Jump to content
Калькуляторы

Защита линукс роутера от флуд пользователей

Стоит у меня linux роутер, через который прожевывается около 3к пользователей. На нем работает NAT и шейпер. Вот задался вопросом как можно обезопасить машину от излишне агрессивных пользователей, которые например могут создавать нездоровый pps или может еще как нагружать эту машину, подскажите кто и каким образом защищается и собственно нужно ли это вообще?

Share this post


Link to post
Share on other sites

Между пользователями и Linux-роутером ставится коммутатор, в котором можно задать ограничение на pps. На самом Linux-роутере можно запускать скрипт, который периодически (скажем, каждые 15 минут) снифает транзитный трафик в течение 5 секунд и делает анализ распределения числа пакетов по IP источника. Если более 60% пакетов идут от одного IP, то это точно DoS, и надо заблокировать порт коммутатора, к которому подключен взломанный юзер.

Share this post


Link to post
Share on other sites

Между пользователями и Linux-роутером ставится коммутатор, в котором можно задать ограничение на pps. На самом Linux-роутере можно запускать скрипт, который периодически (скажем, каждые 15 минут) снифает транзитный трафик в течение 5 секунд и делает анализ распределения числа пакетов по IP источника. Если более 60% пакетов идут от одного IP, то это точно DoS, и надо заблокировать порт коммутатора, к которому подключен взломанный юзер.

Вы имеете ввиду что тупо резать всем pps суммарно? Т.е. принцип такой, если у меня 80к pps пролетает, делать например предел 100к и снифером выявлять и блочить pps спамеров?

Share this post


Link to post
Share on other sites

В целом так. Предел лучше побольше ставить, например, 500 kpps. Спамеров лучше блокировать независимо от DoSеров, просто вычисляя количество соединений на 25 порт с одного IP.

Edited by photon

Share this post


Link to post
Share on other sites

В целом так. Предел лучше побольше ставить, например, 500 kpps. Спамеров лучше блокировать независимо от DoSеров, просто вычисляя количество соединений на 25 порт с одного IP.

По 25 порту у меня уже реализована защита. На входе стоит DLINK DGS-3627, не знаю умеет ли он лимитировать по pps, а вот насчет снифера я подумаю как лучше сделать.

Share this post


Link to post
Share on other sites

А не проще ли отслеживать tcp syn или ддосят и по udp?

Share this post


Link to post
Share on other sites

Досят любым маршрутизируемым трафиком, включая tcp, udp и icmp.

Share this post


Link to post
Share on other sites

да кстати 60% - это уже опытным путем выявленное значение?Я скриптик накидал для снифера, только вот в файл он пишет больно много и долго. ограничился 100к пакетами пока за такт.

Share this post


Link to post
Share on other sites

Между пользователями и Linux-роутером ставится коммутатор, в котором можно задать ограничение на pps. На самом Linux-роутере можно запускать скрипт, который периодически (скажем, каждые 15 минут) снифает транзитный трафик в течение 5 секунд и делает анализ распределения числа пакетов по IP источника. Если более 60% пакетов идут от одного IP, то это точно DoS, и надо заблокировать порт коммутатора, к которому подключен взломанный юзер.

 

flow-dscan, кстати, умеет из NetFlow что-то похожее делать.

 

 

 

Share this post


Link to post
Share on other sites

Как-то не очень мне тема со снифером вызывает доверия, уж больно много трафика проходит, а сбор больно дискретный получается, надо наверное и правда думать в сторону нетфлоу.

Share this post


Link to post
Share on other sites

Стоит у меня linux роутер, через который прожевывается около 3к пользователей. На нем работает NAT и шейпер. Вот задался вопросом как можно обезопасить машину от излишне агрессивных пользователей, которые например могут создавать нездоровый pps или может еще как нагружать эту машину, подскажите кто и каким образом защищается и собственно нужно ли это вообще?

 

Недавно столкнулись с подобной проблемой, на трафик около 11Мбит шло около 40-60k pps! Помогло storm-control на access

Edited by a-zazell

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this