Dne 14. 5. 2014 20:03, Radek Krejča napsal(a):
mam posledni dobou problem, ze mi utoci na me dns servery. Pouzivam jako
firewall pf, ale potreboval bych, zda lze v nem udelat pravidlo, ktery zni
nasledovne:
pokud je pocet paketu odpovidajici pravidlu za urcitou dobu roven urcitemu
poctu, potom block
Jo, tohle jsem resil pred nedavnou dobou - jeden z mikrotiku u klienta
byl navic nakonfigurovany tak blbe, ze na ty dotazy byl ochoten
odpovidat. Jak jsem na to prisel, okamzite jsem to na firewallu
zablokoval, ale i tak ty dotazy stale chodi, uz asi mesic a nevypada to,
ze by nekdo ten utok chtel odvolat :-(
Nejakou dobu nazad jsem videl v linuxu neco takoveho, tusim, ze to byl modul
recent, nebo tak nejak.
Ke sve plne spokojenosti proti utokum na ssh a ftp spolecne s IPFW
pouzivam utilitku bruteblock - z IPFW si nechavam logovat "zavadne"
packety a syslog je cpe do bruteblocku a pokud za urcity casovy interval
prijde urcite mnozstvi zavadnych packetu, prida zaznam do IPFW tabulky.
jak je to u PF, netusim.
Ale ohledne DNS te nepotesim. Zjistil jsem, ze tyhle utoky na DNS jsou
dvojiho typu. Prvni varianta je, to, co popisujes, ze chodi kvanta
dotazu z ruznych IP. Pruser je, ze se ty IP neopakuji v rozumnem case,
aby se to dalo odchytit. A druha varianta je, ze prijde hromada doztazu
z jedne IP - tohle se da odchytit velice snadno. Ale...
Nastavil jsem si bruteblock, IPFW tabulka se hezky zacala plnit
zablokovanymi IP (odchycenymi z druhe varianty utoku) a pak to zacalo...
Zakaznici se zacali hlasit, ze: nefunguje prihlaseni do banky...
nefunguje facebook... nefunguje objednani dovolene... nefunguje...
Pricemz mi docvaklo (a stydim se, ze jsem si to neuvedomil hned na
zacatku), ze se jedna o UDP provoz = utocnik posle dotaz s podvrzenou IP
adresou - takze klidne muze utocit jeden jediny stroj a vygeneruje
tisice jedinecnych IP adres. Takze jsem zase pro tenhle ucel rychle
bruteblock odstavil a tise trpim pri koukani na countery zablokovanych
packetu. A je jasne, ze tady nema smysl ani ten UDP provoz ukoncovat
"slusne" vracenim nejakeho ICMP.
Pokud nekdo z vas najde ucinne reseni, tak prosim dejte vedet. Jsem
schopen na firewallu takovy provoz zahazovat, ale nejsem schopen se ho
ucinne zbavit.
Zbyněk Burget
Mlýnská 397
798 26 Nezamyslice
tel: 588 580 000, 739 930 931
http://www.burgnet.cz
IČ: 606 88 220; DIČ: CZ7210184674
--
FreeBSD mailing list ([email protected])
http://www.freebsd.cz/listserv/listinfo/users-l
