Re: [Techinfo] DDOS támadás

[Fehér Sándor]

Ha ddos támadásod van, az rendre az input láncon lesz, mert a 
szolgáltatásod a publikus ip-n van. /portforward esetén is, de akkor 
persze a routeren logolod/
Ha tényleges ddos volna, szerintem megsínylené a szolgáltatásod, mivel 
tutira lehalna a sok kérés miatt.
Jó volna egy tcpdump és/vagy wireshark annak kiderítésére, hogy mik azok 
a gyanús csomagok.

Ha iptablesed van, a ddos védelmet rate limit modullal tudod megoldani, 
vagyis 1 másodperc alatt csak kb 30 kapcsolódást engedsz a többit dobod.
Ezt persze majd neked kell behangolni, hogy mennyi az ideális, a 30 csak 
példának okáért van.
A ddos mellé szoktam icmp rate limitet is csinálni, mert aki komolyan 
nyomja a ddos-t, az icmp is tuti megpróbálja.
vpsnél mindennapos a ddos támadás(szerverplexnél vagyok), mikrotikre van 
BEVÁLT megoldásom, ha érdekel.

2018. 10. 17. 14:02 keltezéssel, József Venczel írta:
Szia!

Húha, akkor nagyon nem értek valamit... :(

Igen, jól értelmezed.

A válaszok nem a FORWARD láncra kellene, hogy kerüljenek?
Mert ezek az INPUT láncon jönnek.
És miért különböző célportokra jönnek? Miért nem a 80-asra, vagy a 
443-asra?

Bocs, ha hülyeségeket kérdezek!
Eddig azt hittem értem mit csinálok... :(
de akkor most már nem értem az egészet.

Üdv,
Venczel József

Veres Sándor <ver...@kossuthzs-szeged.sulinet.hu 
<mailto:ver...@kossuthzs-szeged.sulinet.hu>> ezt írta (időpont: 2018. 
okt. 17., Sze, 13:45):

    Szia!

    2018. 10. 17. 13:09 keltezéssel, József Venczel írta:
    > Van egy tűzfalam. Úgy állítottam be, hogy alapból mindent
    tiltok, csak
    > azt engedem, amit én akarok, ez meg csak a webes forgalom, de az is
    > csak a kliensek felől irányuló kérések alapján.
    > Tehát, ha már kiépült kapcsolathoz tartozik, akkor jöhet, egyébként
    > meg naplózom és DROP.
    > Valahol, régebben olvastam, hogy ezt így érdemes csinálni és lehet,
    > hogy tényleg...
    >
    > Épp a szervereim központi naplózását próbálom megoldani, amikor
    arra
    > lettem figyelmes, hogy a tűzfal syslog-jában van egy csomó,
    különböző
    > ip címekről jövő csomag. Mind 40 bájtos és mindegyik forrásportja a
    > 80-as és a 443-as port, a DPT (1-65565) változó. Mindegyik
    célcíme a
    > tűzfalam publikus lába.
    >
    > És itt jön az első kérdés: anno nem kértem semmilyen portnyitást a
    > tűzfalra. Akkor ezek a csomagok hogyan érnek el hozzám? Nem kéne
    már a
    > NIIF vagy KIFÜ vagy nemtomki tűzfalán fennakadniuk?


    Ha jól értelmezem ez a szervered egy átjáró, amely NAT-ol is.
    Akkor ezek
    a csomagok szerintem a klienseidtől induló kérésekre érkezett válasz
    csomagok, amelyeknek a forrás portja természetesen 80 és 443, mivel a
    klienseid ezeket "címezték meg".

    Veres Sándor


    _______________________________________________
    Techinfo mailing list
    Techinfo@lista.sulinet.hu <mailto:Techinfo@lista.sulinet.hu>
    Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
    Illemtan: http://www.szag.hu/illemtan.html
    Ügyfélszolgálat FAQ: http://sulinet.niif.hu/



_______________________________________________
Techinfo mailing list
Techinfo@lista.sulinet.hu
Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
Illemtan: http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ: http://sulinet.niif.hu/

--

_______________________________________________
Techinfo mailing list
Techinfo@lista.sulinet.hu
Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
Illemtan: http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ: http://sulinet.niif.hu/