Mam ostatnio problemy z laczem ktore jest co jakiś czas przewaznie po 15
atakowane SYNFOOD'em i inymi pakietami UDP.
Efektem jest brak możliwości kozystania z łącza.
Posiadam 4Mbit FR z TPSA w LB.
Podpięty pod modemy router CISCO 3600.
W trakcie ataków nawet on tego nie wytrzymuje i wchodzi w stan resetu.
ALe nie o tym chciałem pisać.

CHodzi mi oto jak skutecznie działać aby uchronić się od tego.
CO z tego że wyśle na a...@t...pl i zablokują mi te IP
z których jest atak, działa to na kilka dni czasami godzin, potem jest
atak z innych IP. Trzy tygodnie temu poszedłem na policjie i złożyłem
powiadomnienie o przestępstwie wraz z logami na CD.
Minęło od tego jaki czas a ja mam znowu od 3 dni nawrót ataków.

Prosze o jakies rady jak działać.

Michał

do góry

michal pisze:

> Mam ostatnio problemy z laczem ktore jest co jakiś czas przewaznie po 15
> atakowane SYNFOOD'em i inymi pakietami UDP.
> Efektem jest brak możliwości kozystania z łącza.
> Posiadam 4Mbit FR z TPSA w LB.
> Podpięty pod modemy router CISCO 3600.
> W trakcie ataków nawet on tego nie wytrzymuje i wchodzi w stan resetu.
> ALe nie o tym chciałem pisać.
>
> CHodzi mi oto jak skutecznie działać aby uchronić się od tego.
> CO z tego że wyśle na a...@t...pl i zablokują mi te IP
> z których jest atak, działa to na kilka dni czasami godzin, potem jest
> atak z innych IP. Trzy tygodnie temu poszedłem na policjie i złożyłem
> powiadomnienie o przestępstwie wraz z logami na CD.
> Minęło od tego jaki czas a ja mam znowu od 3 dni nawrót ataków.
>
> Prosze o jakies rady jak działać.

Wytnij dostęp do IRC.

--
Neas, ?eas@?eas.pl, http://www.neas.pl

do góry

Neas wrote:
> michal pisze:
>
>> Mam ostatnio problemy z laczem ktore jest co jakiś czas przewaznie po 15
>> atakowane SYNFOOD'em i inymi pakietami UDP.
>> Efektem jest brak możliwości kozystania z łącza.
>> Posiadam 4Mbit FR z TPSA w LB.
>> Podpięty pod modemy router CISCO 3600.
[...]
>> Prosze o jakies rady jak działać.
[...]
> Wytnij dostęp do IRC.

...a na 3600 możesz skonfigurować CoPP (Control Plane
Policing/Protection), który zabezpieczy Ci router w trakcie ataku
przed przeciążeniem:
http://www.cisco.com/application/pdf/en/us/guest/pro
ducts/ps1838/c1244/cdccont_0900aecd804ac831.pdf

A tak BTW, zaglądałeś może na:
http://networkers.pl/bgp-blackholing/ ?

Pozdrawiam,
--
"Confidence is what you have before you | Łukasz Bromirski
understand the problem." -- Woody Allen | lukasz:bromirski,net

do góry

Łukasz Bromirski pisze:

> ...a na 3600 możesz skonfigurować CoPP (Control Plane
> Policing/Protection), który zabezpieczy Ci router w trakcie ataku
> przed przeciążeniem:
> http://www.cisco.com/application/pdf/en/us/guest/pro
ducts/ps1838/c1244/cdccont_0900aecd804ac831.pdf

Ale to i tak mała pociecha...

