[Techinfo] DDOS támadás

Fehér Sándor fehersandor at madach-starjan.sulinet.hu
2018. Okt. 17., Sze, 14:56:45 CEST


Ez az iptables szekció teljesen rendben van.
tcpdump kimenet esetleg még segíthetne ha tudod küldeni vhogy.

2018. 10. 17. 14:52 keltezéssel, József Venczel írta:
> Megnéztem. Mind a tshark, mind a tcpdump csak olyan csomagokat 
> tartalmaz, ami külső ip címről belsőre megy, vagy fordítva. Olyat 
> egyet se, hogy közvetlenül a szerverem/átjáróm belső vagy külső lábát 
> címezné.
> Mindkettővel csak a külső lábra érkező csomagokat kapkodtam le.
>
> Az ide vonatkozó (INPUT) tűzfalszabályok így néznek ki:
>
> $IPTABLES --policy INPUT DROP
>
> $IPTABLES -A INPUT -i lo -j ACCEPT
>
> $IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
> $IPTABLES -A INPUT -j LOG --log-prefix "be=> " --log-level 7
>
> Előtte persze törölve van minden táblából és láncból az összes szabály.
> Alapértelmezetten tehát mindent dob.
> A lokális, tehát gépen belüli (127.0.0.1) forgalmat nyilván engedem.
> Ezután pedig csak a folyamatban lévő kapcsolatokat engedem.
>
> A kérdéses csomagok biztos, hogy erre jönnek, mert mindegyik 
> bejegyzésében szerepel a "be=> " string. A logokban niincs olyan 
> bejegyzés, amiben a "<=ki " vagy az "=at= " szerepelne. Ezek az OUTPUT 
> és a FORWARD láncokat jelölik.
>
> Eddig azt hittem ez így jó.
>
> Mit csinálok rosszul?
> Ha ez nem DOS, akkor mi?
>
> Üdv,
> Venczel József
>
> Fehér Sándor <fehersandor at madach-starjan.sulinet.hu 
> <mailto:fehersandor at madach-starjan.sulinet.hu>> ezt írta (időpont: 
> 2018. okt. 17., Sze, 14:11):
>
>     Ha ddos támadásod van, az rendre az input láncon lesz, mert a
>     szolgáltatásod a publikus ip-n van. /portforward esetén is, de
>     akkor persze a routeren logolod/
>     Ha tényleges ddos volna, szerintem megsínylené a szolgáltatásod,
>     mivel tutira lehalna a sok kérés miatt.
>     Jó volna egy tcpdump és/vagy wireshark annak kiderítésére, hogy
>     mik azok a gyanús csomagok.
>
>     Ha iptablesed van, a ddos védelmet rate limit modullal tudod
>     megoldani, vagyis 1 másodperc alatt csak kb 30 kapcsolódást
>     engedsz a többit dobod.
>     Ezt persze majd neked kell behangolni, hogy mennyi az ideális, a
>     30 csak példának okáért van.
>     A ddos mellé szoktam icmp rate limitet is csinálni, mert aki
>     komolyan nyomja a ddos-t, az icmp is tuti megpróbálja.
>     vpsnél mindennapos a ddos támadás(szerverplexnél vagyok),
>     mikrotikre van BEVÁLT megoldásom, ha érdekel.
>
>     2018. 10. 17. 14:02 keltezéssel, József Venczel írta:
>>     Szia!
>>
>>     Húha, akkor nagyon nem értek valamit... :(
>>
>>     Igen, jól értelmezed.
>>
>>     A válaszok nem a FORWARD láncra kellene, hogy kerüljenek?
>>     Mert ezek az INPUT láncon jönnek.
>>     És miért különböző célportokra jönnek? Miért nem a 80-asra, vagy
>>     a 443-asra?
>>
>>     Bocs, ha hülyeségeket kérdezek!
>>     Eddig azt hittem értem mit csinálok... :(
>>     de akkor most már nem értem az egészet.
>>
>>     Üdv,
>>     Venczel József
>>
>>     Veres Sándor <veresh at kossuthzs-szeged.sulinet.hu
>>     <mailto:veresh at kossuthzs-szeged.sulinet.hu>> ezt írta (időpont:
>>     2018. okt. 17., Sze, 13:45):
