[Techinfo] DDOS támadás

József Venczel venczelj69 at gmail.com
2018. Okt. 17., Sze, 14:52:43 CEST


Megnéztem. Mind a tshark, mind a tcpdump csak olyan csomagokat tartalmaz,
ami külső ip címről belsőre megy, vagy fordítva. Olyat egyet se, hogy
közvetlenül a szerverem/átjáróm belső vagy külső lábát címezné.
Mindkettővel csak a külső lábra érkező csomagokat kapkodtam le.

Az ide vonatkozó (INPUT) tűzfalszabályok így néznek ki:

$IPTABLES --policy INPUT DROP

$IPTABLES -A INPUT -i lo -j ACCEPT

$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -j LOG --log-prefix "be=> " --log-level 7

Előtte persze törölve van minden táblából és láncból az összes szabály.
Alapértelmezetten tehát mindent dob.
A lokális, tehát gépen belüli (127.0.0.1) forgalmat nyilván engedem.
Ezután pedig csak a folyamatban lévő kapcsolatokat engedem.

A kérdéses csomagok biztos, hogy erre jönnek, mert mindegyik bejegyzésében
szerepel a "be=> " string. A logokban niincs olyan bejegyzés, amiben a
"<=ki " vagy az "=at= " szerepelne. Ezek az OUTPUT és a FORWARD láncokat
jelölik.

Eddig azt hittem ez így jó.

Mit csinálok rosszul?
Ha ez nem DOS, akkor mi?

Üdv,
Venczel József

Fehér Sándor <fehersandor at madach-starjan.sulinet.hu> ezt írta (időpont:
2018. okt. 17., Sze, 14:11):

> Ha ddos támadásod van, az rendre az input láncon lesz, mert a
> szolgáltatásod a publikus ip-n van. /portforward esetén is, de akkor persze
> a routeren logolod/
> Ha tényleges ddos volna, szerintem megsínylené a szolgáltatásod, mivel
> tutira lehalna a sok kérés miatt.
> Jó volna egy tcpdump és/vagy wireshark annak kiderítésére, hogy mik azok a
> gyanús csomagok.
>
> Ha iptablesed van, a ddos védelmet rate limit modullal tudod megoldani,
> vagyis 1 másodperc alatt csak kb 30 kapcsolódást engedsz a többit dobod.
> Ezt persze majd neked kell behangolni, hogy mennyi az ideális, a 30 csak
> példának okáért van.
> A ddos mellé szoktam icmp rate limitet is csinálni, mert aki komolyan
> nyomja a ddos-t, az icmp is tuti megpróbálja.
> vpsnél mindennapos a ddos támadás(szerverplexnél vagyok), mikrotikre van
> BEVÁLT megoldásom, ha érdekel.
>
> 2018. 10. 17. 14:02 keltezéssel, József Venczel írta:
>
> Szia!
>
> Húha, akkor nagyon nem értek valamit... :(
>
> Igen, jól értelmezed.
>
> A válaszok nem a FORWARD láncra kellene, hogy kerüljenek?
> Mert ezek az INPUT láncon jönnek.
> És miért különböző célportokra jönnek? Miért nem a 80-asra, vagy a
> 443-asra?
>
> Bocs, ha hülyeségeket kérdezek!
> Eddig azt hittem értem mit csinálok... :(
> de akkor most már nem értem az egészet.
>
> Üdv,
> Venczel József
>
> Veres Sándor <veresh at kossuthzs-szeged.sulinet.hu> ezt írta (időpont:
> 2018. okt. 17., Sze, 13:45):
>
>> Szia!
>>
>> 2018. 10. 17. 13:09 keltezéssel, József Venczel írta:
>> > Van egy tűzfalam. Úgy állítottam be, hogy alapból mindent tiltok, csak
>> > azt engedem, amit én akarok, ez meg csak a webes forgalom, de az is
>> > csak a kliensek felől irányuló kérések alapján.
>> > Tehát, ha már kiépült kapcsolathoz tartozik, akkor jöhet, egyébként
>> > meg naplózom és DROP.
>> > Valahol, régebben olvastam, hogy ezt így érdemes csinálni és lehet,
>> > hogy tényleg...
>> >
>> > Épp a szervereim központi naplózását próbálom megoldani, amikor arra
>> > lettem figyelmes, hogy a tűzfal syslog-jában van egy csomó, különböző
>> > ip címekről jövő csomag. Mind 40 bájtos és mindegyik forrásportja a
>> > 80-as és a 443-as port, a DPT (1-65565) változó. Mindegyik célcíme a
>> > tűzfalam publikus lába.
>> >
>> > És itt jön az első kérdés: anno nem kértem semmilyen portnyitást a
>> > tűzfalra. Akkor ezek a csomagok hogyan érnek el hozzám? Nem kéne már a
>> > NIIF vagy KIFÜ vagy nemtomki tűzfalán fennakadniuk?
>>
>>
>> Ha jól értelmezem ez a szervered egy átjáró, amely NAT-ol is. Akkor ezek
>> a csomagok szerintem a klienseidtől induló kérésekre érkezett válasz
>> csomagok, amelyeknek a forrás portja természetesen 80 és 443, mivel a
>> klienseid ezeket "címezték meg".
>>
>> Veres Sándor
>>
>>
>> _______________________________________________
>> Techinfo mailing list
>> Techinfo at lista.sulinet.hu
>> Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
>> Illemtan: http://www.szag.hu/illemtan.html
>> Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
>>
>
>
> _______________________________________________
> Techinfo mailing listTechinfo at lista.sulinet.hu
> Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
> Illemtan: http://www.szag.hu/illemtan.html
> Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
>
>
>
> --
>
> _______________________________________________
> Techinfo mailing list
> Techinfo at lista.sulinet.hu
> Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
> Illemtan: http://www.szag.hu/illemtan.html
> Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
>
--------- következő rész ---------
Egy csatolt HTML állomány át lett konvertálva...
URL: <http://lista.sulinet.hu/pipermail/techinfo/attachments/20181017/46c83756/attachment.html>


További információk a(z) Techinfo levelezőlistáról