Szia József!
Ha van kedved, ezzel megtudod oldani az alapszintű ddos védelmet
mikrotiken:
/ip firewall filter
add action=drop chain=input comment=psd-drop src-address-list=psd
add action=drop chain=input comment=ddos-drop src-address-list=ddoser
add action=drop chain=input comment=icmp-flooder-drop
src-address-list=icmp-flooder
add action=jump chain=input comment=detect-ddos connection-state=new
jump-target=detect-ddos
add action=add-src-to-address-list address-list=psd
address-list-timeout=10m chain=detect-ddos comment=psd-detect log=yes
log-prefix=psd protocol=tcp psd=21,3s,3,1
add action=return chain=detect-ddos comment=no-ddos-detected
dst-limit=32,32,src-and-dst-addresses/10s
add action=add-dst-to-address-list address-list=ddosed
address-list-timeout=10m chain=detect-ddos comment=ddosed-to-list
log=yes log-prefix=ddosed
add action=add-src-to-address-list address-list=ddoser
address-list-timeout=10m chain=detect-ddos comment=ddoser-to-list
log-prefix=ddoser
add action=jump chain=input comment=detect-icmp-flood
connection-state="" jump-target=detect-icmp-flood protocol=icmp
add action=accept chain=detect-icmp-flood comment=no-icmp-flood-detected
dst-limit=32,32,src-and-dst-addresses/10s
add action=add-dst-to-address-list address-list=icmp-flooded
address-list-timeout=10m chain=detect-icmp-flood comment=icmp-flooded
limit=32,32:packet log=yes log-prefix=icmp-flooded
add action=add-src-to-address-list address-list=icmp-flooder
address-list-timeout=10m chain=detect-icmp-flood comment=icmp-flooder
limit=32,32:packet log=yes log-prefix=icmp-flooder
Ez egy kisebb/közepes hálózatnak van hangolva, suliban is jó lehet.
A maximum kapcsolati értékeket kellhet növelni, ha kevésnek bizonyulnak.
Annyi tesz ez, hogy addig hagyja az adott ip-t tevékenykedni, amíg túl
nem lépi az egységnyi idő alatt létrehozott és fentartott kapcsolatokat.
Ha túllépte az adott ip cím, tiltó listára kerül egy megadott időig.
Azt is látod ki támadott és azt is, hogy milyen célcímet az access
listák neveiből és a logban is benne lesznek az adatok.
2018. 10. 18. 8:58 keltezéssel, József Venczel írta:
Szia!
Gondolom feltűnt a "DPT=5678" a Mikrotik miatt :D
Igen, jól gondolod, kicsit elkeveredtem már a sok szám között. A
10.1.3.1 wi-fi router egy kis Mikrotik router és a kérdéses csomagok a
"neighbor discovery feature" funkciójának köszönhetően jöttek. Már
kikapcsoltam, úgyhogy csendben van.
Köszönöm a tippet az iptables-hez! Megszívlelem és beállítom. Bár ez
most tényleg nem DOS támadás, nem árt felkészülni ilyesmire is.
Valószínűleg a múltkori ssh támadás óta kicsit paranoiás lettem :)
Mondjuk saját balgaságomtól semmi sem véd meg...
Abban viszont Veres Sándornak igaza van, hogy ezek az eldobott
csomagok a kliensek forgalmával vannak kapcsolatban, mert éjjel néztem
és nem volt a tűzfalon semmiféle forgalom. Egy árva bit sem ment át
sehová. Azt meg nem hiszem, hogy éjjel a robotok elmentek volna alukálni.
Most elkezdtem nézegetni mik lehetnek ezek az ip címek. Rögtön az
elején csak egyet ellenőriztem, s az egy kínai szerencsejáték weblapra
vitt.
Most nézem pl.:
https://tools.tracemyip.org/lookup/52.30.205.69
https://ipinfo.io/52.30.205.69
https://www.threatminer.org/host.php?q=52.30.205.69
https://www.findip-address.com/52.30.205.69
https://db-ip.com/52.30.205.69
Megnéztem még 5-6 ip címet, ezek jellemzően Amazon-hoz és Google-hoz
tartozó címek, vagy más, nagy internetes szolgáltatásokat, pl.
felhőtárhely nyújtó cégekhez tartoznak. Mi lehet ez?
Volna még egy kérdésem. Eddig azt hittem, hogy a tcpdump és a tshark
is elkapja az összes csomagot, ami az adott gép interface-ére jön. De
most úgy tűnik, csak azokat kapja el, amik átjutnak az iptables
szabályokon. Ha nem jól gondolom, akkor ezeket az eldobott csomagokat
miért nem látom az említett segédprogramok kimenetében?
Üdv,
Venczel József
Fehér Sándor <[email protected]
<mailto:[email protected]>> ezt írta (időpont:
2018. okt. 18., Cs, 0:04):
Üdv!
Milyen routered, tűzfalad van?
2018. 10. 17. 13:09 keltezéssel, József Venczel írta:
Sziasztok!
Ugyan kivel is történhetne, ha nem velem :(
Tárgybéliben szeretném a segítségeteket, tanácsotokat kérni.
Van egy tűzfalam. Úgy állítottam be, hogy alapból mindent tiltok,
csak azt engedem, amit én akarok, ez meg csak a webes forgalom,
de az is csak a kliensek felől irányuló kérések alapján.
Tehát, ha már kiépült kapcsolathoz tartozik, akkor jöhet,
egyébként meg naplózom és DROP.
Valahol, régebben olvastam, hogy ezt így érdemes csinálni és
lehet, hogy tényleg...
Épp a szervereim központi naplózását próbálom megoldani, amikor
arra lettem figyelmes, hogy a tűzfal syslog-jában van egy csomó,
különböző ip címekről jövő csomag. Mind 40 bájtos és mindegyik
forrásportja a 80-as és a 443-as port, a DPT (1-65565) változó.
Mindegyik célcíme a tűzfalam publikus lába.
És itt jön az első kérdés: anno nem kértem semmilyen portnyitást
a tűzfalra. Akkor ezek a csomagok hogyan érnek el hozzám? Nem
kéne már a NIIF vagy KIFÜ vagy nemtomki tűzfalán fennakadniuk?
Egyelőre semmit nem okoznak, bármivel mérem, figyelem az átviteli
sebességet, nem változott semmi. Egyedül a naplófájl hízik tőle,
de az meg külön partíción van, aminek most megnöveltem a méretét
biztos, ami biztos.
Gondolom nem nagyon tudok ennél többet tenni, úgy értem, nem
tudom őket leállítani? Vagy igen?
Találkozott már közületek valaki hasonlóval?
Előre is köszönöm a válaszokat!
Üdv,
Venczel József
_______________________________________________
Techinfo mailing list
[email protected] <mailto:[email protected]>
Fel- és leiratkozás:http://lista.sulinet.hu/mailman/listinfo/techinfo
Illemtan:http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ:http://sulinet.niif.hu/
_______________________________________________
Techinfo mailing list
[email protected] <mailto:[email protected]>
Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
Illemtan: http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
_______________________________________________
Techinfo mailing list
[email protected]
Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
Illemtan: http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
_______________________________________________
Techinfo mailing list
[email protected]
Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
Illemtan: http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
