[Techinfo] DDOS támadás
Fehér Sándor
fehersandor at madach-starjan.sulinet.hu
2018. Okt. 17., Sze, 14:56:45 CEST
Ez az iptables szekció teljesen rendben van.
tcpdump kimenet esetleg még segíthetne ha tudod küldeni vhogy.
2018. 10. 17. 14:52 keltezéssel, József Venczel írta:
> Megnéztem. Mind a tshark, mind a tcpdump csak olyan csomagokat
> tartalmaz, ami külső ip címről belsőre megy, vagy fordítva. Olyat
> egyet se, hogy közvetlenül a szerverem/átjáróm belső vagy külső lábát
> címezné.
> Mindkettővel csak a külső lábra érkező csomagokat kapkodtam le.
>
> Az ide vonatkozó (INPUT) tűzfalszabályok így néznek ki:
>
> $IPTABLES --policy INPUT DROP
>
> $IPTABLES -A INPUT -i lo -j ACCEPT
>
> $IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
> $IPTABLES -A INPUT -j LOG --log-prefix "be=> " --log-level 7
>
> Előtte persze törölve van minden táblából és láncból az összes szabály.
> Alapértelmezetten tehát mindent dob.
> A lokális, tehát gépen belüli (127.0.0.1) forgalmat nyilván engedem.
> Ezután pedig csak a folyamatban lévő kapcsolatokat engedem.
>
> A kérdéses csomagok biztos, hogy erre jönnek, mert mindegyik
> bejegyzésében szerepel a "be=> " string. A logokban niincs olyan
> bejegyzés, amiben a "<=ki " vagy az "=at= " szerepelne. Ezek az OUTPUT
> és a FORWARD láncokat jelölik.
>
> Eddig azt hittem ez így jó.
>
> Mit csinálok rosszul?
> Ha ez nem DOS, akkor mi?
>
> Üdv,
> Venczel József
>
> Fehér Sándor <fehersandor at madach-starjan.sulinet.hu
> <mailto:fehersandor at madach-starjan.sulinet.hu>> ezt írta (időpont:
> 2018. okt. 17., Sze, 14:11):
>
> Ha ddos támadásod van, az rendre az input láncon lesz, mert a
> szolgáltatásod a publikus ip-n van. /portforward esetén is, de
> akkor persze a routeren logolod/
> Ha tényleges ddos volna, szerintem megsínylené a szolgáltatásod,
> mivel tutira lehalna a sok kérés miatt.
> Jó volna egy tcpdump és/vagy wireshark annak kiderítésére, hogy
> mik azok a gyanús csomagok.
>
> Ha iptablesed van, a ddos védelmet rate limit modullal tudod
> megoldani, vagyis 1 másodperc alatt csak kb 30 kapcsolódást
> engedsz a többit dobod.
> Ezt persze majd neked kell behangolni, hogy mennyi az ideális, a
> 30 csak példának okáért van.
> A ddos mellé szoktam icmp rate limitet is csinálni, mert aki
> komolyan nyomja a ddos-t, az icmp is tuti megpróbálja.
> vpsnél mindennapos a ddos támadás(szerverplexnél vagyok),
> mikrotikre van BEVÁLT megoldásom, ha érdekel.
>
> 2018. 10. 17. 14:02 keltezéssel, József Venczel írta:
>> Szia!
>>
>> Húha, akkor nagyon nem értek valamit... :(
>>
>> Igen, jól értelmezed.
>>
>> A válaszok nem a FORWARD láncra kellene, hogy kerüljenek?
>> Mert ezek az INPUT láncon jönnek.
>> És miért különböző célportokra jönnek? Miért nem a 80-asra, vagy
>> a 443-asra?
>>
>> Bocs, ha hülyeségeket kérdezek!
>> Eddig azt hittem értem mit csinálok... :(
>> de akkor most már nem értem az egészet.
>>
>> Üdv,
>> Venczel József
>>
>> Veres Sándor <veresh at kossuthzs-szeged.sulinet.hu
>> <mailto:veresh at kossuthzs-szeged.sulinet.hu>> ezt írta (időpont:
>> 2018. okt. 17., Sze, 13:45):
>>
>> Szia!
>>
>> 2018. 10. 17. 13:09 keltezéssel, József Venczel írta:
>> > Van egy tűzfalam. Úgy állítottam be, hogy alapból mindent
>> tiltok, csak
>> > azt engedem, amit én akarok, ez meg csak a webes forgalom,
>> de az is
>> > csak a kliensek felől irányuló kérések alapján.
>> > Tehát, ha már kiépült kapcsolathoz tartozik, akkor jöhet,
>> egyébként
>> > meg naplózom és DROP.
>> > Valahol, régebben olvastam, hogy ezt így érdemes csinálni
>> és lehet,
>> > hogy tényleg...
>> >
>> > Épp a szervereim központi naplózását próbálom megoldani,
>> amikor arra
>> > lettem figyelmes, hogy a tűzfal syslog-jában van egy csomó,
>> különböző
>> > ip címekről jövő csomag. Mind 40 bájtos és mindegyik
>> forrásportja a
>> > 80-as és a 443-as port, a DPT (1-65565) változó. Mindegyik
>> célcíme a
>> > tűzfalam publikus lába.
>> >
>> > És itt jön az első kérdés: anno nem kértem semmilyen
>> portnyitást a
>> > tűzfalra. Akkor ezek a csomagok hogyan érnek el hozzám? Nem
>> kéne már a
>> > NIIF vagy KIFÜ vagy nemtomki tűzfalán fennakadniuk?
>>
>>
>> Ha jól értelmezem ez a szervered egy átjáró, amely NAT-ol is.
>> Akkor ezek
>> a csomagok szerintem a klienseidtől induló kérésekre érkezett
>> válasz
>> csomagok, amelyeknek a forrás portja természetesen 80 és 443,
>> mivel a
>> klienseid ezeket "címezték meg".
>>
>> Veres Sándor
>>
>>
>> _______________________________________________
>> Techinfo mailing list
>> Techinfo at lista.sulinet.hu <mailto:Techinfo at lista.sulinet.hu>
>> Fel- és leiratkozás:
>> http://lista.sulinet.hu/mailman/listinfo/techinfo
>> Illemtan: http://www.szag.hu/illemtan.html
>> Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
>>
>>
>>
>> _______________________________________________
>> Techinfo mailing list
>> Techinfo at lista.sulinet.hu <mailto:Techinfo at lista.sulinet.hu>
>> Fel- és leiratkozás:http://lista.sulinet.hu/mailman/listinfo/techinfo
>> Illemtan:http://www.szag.hu/illemtan.html
>> Ügyfélszolgálat FAQ:http://sulinet.niif.hu/
>
> --
>
> _______________________________________________
> Techinfo mailing list
> Techinfo at lista.sulinet.hu <mailto:Techinfo at lista.sulinet.hu>
> Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
> Illemtan: http://www.szag.hu/illemtan.html
> Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
>
>
>
> _______________________________________________
> Techinfo mailing list
> Techinfo at lista.sulinet.hu
> Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
> Illemtan: http://www.szag.hu/illemtan.html
> Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
--------- következő rész ---------
Egy csatolt HTML állomány át lett konvertálva...
URL: <http://lista.sulinet.hu/pipermail/techinfo/attachments/20181017/09489c87/attachment.html>
További információk a(z) Techinfo levelezőlistáról