Да и ресурсов-то она не кушает толком - время обслуживания одного auth пакета 70-100 мсек :) Edited June 26, 2011 by NiTr0 Вставить ник Quote
disappointed Posted June 26, 2011 Author Posted June 26, 2011 время обслуживания одного auth пакета 70-100 мсек :) А если нужно access-reject вернуть? Я делаю паузу перед ответом 2сек., чтобы не брутфорсили. Вставить ник Quote
Ivan Rostovikov Posted June 27, 2011 Posted June 27, 2011 (edited) В bgbilling встроен механизм "бана" для таких случаев. Сразу отвечает ошибкой 691, не привлекая механизмы "aaa". Про паузу в 2 сек - это правильно. Возьму на заметку. Edited June 27, 2011 by Ivan Rostovikov Вставить ник Quote
StSphinx Posted June 27, 2011 Posted June 27, 2011 Мы решаем это функциями BRAS'a. У нас ESR10K8, в конфиге bba-group: sessions per-mac throttle 6 60 240 , что значит блокировать MAC на 240 секунд, если с него было 6 попыток авторизации в течение 60 секунд. Параметры подбирали опытным путем. Вставить ник Quote
disappointed Posted June 27, 2011 Author Posted June 27, 2011 Я сделал пока бан без Access-Reject, просто молчание в ответ BRASу, тесты показали, что если возвращать "691", то роутеры долбятся чаще. Вставить ник Quote
NiTr0 Posted June 27, 2011 Posted June 27, 2011 А если нужно access-reject вернуть? Я делаю паузу перед ответом 2сек., чтобы не брутфорсили. Счетчик попыток брута, более 10-20 - блокируется акка которую брутят, скажем на час (или до действия админа). + ко всему - по MAC+login брутить печально, а узнавший мак - с большой вероятностью знает и пароль. Вставить ник Quote
andriko Posted June 29, 2011 Posted June 29, 2011 вот тож думал поизучать такие коробки, если смотреть по макам, то страдают етим почти все дишовые роутеры. в большинстве случаев лечится выключением и включением питания. Звоним клиенту... хотелось бы им програмно чего-нить вернуть чтобы заткнулись. кстати, дхсп они тож умдряються реквестить раз в 5сек. Вставить ник Quote
Ivan_83 Posted June 29, 2011 Posted June 29, 2011 дхсп они тож умдряються реквестить раз в 5сек. С дефолтной прошивкой в дхцп бывают всякие чудеса, после апдейда до последней проходит почти у всех. Вставить ник Quote
NiTr0 Posted June 29, 2011 Posted June 29, 2011 Коробки c вендорными прошивками (независимо от версии) вообще вещь в себе... К примеру, асусы wl520gC что ли спустя некоторое время аптайма вдруг решают вещать DHCP не только в LAN, но и в WAN порты... и еще какое-то чудо вдруг начало отзываться на пинг любой машины из подсети, при этом отвечая через туннель... в итоге к примеру при ping 10.1.2.3 приходил добросовестно ответ от, скажем, 91.xxx.xxx.24. В основном SOHO коробки не рассчитываются на длительный аптайм, и качество тестирования ПО у них обычно удручает. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.