[Techinfo] DDOS támadás

Fehér Sándor fehersandor at madach-starjan.sulinet.hu
2018. Okt. 17., Sze, 14:11:48 CEST


Ha ddos támadásod van, az rendre az input láncon lesz, mert a 
szolgáltatásod a publikus ip-n van. /portforward esetén is, de akkor 
persze a routeren logolod/
Ha tényleges ddos volna, szerintem megsínylené a szolgáltatásod, mivel 
tutira lehalna a sok kérés miatt.
Jó volna egy tcpdump és/vagy wireshark annak kiderítésére, hogy mik azok 
a gyanús csomagok.

Ha iptablesed van, a ddos védelmet rate limit modullal tudod megoldani, 
vagyis 1 másodperc alatt csak kb 30 kapcsolódást engedsz a többit dobod.
Ezt persze majd neked kell behangolni, hogy mennyi az ideális, a 30 csak 
példának okáért van.
A ddos mellé szoktam icmp rate limitet is csinálni, mert aki komolyan 
nyomja a ddos-t, az icmp is tuti megpróbálja.
vpsnél mindennapos a ddos támadás(szerverplexnél vagyok), mikrotikre van 
BEVÁLT megoldásom, ha érdekel.

2018. 10. 17. 14:02 keltezéssel, József Venczel írta:
> Szia!
>
> Húha, akkor nagyon nem értek valamit... :(
>
> Igen, jól értelmezed.
>
> A válaszok nem a FORWARD láncra kellene, hogy kerüljenek?
> Mert ezek az INPUT láncon jönnek.
> És miért különböző célportokra jönnek? Miért nem a 80-asra, vagy a 
> 443-asra?
>
> Bocs, ha hülyeségeket kérdezek!
> Eddig azt hittem értem mit csinálok... :(
> de akkor most már nem értem az egészet.
>
> Üdv,
> Venczel József
>
> Veres Sándor <veresh at kossuthzs-szeged.sulinet.hu 
> <mailto:veresh at kossuthzs-szeged.sulinet.hu>> ezt írta (időpont: 2018. 
> okt. 17., Sze, 13:45):
>
>     Szia!
>
>     2018. 10. 17. 13:09 keltezéssel, József Venczel írta:
>     > Van egy tűzfalam. Úgy állítottam be, hogy alapból mindent
>     tiltok, csak
>     > azt engedem, amit én akarok, ez meg csak a webes forgalom, de az is
>     > csak a kliensek felől irányuló kérések alapján.
>     > Tehát, ha már kiépült kapcsolathoz tartozik, akkor jöhet, egyébként
>     > meg naplózom és DROP.
>     > Valahol, régebben olvastam, hogy ezt így érdemes csinálni és lehet,
>     > hogy tényleg...
>     >
>     > Épp a szervereim központi naplózását próbálom megoldani, amikor
>     arra
>     > lettem figyelmes, hogy a tűzfal syslog-jában van egy csomó,
>     különböző
>     > ip címekről jövő csomag. Mind 40 bájtos és mindegyik forrásportja a
>     > 80-as és a 443-as port, a DPT (1-65565) változó. Mindegyik
>     célcíme a
>     > tűzfalam publikus lába.
>     >
>     > És itt jön az első kérdés: anno nem kértem semmilyen portnyitást a
>     > tűzfalra. Akkor ezek a csomagok hogyan érnek el hozzám? Nem kéne
>     már a
>     > NIIF vagy KIFÜ vagy nemtomki tűzfalán fennakadniuk?
>
>
>     Ha jól értelmezem ez a szervered egy átjáró, amely NAT-ol is.
>     Akkor ezek
>     a csomagok szerintem a klienseidtől induló kérésekre érkezett válasz
>     csomagok, amelyeknek a forrás portja természetesen 80 és 443, mivel a
>     klienseid ezeket "címezték meg".
>
>     Veres Sándor
>
>
>     _______________________________________________
>     Techinfo mailing list
>     Techinfo at lista.sulinet.hu <mailto:Techinfo at lista.sulinet.hu>
>     Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
>     Illemtan: http://www.szag.hu/illemtan.html
>     Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
>
>
>
> _______________________________________________
> Techinfo mailing list
> Techinfo at lista.sulinet.hu
> Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
> Illemtan: http://www.szag.hu/illemtan.html
> Ügyfélszolgálat FAQ: http://sulinet.niif.hu/

--

--------- következő rész ---------
Egy csatolt HTML állomány át lett konvertálva...
URL: <http://lista.sulinet.hu/pipermail/techinfo/attachments/20181017/582b8775/attachment.html>


További információk a(z) Techinfo levelezőlistáról