--
Neas, ?eas@?eas.pl, http://www.neas.pl

do góry

Użytkownik "Łukasz Bromirski" <h...@g...again> napisał w wiadomości
news:e5u92k$6ui$1@inews.gazeta.pl...
> Neas wrote:
>> michal pisze:
>>
>>> Mam ostatnio problemy z laczem ktore jest co jakiś czas przewaznie po 15
>>> atakowane SYNFOOD'em i inymi pakietami UDP.
>>> Efektem jest brak możliwości kozystania z łącza.
>>> Posiadam 4Mbit FR z TPSA w LB.
>>> Podpięty pod modemy router CISCO 3600.
> [...]
>>> Prosze o jakies rady jak działać.
> [...]
>> Wytnij dostęp do IRC.
>
> ...a na 3600 możesz skonfigurować CoPP (Control Plane
> Policing/Protection), który zabezpieczy Ci router w trakcie ataku
> przed przeciążeniem:
> http://www.cisco.com/application/pdf/en/us/guest/pro
ducts/ps1838/c1244/cdccont_0900aecd804ac831.pdf

ciekawa jest ta rekomendacja cisco odnosnie hold-queue ustawianego na 1500,
z moich doswiadczen wynika ze to bardzo nietrafiona rekomendacja...
wyciecie irca jest dobrym pomyslem tyle ze w ten sposob blokuje sie jedną z
usług a to juz jest dyskusyjne, lepiej probowac namierzyc zrodlo pochodzenia
tych ataków i ich rodzaj i probowac blokowac taki ruch bo uruchamianie tych
wszystkich funkcjonalnosci na cisco tez nie jest bez wplywu na wydajnosc
routera

>
> A tak BTW, zaglądałeś może na:
> http://networkers.pl/bgp-blackholing/ ?
>
> Pozdrawiam,
> --
> "Confidence is what you have before you | Łukasz Bromirski
> understand the problem." -- Woody Allen | lukasz:bromirski,net

do góry

>>>> Mam ostatnio problemy z laczem ktore jest co jakiś czas przewaznie po
>>>> 15
>>>> atakowane SYNFOOD'em i inymi pakietami UDP.
>>>> Efektem jest brak możliwości kozystania z łącza.
>>>> Posiadam 4Mbit FR z TPSA w LB.
>>>> Podpięty pod modemy router CISCO 3600.
>> [...]
>>>> Prosze o jakies rady jak działać.
>> [...]
>>> Wytnij dostęp do IRC.
mi pomagalo (ale routing na linuxie robiony) :
tcpdump -i eth0 dst port ircd
nastepnie obserwujesz ktore IPki lacza sie z dziwnymi serwerami irc'a
(najczesciej bez revdns'a)
i wycinasz im albo dostep do netu albo tylko do irca
(ja wycinalem im net - i czekalem az delikwent sie zglosi)

na podobne synfloody dobra tez byla latka connlimit z netfiltra:
iptables -t filter -I $LANCUCH -p tcp --syn -m connlimit --connlimit-above
$1 -j REJECT
$1 = ~30-40
$LANCUCH = FORWARD

ale tak btw. to chyba nie temat na ta grupe - tylko na pl.comp.sieci

do góry

Pawel wrote:

> ciekawa jest ta rekomendacja cisco odnosnie hold-queue ustawianego na 1500,
> z moich doswiadczen wynika ze to bardzo nietrafiona rekomendacja...

Rekomendacja nie jest sztywna i przeznaczona raczej dla scenariuszy
operatorskich (tranzyt), niż dostęp/agregacja, czyli sytuacji,
w których atak DDoS jest w stanie narobić więcej szkody przez
przepełnienie buforów a nie zabicie samego routera/łącza. I o ile
jak rozumiem u Ciebie się to nie sprawdziło, sprawdza się jako
generalna reguła.

> wyciecie irca jest dobrym pomyslem tyle ze w ten sposob blokuje sie jedną z
> usług a to juz jest dyskusyjne, lepiej probowac namierzyc zrodlo pochodzenia
> tych ataków i ich rodzaj i probowac blokowac taki ruch bo uruchamianie tych
> wszystkich funkcjonalnosci na cisco tez nie jest bez wplywu na wydajnosc
> routera

CoPP nie wpływa na wydajność, natomiast źle dopasowane reguły w ramach
CoPP owszem, mogą ciąć za dużo ruchu. Ale to już kwestia administratora
żeby wiedział, jaki ruch i w jakich ilościach jest normalny.

