Köszönöm! Átbogarászom majd, mert tervben van a Mikrotikkel való ismerkedés is, csak így is annyi mindenbe belefogtam... Nem hiányzott most ez a tűzfalazás se, de szeretnék a végére járni, mert úgy érzem valami nics itt rendben.
Üdv, Venczel József Fehér Sándor <[email protected]> ezt írta (időpont: 2018. okt. 18., Cs, 10:41): > Szia József! > Ha van kedved, ezzel megtudod oldani az alapszintű ddos védelmet > mikrotiken: > /ip firewall filter > add action=drop chain=input comment=psd-drop src-address-list=psd > add action=drop chain=input comment=ddos-drop src-address-list=ddoser > add action=drop chain=input comment=icmp-flooder-drop > src-address-list=icmp-flooder > add action=jump chain=input comment=detect-ddos connection-state=new > jump-target=detect-ddos > add action=add-src-to-address-list address-list=psd > address-list-timeout=10m chain=detect-ddos comment=psd-detect log=yes > log-prefix=psd protocol=tcp psd=21,3s,3,1 > add action=return chain=detect-ddos comment=no-ddos-detected > dst-limit=32,32,src-and-dst-addresses/10s > add action=add-dst-to-address-list address-list=ddosed > address-list-timeout=10m chain=detect-ddos comment=ddosed-to-list log=yes > log-prefix=ddosed > add action=add-src-to-address-list address-list=ddoser > address-list-timeout=10m chain=detect-ddos comment=ddoser-to-list > log-prefix=ddoser > add action=jump chain=input comment=detect-icmp-flood connection-state="" > jump-target=detect-icmp-flood protocol=icmp > add action=accept chain=detect-icmp-flood comment=no-icmp-flood-detected > dst-limit=32,32,src-and-dst-addresses/10s > add action=add-dst-to-address-list address-list=icmp-flooded > address-list-timeout=10m chain=detect-icmp-flood comment=icmp-flooded > limit=32,32:packet log=yes log-prefix=icmp-flooded > add action=add-src-to-address-list address-list=icmp-flooder > address-list-timeout=10m chain=detect-icmp-flood comment=icmp-flooder > limit=32,32:packet log=yes log-prefix=icmp-flooder > > Ez egy kisebb/közepes hálózatnak van hangolva, suliban is jó lehet. > A maximum kapcsolati értékeket kellhet növelni, ha kevésnek bizonyulnak. > Annyi tesz ez, hogy addig hagyja az adott ip-t tevékenykedni, amíg túl nem > lépi az egységnyi idő alatt létrehozott és fentartott kapcsolatokat. Ha > túllépte az adott ip cím, tiltó listára kerül egy megadott időig. > Azt is látod ki támadott és azt is, hogy milyen célcímet az access listák > neveiből és a logban is benne lesznek az adatok. > > > 2018. 10. 18. 8:58 keltezéssel, József Venczel írta: > > Szia! > > Gondolom feltűnt a "DPT=5678" a Mikrotik miatt :D > Igen, jól gondolod, kicsit elkeveredtem már a sok szám között. A 10.1.3.1 > wi-fi router egy kis Mikrotik router és a kérdéses csomagok a "neighbor > discovery feature" funkciójának köszönhetően jöttek. Már kikapcsoltam, > úgyhogy csendben van. > > Köszönöm a tippet az iptables-hez! Megszívlelem és beállítom. Bár ez most > tényleg nem DOS támadás, nem árt felkészülni ilyesmire is. Valószínűleg a > múltkori ssh támadás óta kicsit paranoiás lettem :) > Mondjuk saját balgaságomtól semmi sem véd meg... > > Abban viszont Veres Sándornak igaza van, hogy ezek az eldobott csomagok a > kliensek forgalmával vannak kapcsolatban, mert éjjel néztem és nem volt a > tűzfalon semmiféle forgalom. Egy árva bit sem ment át sehová. Azt meg nem > hiszem, hogy éjjel a robotok elmentek volna alukálni. > > Most elkezdtem nézegetni mik lehetnek ezek az ip címek. Rögtön az elején > csak egyet ellenőriztem, s az egy kínai szerencsejáték weblapra vitt. > Most nézem pl.: > > https://tools.tracemyip.org/lookup/52.30.205.69 > https://ipinfo.io/52.30.205.69 > https://www.threatminer.org/host.php?q=52.30.205.69 > https://www.findip-address.com/52.30.205.69 > https://db-ip.com/52.30.205.69 > > > Megnéztem még 5-6 ip címet, ezek jellemzően Amazon-hoz és Google-hoz > tartozó címek, vagy más, nagy internetes szolgáltatásokat, pl. felhőtárhely > nyújtó cégekhez tartoznak. Mi lehet ez? > > Volna még egy kérdésem. Eddig azt hittem, hogy a tcpdump és a tshark is > elkapja az összes csomagot, ami az adott gép interface-ére jön. De most úgy > tűnik, csak azokat kapja el, amik átjutnak az iptables szabályokon. Ha nem > jól gondolom, akkor ezeket az eldobott csomagokat miért nem látom az > említett segédprogramok kimenetében? > > > Üdv, > Venczel József > > Fehér Sándor <[email protected]> ezt írta (időpont: > 2018. okt. 18., Cs, 0:04): > >> Üdv! >> Milyen routered, tűzfalad van? >> >> 2018. 10. 17. 13:09 keltezéssel, József Venczel írta: >> >> Sziasztok! >> Ugyan kivel is történhetne, ha nem velem :( >> Tárgybéliben szeretném a segítségeteket, tanácsotokat kérni. >> >> Van egy tűzfalam. Úgy állítottam be, hogy alapból mindent tiltok, csak >> azt engedem, amit én akarok, ez meg csak a webes forgalom, de az is csak a >> kliensek felől irányuló kérések alapján. >> Tehát, ha már kiépült kapcsolathoz tartozik, akkor jöhet, egyébként meg >> naplózom és DROP. >> Valahol, régebben olvastam, hogy ezt így érdemes csinálni és lehet, hogy >> tényleg... >> >> Épp a szervereim központi naplózását próbálom megoldani, amikor arra >> lettem figyelmes, hogy a tűzfal syslog-jában van egy csomó, különböző ip >> címekről jövő csomag. Mind 40 bájtos és mindegyik forrásportja a 80-as és a >> 443-as port, a DPT (1-65565) változó. Mindegyik célcíme a tűzfalam publikus >> lába. >> >> És itt jön az első kérdés: anno nem kértem semmilyen portnyitást a >> tűzfalra. Akkor ezek a csomagok hogyan érnek el hozzám? Nem kéne már a NIIF >> vagy KIFÜ vagy nemtomki tűzfalán fennakadniuk? >> >> Egyelőre semmit nem okoznak, bármivel mérem, figyelem az átviteli >> sebességet, nem változott semmi. Egyedül a naplófájl hízik tőle, de az meg >> külön partíción van, aminek most megnöveltem a méretét biztos, ami biztos. >> >> Gondolom nem nagyon tudok ennél többet tenni, úgy értem, nem tudom őket >> leállítani? Vagy igen? >> Találkozott már közületek valaki hasonlóval? >> >> Előre is köszönöm a válaszokat! >> >> Üdv, >> Venczel József >> >> >> _______________________________________________ >> Techinfo mailing [email protected] >> Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo >> Illemtan: http://www.szag.hu/illemtan.html >> Ügyfélszolgálat FAQ: http://sulinet.niif.hu/ >> >> >> _______________________________________________ >> Techinfo mailing list >> [email protected] >> Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo >> Illemtan: http://www.szag.hu/illemtan.html >> Ügyfélszolgálat FAQ: http://sulinet.niif.hu/ >> > > > _______________________________________________ > Techinfo mailing [email protected] > Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo > Illemtan: http://www.szag.hu/illemtan.html > Ügyfélszolgálat FAQ: http://sulinet.niif.hu/ > > > _______________________________________________ > Techinfo mailing list > [email protected] > Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo > Illemtan: http://www.szag.hu/illemtan.html > Ügyfélszolgálat FAQ: http://sulinet.niif.hu/ >
_______________________________________________ Techinfo mailing list [email protected] Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
