Re: [FRnOG] Re: [TECH] Detecter DDos outils et null-router sur quagga
En effet la fonctionnalité premiere du module conntrack est de gérer l'état des connexions (ce qui rend Netfilter stateful). Il enregistre les connexions dans les tables avec un timeout et met à jour les sessions. Ces tables sont consultées dans la base de règles pour autoriser ou non le trafic en fonction de son état. http://people.netfilter.org/pablo/docs/login.pdf Des modules qui pourraient aider à contrer un DoS (qui ne sature pas forcément le lien upstream vers ISP), sont *ipset, recent*, *iplimit*, *condition, geoip*... Combinés ou non, ils peuvent donner de bons résultats. Encore une fois tout dépendra du type de DoS ... Contrer un DoS applicatif (slowloris par exemple) nécessitera d'autres approches au niveau 7. Le problème primaire sera de pouvoir profiler les utilisateurs légitimes et de les distinguer des utilisateurs DoS. Tache pas toujours facile surtout que lorsqu'on fait fasse à un DoS, le temps de réaction est très limité. Par ailleurs en disposant d'outil d'analyse adapté, on peut arriver à trouver un discriminant. Les paquets issus de l'attaque auront potentiellement des points communs (paramètres TCP/IP, as hop count, as path, ...) L'idée derriere, c'est de créer une sorte de Whitelist temporaire au moment où on est confronté au DoS. Le module geoip permet par exemple de n'autoriser que certains pays à se connecter au serveur en cas d'attaque. Une proposition serait d'utiliser plusieurs chaines de traitement des paquets (Netfilter est bien adapté pour ça) et d'activer les actions de défense lorsque une condition de DoS a été déclenchée (module condition). Le module recent quant à lui permet de limiter le nombre de paquet par seconde. Le nombre de règles aura un impact sur la performance du firewall. Cela dépendra des paramètres de la machine (RAM, CPU, I/O ...). Le parcours d'un firewall classique étant linéaire (Pour Netfliter : du moins au sein d'une chaine), l'ordre des règles reste important. On aura intérêt à placer les règles qui ont un hitcount élevé au tout début de la base de règles. Mohamed Touré 2012/9/8 Thomas Mangin thomas.man...@exa-networks.co.uk Ce qu il faut surtout avec conntrack c est augmenter l allocation de memoire par defaut pour le module Sent from my iPad On 8 Sep 2012, at 18:02, Frederic Dhieux frede...@syn.fr wrote: Le 08/09/2012 18:50, Radu-Adrian Feurdean a écrit : Meme pas besoin d'une regle. Charger le module conntrack est generalement assez. Sans conntrack, quelques centaines de regles posent pas beaucoup de problemes. Pour plus, faut essayer de hierarchiser un peu. le module conntrack pose plutôt problème par rapport au trafic indépendamment des règles, les règles sur certains aspects peuvent charger le serveur, même sans conntrack, si on cumule trop de règles longues à traiter dans le cycle de netfilter. Enfin dans mes souvenirs c'est plutôt ça. Fred --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Mohamed Touré 06 38 62 99 07 --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [TECH] Detecter DDos outils et null-router sur quagga
On Sun, Sep 09, 2012 at 04:17:58PM +0200, Mohamed Touré mohamed.to...@secresys.com wrote a message of 100 lines which said: Des modules qui pourraient aider à contrer un DoS (qui ne sature pas forcément le lien upstream vers ISP), sont *ipset, recent*, *iplimit*, *condition, geoip*... Combinés ou non, ils peuvent donner de bons résultats. Et hashlimit ! http://www.bortzmeyer.org/rate-limiting-dos.html --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Detecter DDos outils et null-router sur quagga
2012/9/8 Emmanuel Thierry m...@sekil.fr Bonjour, Le 6 sept. 2012 à 15:06, Frederic Dhieux a écrit : Oui, iptables s'écroule quand on commence à mettre beaucoup de règles à la suite Est-ce qu'on a une idée du beaucoup en question ? 100 ? 1000 ? 1 ? C'est très dépendant de la façon de coder les règles et de la machine. 100 règles codées sans réelle optimisation peuvent déjà poser problème là où un petit millier, optimisé passera tout seul. Reste qu'un pare-feu implémentant plusieurs centaines de règles reste une aberration. Cordialement. --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Alexis Savin Ingénieur Systèmes/Réseaux/Sécurité --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Detecter DDos outils et null-router sur quagga
