[6PATyCb]

Стоит у меня linux роутер, через который прожевывается около 3к пользователей. На нем работает NAT и шейпер. Вот задался вопросом как можно обезопасить машину от излишне агрессивных пользователей, которые например могут создавать нездоровый pps или может еще как нагружать эту машину, подскажите кто и каким образом защищается и собственно нужно ли это вообще?

[photon]

Между пользователями и Linux-роутером ставится коммутатор, в котором можно задать ограничение на pps. На самом Linux-роутере можно запускать скрипт, который периодически (скажем, каждые 15 минут) снифает транзитный трафик в течение 5 секунд и делает анализ распределения числа пакетов по IP источника. Если более 60% пакетов идут от одного IP, то это точно DoS, и надо заблокировать порт коммутатора, к которому подключен взломанный юзер.

[6PATyCb]

Между пользователями и Linux-роутером ставится коммутатор, в котором можно задать ограничение на pps. На самом Linux-роутере можно запускать скрипт, который периодически (скажем, каждые 15 минут) снифает транзитный трафик в течение 5 секунд и делает анализ распределения числа пакетов по IP источника. Если более 60% пакетов идут от одного IP, то это точно DoS, и надо заблокировать порт коммутатора, к которому подключен взломанный юзер.

Вы имеете ввиду что тупо резать всем pps суммарно? Т.е. принцип такой, если у меня 80к pps пролетает, делать например предел 100к и снифером выявлять и блочить pps спамеров?

[photon]

В целом так. Предел лучше побольше ставить, например, 500 kpps. Спамеров лучше блокировать независимо от DoSеров, просто вычисляя количество соединений на 25 порт с одного IP.

Изменено 10 января, 2012 пользователем photon

[6PATyCb]

В целом так. Предел лучше побольше ставить, например, 500 kpps. Спамеров лучше блокировать независимо от DoSеров, просто вычисляя количество соединений на 25 порт с одного IP.

По 25 порту у меня уже реализована защита. На входе стоит DLINK DGS-3627, не знаю умеет ли он лимитировать по pps, а вот насчет снифера я подумаю как лучше сделать.

[6PATyCb]

А не проще ли отслеживать tcp syn или ддосят и по udp?

[photon]

Досят любым маршрутизируемым трафиком, включая tcp, udp и icmp.

[6PATyCb]

да кстати 60% - это уже опытным путем выявленное значение?Я скриптик накидал для снифера, только вот в файл он пишет больно много и долго. ограничился 100к пакетами пока за такт.

[Dyr]

Между пользователями и Linux-роутером ставится коммутатор, в котором можно задать ограничение на pps. На самом Linux-роутере можно запускать скрипт, который периодически (скажем, каждые 15 минут) снифает транзитный трафик в течение 5 секунд и делает анализ распределения числа пакетов по IP источника. Если более 60% пакетов идут от одного IP, то это точно DoS, и надо заблокировать порт коммутатора, к которому подключен взломанный юзер.

 

flow-dscan, кстати, умеет из NetFlow что-то похожее делать.

 

 

 

[6PATyCb]

Как-то не очень мне тема со снифером вызывает доверия, уж больно много трафика проходит, а сбор больно дискретный получается, надо наверное и правда думать в сторону нетфлоу.

[a-zazell]

Стоит у меня linux роутер, через который прожевывается около 3к пользователей. На нем работает NAT и шейпер. Вот задался вопросом как можно обезопасить машину от излишне агрессивных пользователей, которые например могут создавать нездоровый pps или может еще как нагружать эту машину, подскажите кто и каким образом защищается и собственно нужно ли это вообще?

 

Недавно столкнулись с подобной проблемой, на трафик около 11Мбит шло около 40-60k pps! Помогло storm-control на access

Изменено 13 января, 2012 пользователем a-zazell