6PATyCb Опубликовано 10 января, 2012 · Жалоба Стоит у меня linux роутер, через который прожевывается около 3к пользователей. На нем работает NAT и шейпер. Вот задался вопросом как можно обезопасить машину от излишне агрессивных пользователей, которые например могут создавать нездоровый pps или может еще как нагружать эту машину, подскажите кто и каким образом защищается и собственно нужно ли это вообще? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
photon Опубликовано 10 января, 2012 · Жалоба Между пользователями и Linux-роутером ставится коммутатор, в котором можно задать ограничение на pps. На самом Linux-роутере можно запускать скрипт, который периодически (скажем, каждые 15 минут) снифает транзитный трафик в течение 5 секунд и делает анализ распределения числа пакетов по IP источника. Если более 60% пакетов идут от одного IP, то это точно DoS, и надо заблокировать порт коммутатора, к которому подключен взломанный юзер. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
6PATyCb Опубликовано 10 января, 2012 · Жалоба Между пользователями и Linux-роутером ставится коммутатор, в котором можно задать ограничение на pps. На самом Linux-роутере можно запускать скрипт, который периодически (скажем, каждые 15 минут) снифает транзитный трафик в течение 5 секунд и делает анализ распределения числа пакетов по IP источника. Если более 60% пакетов идут от одного IP, то это точно DoS, и надо заблокировать порт коммутатора, к которому подключен взломанный юзер. Вы имеете ввиду что тупо резать всем pps суммарно? Т.е. принцип такой, если у меня 80к pps пролетает, делать например предел 100к и снифером выявлять и блочить pps спамеров? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
photon Опубликовано 10 января, 2012 (изменено) · Жалоба В целом так. Предел лучше побольше ставить, например, 500 kpps. Спамеров лучше блокировать независимо от DoSеров, просто вычисляя количество соединений на 25 порт с одного IP. Изменено 10 января, 2012 пользователем photon Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
6PATyCb Опубликовано 10 января, 2012 · Жалоба В целом так. Предел лучше побольше ставить, например, 500 kpps. Спамеров лучше блокировать независимо от DoSеров, просто вычисляя количество соединений на 25 порт с одного IP. По 25 порту у меня уже реализована защита. На входе стоит DLINK DGS-3627, не знаю умеет ли он лимитировать по pps, а вот насчет снифера я подумаю как лучше сделать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
6PATyCb Опубликовано 10 января, 2012 · Жалоба А не проще ли отслеживать tcp syn или ддосят и по udp? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
photon Опубликовано 10 января, 2012 · Жалоба Досят любым маршрутизируемым трафиком, включая tcp, udp и icmp. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
6PATyCb Опубликовано 10 января, 2012 · Жалоба да кстати 60% - это уже опытным путем выявленное значение?Я скриптик накидал для снифера, только вот в файл он пишет больно много и долго. ограничился 100к пакетами пока за такт. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dyr Опубликовано 10 января, 2012 · Жалоба Между пользователями и Linux-роутером ставится коммутатор, в котором можно задать ограничение на pps. На самом Linux-роутере можно запускать скрипт, который периодически (скажем, каждые 15 минут) снифает транзитный трафик в течение 5 секунд и делает анализ распределения числа пакетов по IP источника. Если более 60% пакетов идут от одного IP, то это точно DoS, и надо заблокировать порт коммутатора, к которому подключен взломанный юзер. flow-dscan, кстати, умеет из NetFlow что-то похожее делать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
6PATyCb Опубликовано 12 января, 2012 · Жалоба Как-то не очень мне тема со снифером вызывает доверия, уж больно много трафика проходит, а сбор больно дискретный получается, надо наверное и правда думать в сторону нетфлоу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
a-zazell Опубликовано 13 января, 2012 (изменено) · Жалоба Стоит у меня linux роутер, через который прожевывается около 3к пользователей. На нем работает NAT и шейпер. Вот задался вопросом как можно обезопасить машину от излишне агрессивных пользователей, которые например могут создавать нездоровый pps или может еще как нагружать эту машину, подскажите кто и каким образом защищается и собственно нужно ли это вообще? Недавно столкнулись с подобной проблемой, на трафик около 11Мбит шло около 40-60k pps! Помогло storm-control на access Изменено 13 января, 2012 пользователем a-zazell Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...