syn флуд

0

2

летит такой хлам http://rghost.ru/59420428/image.png пытаюсь отрезать его на входе заблочив src порт 1234 -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m tcp --dport 1234 -j DROP

но ни одного пакета в iptables -vx -L -n не вижу дропнутого.

Где я ошибся?

Ссылка

←	Помогите. Настройка маршрутизации между 2-мя подсетями

Speedup Boot in FreeBSD

→

Используй SYN cookie.

~~Deathstalker~~ ★★★★★
(04.12.14 18:05:37 MSK)

Ответ на: комментарий от Deathstalker 04.12.14 18:05:37 MSK

ядро старое, не позволяет сделать так. я хочу на оборудовании выше отрезать такие запросы, это стресс панели

User01 ★
(04.12.14 18:12:04 MSK) автор топика

Ответ на: комментарий от User01 04.12.14 18:12:04 MSK

Поставь несколько сетевых карточек и включи их в режим LACP. Заблокируй все неиспользуемые порты и протоколы. Заблокируй трафик из региона, где не проживает большая часть аудитории твоего проекта (например, Китай).

~~Deathstalker~~ ★★★★★
(04.12.14 18:40:57 MSK)

Ответ на: комментарий от Deathstalker 04.12.14 18:40:57 MSK

трафик не критичен. не пойму почему трафик не проходит через правило, где я ошибся?

User01 ★
(04.12.14 18:43:31 MSK) автор топика

Ссылка

iptables помогите составить правило

Ты до сих пор ниасилил прочитать разжеванный мануал по iptables? Тебе в раздел Job.

edigaryev ★★★★★
(04.12.14 18:48:03 MSK)

Ответ на: комментарий от edigaryev 04.12.14 18:48:03 MSK

) да читал, по нему же правило и составлял, не пойму почему через него трафик не идёт

User01 ★
(04.12.14 18:54:30 MSK) автор топика

btw, если замазывать IP-адрес 31.28.170.103 — то полностью! :)

edigaryev ★★★★★
(04.12.14 18:58:41 MSK)

Ответ на: комментарий от User01 04.12.14 18:54:30 MSK

да читал

Ну и что по твоему должно делать приведенное тобой правило?

Олсо вот тебе картинка, пригодится: https://upload.wikimedia.org/wikipedia/commons/a/ad/Netfilter-diagram-rus.png

edigaryev ★★★★★
(04.12.14 19:02:42 MSK)

Ответ на: комментарий от edigaryev 04.12.14 18:58:41 MSK

)) так и не увидел где там ip не затер

User01 ★
(04.12.14 19:25:45 MSK) автор топика

Ответ на: комментарий от edigaryev 04.12.14 19:02:42 MSK

хм, тогда не понимаю, как можно отрезать этот порт.

User01 ★
(04.12.14 19:28:43 MSK) автор топика

Ссылка

Ответ на: комментарий от User01 04.12.14 19:25:45 MSK

так и не увидел где там ip не затер

В данных заголовка (те что в самом низу).

mix_mix ★★★★★
(04.12.14 19:34:11 MSK)

Ссылка

Ответ на: комментарий от edigaryev 04.12.14 18:58:41 MSK

1f 1c aa 67 -> 31.28.170.103

Zhopin
(04.12.14 19:38:06 MSK)

Ответ на: комментарий от Zhopin 04.12.14 19:38:06 MSK

ах вот как) спасибо что разьяснили, зеленый еще в этом. Так что скажете по поводу порта 1234 с которого флуд летит, как его заблокировать?

User01 ★
(04.12.14 19:49:33 MSK) автор топика

Ответ на: комментарий от User01 04.12.14 19:49:33 MSK

заблокировать входящие на порт как то так вроде

iptables -A INPUT -p tcp --dport 1234 -j DROP

исчерпывающе тут

Zhopin
(04.12.14 21:19:07 MSK)

Ответ на: комментарий от Zhopin 04.12.14 21:19:07 MSK

iptables -A INPUT -p tcp --dport 1234 -j DROP

это на 1234, а просили с 1234 - "--sport 1234"

И хорошо бы, чтоб это правило было первым в цепочке.

vel ★★★★★
(04.12.14 21:39:01 MSK)
Последнее исправление: vel 04.12.14 21:40:20 MSK (всего исправлений: 1)

Ответ на: комментарий от vel 04.12.14 21:39:01 MSK

 pkts      bytes target     prot opt in     out     source               destination
      20      800 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x17/0x02 tcp spt:1234
       0        0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x17/0x02 tcp dpt:1234
 1410712 56428480 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x17/0x02 length 40


Не ловит, пропускает до другого правила и на нем уже отрезает.

