Jump to content

Защита линукс роутера от флуд пользователей

6PATyCb
 Share

Recommended Posts

6PATyCb

6PATyCb

Posted
Posted

Стоит у меня linux роутер, через который прожевывается около 3к пользователей. На нем работает NAT и шейпер. Вот задался вопросом как можно обезопасить машину от излишне агрессивных пользователей, которые например могут создавать нездоровый pps или может еще как нагружать эту машину, подскажите кто и каким образом защищается и собственно нужно ли это вообще?

photon

photon

Posted
Posted

Между пользователями и Linux-роутером ставится коммутатор, в котором можно задать ограничение на pps. На самом Linux-роутере можно запускать скрипт, который периодически (скажем, каждые 15 минут) снифает транзитный трафик в течение 5 секунд и делает анализ распределения числа пакетов по IP источника. Если более 60% пакетов идут от одного IP, то это точно DoS, и надо заблокировать порт коммутатора, к которому подключен взломанный юзер.

6PATyCb

6PATyCb

Posted
  • Author
Posted

Между пользователями и Linux-роутером ставится коммутатор, в котором можно задать ограничение на pps. На самом Linux-роутере можно запускать скрипт, который периодически (скажем, каждые 15 минут) снифает транзитный трафик в течение 5 секунд и делает анализ распределения числа пакетов по IP источника. Если более 60% пакетов идут от одного IP, то это точно DoS, и надо заблокировать порт коммутатора, к которому подключен взломанный юзер.

Вы имеете ввиду что тупо резать всем pps суммарно? Т.е. принцип такой, если у меня 80к pps пролетает, делать например предел 100к и снифером выявлять и блочить pps спамеров?

photon

photon

Posted
Posted (edited)

В целом так. Предел лучше побольше ставить, например, 500 kpps. Спамеров лучше блокировать независимо от DoSеров, просто вычисляя количество соединений на 25 порт с одного IP.

Edited by photon
6PATyCb

6PATyCb

Posted
  • Author
Posted

В целом так. Предел лучше побольше ставить, например, 500 kpps. Спамеров лучше блокировать независимо от DoSеров, просто вычисляя количество соединений на 25 порт с одного IP.

По 25 порту у меня уже реализована защита. На входе стоит DLINK DGS-3627, не знаю умеет ли он лимитировать по pps, а вот насчет снифера я подумаю как лучше сделать.

6PATyCb

6PATyCb

Posted
  • Author
Posted

да кстати 60% - это уже опытным путем выявленное значение?Я скриптик накидал для снифера, только вот в файл он пишет больно много и долго. ограничился 100к пакетами пока за такт.

Dyr

Dyr

Posted
Posted

Между пользователями и Linux-роутером ставится коммутатор, в котором можно задать ограничение на pps. На самом Linux-роутере можно запускать скрипт, который периодически (скажем, каждые 15 минут) снифает транзитный трафик в течение 5 секунд и делает анализ распределения числа пакетов по IP источника. Если более 60% пакетов идут от одного IP, то это точно DoS, и надо заблокировать порт коммутатора, к которому подключен взломанный юзер.

 

flow-dscan, кстати, умеет из NetFlow что-то похожее делать.

 

 

 

6PATyCb

6PATyCb

Posted
  • Author
Posted

Как-то не очень мне тема со снифером вызывает доверия, уж больно много трафика проходит, а сбор больно дискретный получается, надо наверное и правда думать в сторону нетфлоу.

a-zazell

a-zazell

Posted
Posted (edited)

Стоит у меня linux роутер, через который прожевывается около 3к пользователей. На нем работает NAT и шейпер. Вот задался вопросом как можно обезопасить машину от излишне агрессивных пользователей, которые например могут создавать нездоровый pps или может еще как нагружать эту машину, подскажите кто и каким образом защищается и собственно нужно ли это вообще?

 

Недавно столкнулись с подобной проблемой, на трафик около 11Мбит шло около 40-60k pps! Помогло storm-control на access

Edited by a-zazell

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.