Re: [Techinfo] DDOS támadás

[Fehér Sándor]

Ez az iptables szekció teljesen rendben van.
tcpdump kimenet esetleg még segíthetne ha tudod küldeni vhogy.

2018. 10. 17. 14:52 keltezéssel, József Venczel írta:

Megnéztem. Mind a tshark, mind a tcpdump csak olyan csomagokat tartalmaz, ami külső ip címről belsőre megy, vagy fordítva. Olyat egyet se, hogy közvetlenül a szerverem/átjáróm belső vagy külső lábát címezné.

Mindkettővel csak a külső lábra érkező csomagokat kapkodtam le.

Az ide vonatkozó (INPUT) tűzfalszabályok így néznek ki:

$IPTABLES --policy INPUT DROP

$IPTABLES -A INPUT -i lo -j ACCEPT

$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -j LOG --log-prefix "be=> " --log-level 7

Előtte persze törölve van minden táblából és láncból az összes szabály.
Alapértelmezetten tehát mindent dob.
A lokális, tehát gépen belüli (127.0.0.1) forgalmat nyilván engedem.
Ezután pedig csak a folyamatban lévő kapcsolatokat engedem.

A kérdéses csomagok biztos, hogy erre jönnek, mert mindegyik bejegyzésében szerepel a "be=> " string. A logokban niincs olyan bejegyzés, amiben a "<=ki " vagy az "=at= " szerepelne. Ezek az OUTPUT és a FORWARD láncokat jelölik.

Eddig azt hittem ez így jó.

Mit csinálok rosszul?
Ha ez nem DOS, akkor mi?

Üdv,
Venczel József

Fehér Sándor <fehersan...@madach-starjan.sulinet.hu <mailto:fehersan...@madach-starjan.sulinet.hu>> ezt írta (időpont: 2018. okt. 17., Sze, 14:11):

    Ha ddos támadásod van, az rendre az input láncon lesz, mert a
    szolgáltatásod a publikus ip-n van. /portforward esetén is, de
    akkor persze a routeren logolod/
    Ha tényleges ddos volna, szerintem megsínylené a szolgáltatásod,
    mivel tutira lehalna a sok kérés miatt.
    Jó volna egy tcpdump és/vagy wireshark annak kiderítésére, hogy
    mik azok a gyanús csomagok.

    Ha iptablesed van, a ddos védelmet rate limit modullal tudod
    megoldani, vagyis 1 másodperc alatt csak kb 30 kapcsolódást
    engedsz a többit dobod.
    Ezt persze majd neked kell behangolni, hogy mennyi az ideális, a
    30 csak példának okáért van.
    A ddos mellé szoktam icmp rate limitet is csinálni, mert aki
    komolyan nyomja a ddos-t, az icmp is tuti megpróbálja.
    vpsnél mindennapos a ddos támadás(szerverplexnél vagyok),
    mikrotikre van BEVÁLT megoldásom, ha érdekel.

    2018. 10. 17. 14:02 keltezéssel, József Venczel írta:

    Szia!

    Húha, akkor nagyon nem értek valamit... :(

    Igen, jól értelmezed.

    A válaszok nem a FORWARD láncra kellene, hogy kerüljenek?
    Mert ezek az INPUT láncon jönnek.
    És miért különböző célportokra jönnek? Miért nem a 80-asra, vagy
    a 443-asra?

    Bocs, ha hülyeségeket kérdezek!
    Eddig azt hittem értem mit csinálok... :(
    de akkor most már nem értem az egészet.

    Üdv,
    Venczel József

    Veres Sándor <ver...@kossuthzs-szeged.sulinet.hu
    <mailto:ver...@kossuthzs-szeged.sulinet.hu>> ezt írta (időpont:
    2018. okt. 17., Sze, 13:45):

        Szia!

        2018. 10. 17. 13:09 keltezéssel, József Venczel írta:
        > Van egy tűzfalam. Úgy állítottam be, hogy alapból mindent
        tiltok, csak
        > azt engedem, amit én akarok, ez meg csak a webes forgalom,
        de az is
        > csak a kliensek felől irányuló kérések alapján.
        > Tehát, ha már kiépült kapcsolathoz tartozik, akkor jöhet,
        egyébként
        > meg naplózom és DROP.
        > Valahol, régebben olvastam, hogy ezt így érdemes csinálni
        és lehet,
        > hogy tényleg...
        >
        > Épp a szervereim központi naplózását próbálom megoldani,
        amikor arra
        > lettem figyelmes, hogy a tűzfal syslog-jában van egy csomó,
        különböző
        > ip címekről jövő csomag. Mind 40 bájtos és mindegyik
        forrásportja a
        > 80-as és a 443-as port, a DPT (1-65565) változó. Mindegyik
        célcíme a
        > tűzfalam publikus lába.
        >
        > És itt jön az első kérdés: anno nem kértem semmilyen
        portnyitást a
        > tűzfalra. Akkor ezek a csomagok hogyan érnek el hozzám? Nem
        kéne már a
        > NIIF vagy KIFÜ vagy nemtomki tűzfalán fennakadniuk?


        Ha jól értelmezem ez a szervered egy átjáró, amely NAT-ol is.
        Akkor ezek
        a csomagok szerintem a klienseidtől induló kérésekre érkezett
        válasz
        csomagok, amelyeknek a forrás portja természetesen 80 és 443,
        mivel a
        klienseid ezeket "címezték meg".

        Veres Sándor


        _______________________________________________
        Techinfo mailing list
        Techinfo@lista.sulinet.hu <mailto:Techinfo@lista.sulinet.hu>
        Fel- és leiratkozás:
        http://lista.sulinet.hu/mailman/listinfo/techinfo
        Illemtan: http://www.szag.hu/illemtan.html
        Ügyfélszolgálat FAQ: http://sulinet.niif.hu/



    _______________________________________________
    Techinfo mailing list
    Techinfo@lista.sulinet.hu <mailto:Techinfo@lista.sulinet.hu>
    Fel- és leiratkozás:http://lista.sulinet.hu/mailman/listinfo/techinfo
    Illemtan:http://www.szag.hu/illemtan.html
    Ügyfélszolgálat FAQ:http://sulinet.niif.hu/

    --

    _______________________________________________
    Techinfo mailing list
    Techinfo@lista.sulinet.hu <mailto:Techinfo@lista.sulinet.hu>
    Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
    Illemtan: http://www.szag.hu/illemtan.html
    Ügyfélszolgálat FAQ: http://sulinet.niif.hu/



_______________________________________________
Techinfo mailing list
Techinfo@lista.sulinet.hu
Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
Illemtan: http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ: http://sulinet.niif.hu/

_______________________________________________
Techinfo mailing list
Techinfo@lista.sulinet.hu
Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
Illemtan: http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ: http://sulinet.niif.hu/