On 08/09/2012 01:58, Emmanuel Thierry wrote: Le 6 sept. 2012 à 15:06, Frederic Dhieux a écrit : Oui, iptables s'écroule quand on commence à mettre beaucoup de règles à la suite Est-ce qu'on a une idée du beaucoup en question ? 100 ? 1000 ? 1 ? Hello, Si tu routes avec Linux et que en plus tu rajoutes de la charge avec des règles alors tu n'a pas les moyens d'encaisser un DDOS un peu sérieux (et ça va très vite) : même si tu protèges le site visé l'ensemble de ton réseau va être impacté plus ou moins sévèrement. L'interface de sortie de ton routeur sur ton réseau n'est pas le goulot d'étranglement parce que ton backbone a une capa supérieure à tes liens externes autrement dit le mal est déjà fait. Je trouve bien plus intéressant de travailler avec tes upstreams pour que le trafic n'arrive pas jusqu'à ton réseau et ainsi - décharger tes routeurs (donc éviter de voir la latence grimper en flèche) - décharger tes liens de transit (congestion) - éviter de voir la facture de transit faire boum trop souvent Donc blackholing en BGP avec des communautés. Ca peut se faire assez facilement en montant un bird sur une sonde avec la liste des IPs blackolées en /32 et /64 dans une table static, envoyée à tes routeurs par un protocol bgp qui distribue le contenu de cette table à tes routeurs en ajoutant la bonne communauté (voire même, routeur par routeur, la communauté de l'upstream qui y est raccordé). La conf est simple et regénérée par ton script de détestion (kill -HUP bird pour qu'il relise sa config). Stratégie de détection dans les grandes lignes : - sflow ou netflow vers une sonde - statistiques à bonne fréquence sur les PPS pour classer les IPs visées - conjuguer éventuellement à une mesure de latence 8--- tant que (vrai) faire collecter les stats classer les IP par nombre de pps si (latence L et pps P) alors si (première IP de la liste a un trafic N fois sum(3 précédentes mesures)/3) alors si (blackholing ON et IP pas whitelistée et IP pas dans la liste a surveiller) alors blackholer IP fin_si ajouter IP dans la liste à surveiller envoyer un mail à l'admin shut IP sinon envoyer les stats a l'admin et lui dire d'améliorer son script ou ses seuils fin_sinon sinon pour chaque (IP dans la liste à surveille) faire cesser de blackholer IP envoyer un mail à l'admin no shut IP fin_faire fin_sinon attendre un peu fin_faire 8--- Algo basique à améliorer. Je suis en train de mettre ça en place sur Gixe (on a pas les moyens d'acheter du Arbor), si qqun veut jouer à développer ça avec moi il sera le bienvenu. ++ Sylvain --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Detecter DDos outils et null-router sur quagga
Bonjour, Le 8 sept. 2012 à 11:32, Sylvain Vallerot a écrit : On 08/09/2012 01:58, Emmanuel Thierry wrote: Le 6 sept. 2012 à 15:06, Frederic Dhieux a écrit : Oui, iptables s'écroule quand on commence à mettre beaucoup de règles à la suite Est-ce qu'on a une idée du beaucoup en question ? 100 ? 1000 ? 1 ? Si tu routes avec Linux et que en plus tu rajoutes de la charge avec des règles alors tu n'a pas les moyens d'encaisser un DDOS un peu sérieux (et ça va très vite) : même si tu protèges le site visé l'ensemble de ton réseau va être impacté plus ou moins sévèrement. L'interface de sortie de ton routeur sur ton réseau n'est pas le goulot d'étranglement parce que ton backbone a une capa supérieure à tes liens externes autrement dit le mal est déjà fait. Je trouve bien plus intéressant de travailler avec tes upstreams pour que le trafic n'arrive pas jusqu'à ton réseau A vrai dire je pensais à d'autres utilisations que du firewalling (marquage de paquets, sélection d'interface de sortie, etc). Des cas où il y a peu de solutions alternatives ! ;) Mais c'est une bonne idée de faire un test de montée en charge sur ce point. Cordialement. Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Detecter DDos outils et null-router sur quagga