--
"Confidence is what you have before you | Łukasz Bromirski
understand the problem." -- Woody Allen | lukasz:bromirski,net

do góry

topek pisze:

>>>> Wytnij dostęp do IRC.
> mi pomagalo (ale routing na linuxie robiony) :
> tcpdump -i eth0 dst port ircd
> nastepnie obserwujesz ktore IPki lacza sie z dziwnymi serwerami irc'a
> (najczesciej bez revdns'a)
> i wycinasz im albo dostep do netu albo tylko do irca
> (ja wycinalem im net - i czekalem az delikwent sie zglosi)

Ale co to ma do rzeczy? Nie piszę o tropieniu trojanów. (D)DoS-y są
zazwyczaj prowokowane przez IRC, bo właśnie tam siedzą debile którzy
się w to bawią i nikt im w tym specjalnie nie przeszkadza, a szkoda.
Dlatego najlepiej wyciąć dostęp do IRC jako takiego, jeśli nie jest
absolutnie potrzebny.

> na podobne synfloody dobra tez byla latka connlimit z netfiltra:
> iptables -t filter -I $LANCUCH -p tcp --syn -m connlimit --connlimit-above
> $1 -j REJECT
> $1 = ~30-40
> $LANCUCH = FORWARD

Nie załamuj, przecież byle atak zapcha te 4 mbit i takie regułki można
sobie wsadzić... w nos.

--
Neas, ?eas@?eas.pl, http://www.neas.pl

do góry

> Ale co to ma do rzeczy? Nie piszę o tropieniu trojanów. (D)DoS-y są
> zazwyczaj prowokowane przez IRC, bo właśnie tam siedzą debile którzy
> się w to bawią i nikt im w tym specjalnie nie przeszkadza, a szkoda.

Wlasnie jest dokladnie tak jak piszesz - komp z naszej sieci ktory zlapal
trojana staje sie komputerem zombie sterowanym
poprzez irca, a wiec ma gdzies w tle proces ktory jest polaczony z jakims
irc-serwerem. Blokujesz takiego usera, i czekasz az zadzwoni
nastepnie pytasz czy siedzi na ircu (na takim a takim serwerze) - jezeli
nie, to kazesz viry pousuwac

> Dlatego najlepiej wyciąć dostęp do IRC jako takiego, jeśli nie jest
> absolutnie potrzebny.

Idac tym tokiem rozumowania, to wogole mozna wszystko wyciac - przez gg tez
virusy wchodza, puscic www przez squida i tyle :)

>> na podobne synfloody dobra tez byla latka connlimit z netfiltra:
>> iptables -t filter -I $LANCUCH -p tcp --syn -m
>> connlimit --connlimit-above
>> $1 -j REJECT
>> $1 = ~30-40
>> $LANCUCH = FORWARD
>
> Nie załamuj, przecież byle atak zapcha te 4 mbit i takie regułki można
> sobie wsadzić... w nos.
Mi to dziala...
Kiedys po wlaczeniu tego - nagle kilku ludziom przestal dzialac net...
Po odpaleniu netstat -na -> okazalo sie ze mieli po 1000 a nawet 5000
polaczen do netu, co powodowalo wzrost CPU na routerze i przepelnianie
conntracka
Dla mnie connlimit to podstawowa latka na kazdym linuxowym routerze.
Wlaczenie connlimit mozna napewno zaliczyc do lepszego rozwiazania niz
skladanie donosu na policje ze ktos DDOS'a robi...
Tym bardziej ze jezeli mowimy o DDOSach sterowanych przez IRC'a, to raczej
my robimy komus DDOS'a a nie odwrotnie.

do góry

topek <o...@p...pl> wrote:

> Dla mnie connlimit to podstawowa latka na kazdym linuxowym routerze.

a connlimit to nie jest tylko na TCP przypadkiem?

--
Kocia galeria - <http://koty.foo.pl/>

do góry