Radek Krejča wrote:
Problem je, ze nemuzu bloknout na me strane prichozi UDP na DNS, protoze hodne
uzivatelu tam ty dns servery take maji (toto ale zrovna neni ten pripad).
Jestli dobre chapu popis accf_dns, tak na tohle mi nepomuze, to zafunguje tam,
kde ten nameserver skutecne bezi, chapu to dobre?
Ano, tady by ten accf_dns opravdu nijak nepomohl. On je to jen filtr,
ktery nejprve pocka na navazani celeho spojeni a pak to teprve prede ke
zpracovani aplikaci. U http (accf_http / accf_data) to dokaze zmirnit
dopad nejakych DDoS utoku typu slowloris, kde se webserver zahltil
hromadou neuplne navazanych spojeni.
Ja dle meho potrebuji pocitat prichozi requesty, resp. ip, ze kterych chodi a ty
blokovat. Myslel jsem, ze bych to dal v ramci pf, ale pravdou je, ze nechat to uplne na
automatice by nebylo fajn, u oblibeneho uzivatele je tech "spravnych" dns
requestu taky pekna hromada.
Ono by to tady asi slo i v ramci toho PF (pokud by to teda fungovalo na
UDP), protoze regulerni dotazy asi nebudou ve velkem z jedne IP.
Na druhou stranu, pokud se u tech dotazu neustale meni zdrojova IP
adresa, tak se to bude spatne filtrovat jakymkoliv zpusobem.
Pred casem jsem tu resil bruteforce utok na Wordpress web, kde se nejaky
botnet pokousel uhadnout heslo do administrace. Behem hodiny, nebo dvou,
se vystridalo pres 2500 zdrojovych IP adres a ze zadne adresy neprislo
vic nez 5 dotazu (za celou tu dobu, prodleva mezi dotazy byla v radu
minut, mozna spis desitek minut).
Nakonec to dopadlo tak, ze se (po dohode s klientem) tahaly z access
logu vsechny IP, co se pokousely pristupovat na URL te administrace a
vsechny se okamzite blokovaly na firewallu. Takze ten den nikdo nemohl
legitimne pristupovat do administrace, ale utok po par hodinach presel.
Uz jsem rozepsal script, ktery vytahne pres pfctl aktualni konexe, a pocet,
kolikrat se tam dana ip opakuje, myslim, ze kdyz ty s nejakym velkym cislem
budu prubezne cpat do pf table, tak bych mel dosahnout rozumne miry snizeni
zateze. Doufam...
Nevim, jaka je domluva s koncovymi uzivateli, ale mozna by bylo nejlepsi
zjistit, kdo z nich skutecne provozuje DNS, tomu ty pristupy z venku na
jeho port 53 povolit a u ostatnich uzivatelu to filtrovat.
Ale rozhodne o tom vsem uzivatelum dat predem vedet.
Jednou me takhle muj nejmenovany tripismenny poskytovatel pripojeni
zacal filtrovat port 53 z venku, aniz bych o tom vedel a ja skoro tyden
resil "neznamou chybu BINDu" (protoze mi prestala fungovat jedna domena,
co na tom BINDu mela primarni zaznam)... nez jsem z venku zjistil, ze
ten problem neni u me, ale u poskytovatele, coz by me ani ve snu nenapadlo.
Po me stiznosti filtraci zrusili a nikdo mi nedokazal vysvetlit, co je
vedlo k tomu filtrovani portu 53.
Mirek
--
FreeBSD mailing list (users-l@freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l