User01 ★
(04.12.14 22:41:32 MSK) автор топика

Ответ на: комментарий от User01 04.12.14 22:41:32 MSK

Покажи все правила (вывод iptables-save).

edigaryev ★★★★★
(04.12.14 23:59:22 MSK)

Ответ на: комментарий от edigaryev 04.12.14 23:59:22 MSK

# Generated by iptables-save v1.4.8 on Thu Dec  4 23:21:51 2014
*filter
:INPUT ACCEPT [204822880:14887299661]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [179623805:33315851566]
:ISPMGR - [0:0]
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m tcp --sport 1234 -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m tcp --dport 1234 -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m length --length 40 -j DROP
-A INPUT -p icmp -m icmp --icmp-type 8 -j DROP
COMMIT
# Completed on Thu Dec  4 23:21:51 2014

User01 ★
(05.12.14 00:28:53 MSK) автор топика

Ответ на: комментарий от User01 05.12.14 00:28:53 MSK

Вроде все правильно. Уверен, что атакующий за это время не сменил source port?

Кстати, а что насчет двадцати пакетов, которые это правило съело? Или это ты сам тестировал?

     20      800 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x17/0x02 tcp spt:1234

edigaryev ★★★★★
(05.12.14 00:56:47 MSK)

Ссылка

Ответ на: комментарий от User01 05.12.14 00:28:53 MSK

:ISPMGR - [0:0]

Ничего не смущает?

Правило в INPUT где которое направит траффик в цепочку ISPMGR ???

hidden_4003 ★
(05.12.14 01:04:38 MSK)

Ответ на: комментарий от hidden_4003 05.12.14 01:04:38 MSK

Порт не меняют, постоянно через него сыпится флуд. так что получается, правило iptables -A INPUT -p tcp --sport 1234 -j DROP нужно перенести в INPUT?

User01 ★
(05.12.14 01:13:06 MSK) автор топика

Ответ на: комментарий от User01 05.12.14 01:13:06 MSK

Вот скажи ты на этой схеме https://upload.wikimedia.org/wikipedia/commons/a/ad/Netfilter-diagram-rus.png где-нибудь видишь надпись ISPMGR?

У вас с этими панелями какое-то разжижение мозгов тыкаете в кнопочки бездумно не пытаясь понять что и как работает.

или добавляешь в INPUT

-A INPUT -j ISPMGR

или просто переносишь правила в INPUT

hidden_4003 ★
(05.12.14 01:20:53 MSK)

Ответ на: комментарий от hidden_4003 05.12.14 01:20:53 MSK

Боюсь что у ТСа уже все на месте (т.е. в INPUT chain), просто iptables-save так ублюдочно выводит правила.

Но насчет разжижения мозгов панелями согласен, если ТС работает не из панели, и при этом не разбирается в её внутреннем устройстве — пришла пора сносить панель.

edigaryev ★★★★★
(05.12.14 01:29:42 MSK)
Последнее исправление: edigaryev 05.12.14 01:31:32 MSK (всего исправлений: 1)

Ответ на: комментарий от edigaryev 05.12.14 01:29:42 MSK

Chain INPUT (policy ACCEPT 1551843 packets, 100688108 bytes)
    pkts      bytes target     prot opt in     out     source               destination
       0        0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x17/0x02 tcp spt:1234

всё норм идёт, через INPUT но src 1234 не ловит пакеты

User01 ★
(05.12.14 02:14:30 MSK) автор топика

Ответ на: комментарий от User01 05.12.14 02:14:30 MSK

src 1234 не ловит пакеты

Тогда как ты объяснишь это?

$ nc -zv 31.28.170.103 80
31.28.170.103: inverse host lookup failed: 
(UNKNOWN) [31.28.170.103] 80 (http) open
$ nc -zv -p 1234 31.28.170.103 80
31.28.170.103: inverse host lookup failed: 
^C

Если не понятно что здесь происходит: при обращении с 1324 порта к твоему веб-серверу он не отвечает (очевидно почему), но если обращаться к нему с других портов — все работает, как и задумано.

edigaryev ★★★★★
(05.12.14 02:52:09 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Помогите. Настройка маршрутизации между 2-мя подсетями

General

Speedup Boot in FreeBSD

→

Похожие темы