On Sat, Sep 8, 2012, at 01:58 AM, Emmanuel Thierry wrote: Est-ce qu'on a une idée du beaucoup en question ? 100 ? 1000 ? 1 ? Meme pas besoin d'une regle. Charger le module conntrack est generalement assez. Sans conntrack, quelques centaines de regles posent pas beaucoup de problemes. Pour plus, faut essayer de hierarchiser un peu. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Detecter DDos outils et null-router sur quagga
Le 08/09/2012 18:50, Radu-Adrian Feurdean a écrit : Meme pas besoin d'une regle. Charger le module conntrack est generalement assez. Sans conntrack, quelques centaines de regles posent pas beaucoup de problemes. Pour plus, faut essayer de hierarchiser un peu. le module conntrack pose plutôt problème par rapport au trafic indépendamment des règles, les règles sur certains aspects peuvent charger le serveur, même sans conntrack, si on cumule trop de règles longues à traiter dans le cycle de netfilter. Enfin dans mes souvenirs c'est plutôt ça. Fred --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Detecter DDos outils et null-router sur quagga
Ce qu il faut surtout avec conntrack c est augmenter l allocation de memoire par defaut pour le module Sent from my iPad On 8 Sep 2012, at 18:02, Frederic Dhieux frede...@syn.fr wrote: Le 08/09/2012 18:50, Radu-Adrian Feurdean a écrit : Meme pas besoin d'une regle. Charger le module conntrack est generalement assez. Sans conntrack, quelques centaines de regles posent pas beaucoup de problemes. Pour plus, faut essayer de hierarchiser un peu. le module conntrack pose plutôt problème par rapport au trafic indépendamment des règles, les règles sur certains aspects peuvent charger le serveur, même sans conntrack, si on cumule trop de règles longues à traiter dans le cycle de netfilter. Enfin dans mes souvenirs c'est plutôt ça. Fred --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Detecter DDos outils et null-router sur quagga
Bonjour, Le 6 sept. 2012 à 15:06, Frederic Dhieux a écrit : Oui, iptables s'écroule quand on commence à mettre beaucoup de règles à la suite Est-ce qu'on a une idée du beaucoup en question ? 100 ? 1000 ? 1 ? Cordialement. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [TECH] Detecter DDos outils et null-router sur quagga
On Thu, Sep 06, 2012 at 12:37:44PM +0100, Antoine Durant antoine.duran...@yahoo.fr wrote a message of 17 lines which said: J'aimerais connaitre les outils que vous utilisez pour détecter les attaques DDoS. L'AFNIC utilise DSC http://dns.measurement-factory.com/tools/dsc/ Sur un routeur linux quagga, comment vous faites pour null-router une IP qui est méchante iptables -A INPUT -s mé.ch.an.t -j DROP Test à faire : mesurer à partir de combien d'adresses filtrés ça devient insupportable. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Detecter DDos outils et null-router sur quagga
Bonjour, Pour le null-routing, au niveau du quagga : ip route a.b.c.d/32 null0 mais je privilégierais l'iptables proposé par Stéphane, car il agit vraisemblablement à un niveau inférieur (je connais mal quagga). Pour la détection et le blocage de DDOS avec du libre / opensource, je suivrai le sujet avec attention :-) /ED Le 6 septembre 2012 14:43, Stephane Bortzmeyer bortzme...@nic.fr a écrit : On Thu, Sep 06, 2012 at 12:37:44PM +0100, Antoine Durant antoine.duran...@yahoo.fr wrote a message of 17 lines which said: J'aimerais connaitre les outils que vous utilisez pour détecter les attaques DDoS. L'AFNIC utilise DSC http://dns.measurement-factory.com/tools/dsc/ Sur un routeur linux quagga, comment vous faites pour null-router une IP qui est méchante iptables -A INPUT -s mé.ch.an.t -j DROP Test à faire : mesurer à partir de combien d'adresses filtrés ça devient insupportable. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [TECH] Detecter DDos outils et null-router sur quagga