>>
>>         Szia!
>>
>>         2018. 10. 17. 13:09 keltezéssel, József Venczel írta:
>>         > Van egy tűzfalam. Úgy állítottam be, hogy alapból mindent
>>         tiltok, csak
>>         > azt engedem, amit én akarok, ez meg csak a webes forgalom,
>>         de az is
>>         > csak a kliensek felől irányuló kérések alapján.
>>         > Tehát, ha már kiépült kapcsolathoz tartozik, akkor jöhet,
>>         egyébként
>>         > meg naplózom és DROP.
>>         > Valahol, régebben olvastam, hogy ezt így érdemes csinálni
>>         és lehet,
>>         > hogy tényleg...
>>         >
>>         > Épp a szervereim központi naplózását próbálom megoldani,
>>         amikor arra
>>         > lettem figyelmes, hogy a tűzfal syslog-jában van egy csomó,
>>         különböző
>>         > ip címekről jövő csomag. Mind 40 bájtos és mindegyik
>>         forrásportja a
>>         > 80-as és a 443-as port, a DPT (1-65565) változó. Mindegyik
>>         célcíme a
>>         > tűzfalam publikus lába.
>>         >
>>         > És itt jön az első kérdés: anno nem kértem semmilyen
>>         portnyitást a
>>         > tűzfalra. Akkor ezek a csomagok hogyan érnek el hozzám? Nem
>>         kéne már a
>>         > NIIF vagy KIFÜ vagy nemtomki tűzfalán fennakadniuk?
>>
>>
>>         Ha jól értelmezem ez a szervered egy átjáró, amely NAT-ol is.
>>         Akkor ezek
>>         a csomagok szerintem a klienseidtől induló kérésekre érkezett
>>         válasz
>>         csomagok, amelyeknek a forrás portja természetesen 80 és 443,
>>         mivel a
>>         klienseid ezeket "címezték meg".
>>
>>         Veres Sándor
>>
>>
>>         _______________________________________________
>>         Techinfo mailing list
>>         Techinfo at lista.sulinet.hu <mailto:Techinfo at lista.sulinet.hu>
>>         Fel- és leiratkozás:
>>         http://lista.sulinet.hu/mailman/listinfo/techinfo
>>         Illemtan: http://www.szag.hu/illemtan.html
>>         Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
>>
>>
>>
>>     _______________________________________________
>>     Techinfo mailing list
>>     Techinfo at lista.sulinet.hu <mailto:Techinfo at lista.sulinet.hu>
>>     Fel- és leiratkozás:http://lista.sulinet.hu/mailman/listinfo/techinfo
>>     Illemtan:http://www.szag.hu/illemtan.html
>>     Ügyfélszolgálat FAQ:http://sulinet.niif.hu/
>
>     --
>
>     _______________________________________________
>     Techinfo mailing list
>     Techinfo at lista.sulinet.hu <mailto:Techinfo at lista.sulinet.hu>
>     Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
>     Illemtan: http://www.szag.hu/illemtan.html
>     Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
>
>
>
> _______________________________________________
> Techinfo mailing list
> Techinfo at lista.sulinet.hu
> Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
> Illemtan: http://www.szag.hu/illemtan.html
> Ügyfélszolgálat FAQ: http://sulinet.niif.hu/

--------- következő rész ---------
Egy csatolt HTML állomány át lett konvertálva...
URL: <http://lista.sulinet.hu/pipermail/techinfo/attachments/20181017/09489c87/attachment.html>


További információk a(z) Techinfo levelezőlistáról