On Thu, Sep 06, 2012 at 02:51:52PM +0200, Emmanuel D. dupl...@gmail.com wrote a message of 40 lines which said: Pour le null-routing, au niveau du quagga : ip route a.b.c.d/32 null0 Ça ne marche que pour les paquets à *destination* du méchant. Lors d'une DoS, cela peut ne pas suffire (attaque en aveugle). mais je privilégierais l'iptables proposé par Stéphane, car il agit vraisemblablement à un niveau inférieur L'énorme avantage d'iptables (enfin, Netfilter) est surtout la souplesse : cela permet d'utiliser plein d'autres critères que la seule adresse IP. Ceci dit, pour des mesures anti-DoS, il n'y a qu'un seul critère de choix, la performance. Est-ce que les deux solutions tiennent lorsque l'attaque est vraiment méchante (en b/s ou surtout en p/s) ? Lorsqu'il y a des millions d'adresses à filtrer ? À tester. Pour la détection et le blocage de DDOS avec du libre / opensource, je suivrai le sujet avec attention :-) http://www.bortzmeyer.org/rate-limiting-dos.html http://www.bortzmeyer.org/rate-limiting-dns-open-resolver.html --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Detecter DDos outils et null-router sur quagga
On 09/06/2012 02:43 PM, Stephane Bortzmeyer wrote: Sur un routeur linux quagga, comment vous faites pour null-router une IP qui est méchante iptables -A INPUT -s mé.ch.an.t -j DROP Sur un routeur comme demandé c'est plutot -A FORWARD , non ? Test à faire : mesurer à partir de combien d'adresses filtrés ça devient insupportable. Sur d'autres systèmes (pf) on peut charger des tables qui sont hashées. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [TECH] Detecter DDos outils et null-router sur quagga
On Thu, Sep 06, 2012 at 03:11:01PM +0200, Alain Thivillon a...@rominet.net wrote a message of 19 lines which said: iptables -A INPUT -s mé.ch.an.t -j DROP Sur un routeur comme demandé c'est plutot -A FORWARD , non ? Oui, tout à fait, je me fais régulièrement avoir, depuis l'époque où tous les paquets passaient par INPUT (même ceux qui n'étaient pas pour la machine locale). --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Detecter DDos outils et null-router sur quagga
On 09/06/2012 03:06 PM, Frederic Dhieux wrote: Oui, iptables s'écroule quand on commence à mettre beaucoup de règles à la suite, je dirais que si c'est vraiment la misère il faut rapidement envisager de cibler des subnets stratégiques plutôt que des IP dans le cas d'une attaque par de nombreuses IP douteuses (genre d'Asie vers un site francophone par exemple) On 09/06/2012 03:11 PM, Alain Thivillon wrote: On 09/06/2012 02:43 PM, Stephane Bortzmeyer wrote: Test à faire : mesurer à partir de combien d'adresses filtrés ça devient insupportable. Sur d'autres systèmes (pf) on peut charger des tables qui sont hashées. Vous avez essayé ipset ? En particulier avec la méthode hash. Ça a l'air de faire exactement ce que vous voulez. -- Etienne Dechamps / e-t172 - AKE Group Phone: +33 6 23 42 24 82 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Detecter DDos outils et null-router sur quagga
Bonjour la liste, Comme le souligne Alain PF gere bien les chargements de table. Je passe aussi pour donner mon avis et souligner une grande préférence pour PF sur le sujet. Ce dernier gère tellement bien les points suivant : Maximum state entries this rule can create Maximum number of unique source hosts Maximum number of established connections per host Maximum state entries per host Maximum new connections / per second(s) ce sont de bon facteurs pour limiter les problèmatique de DDOS à mon avis. Mais aussi couplé à des tables de pays ou à ipblocklist c'est un bon moyen pour dormir tranquillement. Le 6 septembre 2012 15:11, Alain Thivillon a...@rominet.net a écrit : On 09/06/2012 02:43 PM, Stephane Bortzmeyer wrote: Sur un routeur linux quagga, comment vous faites pour null-router une IP qui est méchante iptables -A INPUT -s mé.ch.an.t -j DROP Sur un routeur comme demandé c'est plutot -A FORWARD , non ? Test à faire : mesurer à partir de combien d'adresses filtrés ça devient insupportable. Sur d'autres systèmes (pf) on peut charger des tables qui sont hashées. --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Xavier Lemaire Fax 33 244 84 05 15 TEL FR 33 2 22 06 41 02 GSM Morocco 212 6 58 30 01 81 GSM Morocco 212 6 02 06 76 77 xav...@zelites.org --- Liste de diffusion du FRnOG http://www.frnog.org/
