The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"сколько хостов ограничить?"
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [Проследить за развитием треда]

"сколько хостов ограничить?"
Сообщение от WWW Искать по авторуВ закладки on 12-Дек-04, 15:43  (MSK)
Вобщем проблема такая - кто-то из локалки, в которой адреса типа 192.168.1.0 подделывает источник из диапазона 36.x.x.x, 37.x.x.x и ложит сервак SYN пакетами по 1000 пакетов/сек. Так вот хотел спросить, на сколько хостов ставить мне запрещающие правила, т.е. сколько может быть теоретически в этой подсети хостов?? Может /8? Система FreeBsd, SYN вроде бы запрещены. Да и как вообще средствами ipfw эффективно сделать скажем ограничение на НЕ БОЛЕЕ чем 10 одновременных соединений? У меня и такое прописано, и даже счетчики крутятся, но почему-то от подобных атак не спасает.
  Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "сколько хостов ограничить?"
Сообщение от Danil emailИскать по авторуВ закладки(??) on 12-Дек-04, 21:14  (MSK)
А чему равна переменная net.inet.tcp.syncookies в sysctl?
Если 0, то сделать её равной 1, дождаться очередной атаки и посмотреть на результат =)

И, кстати, не вариант разобраться, кто это делает? Например, по MAC-адресу.
И что значит "вроде бы"? :-)

По поводу ограничений см. man ipfw, RULE OPTIONS, опция limit.
Но не факт, что этот "доброжелатель" будет всё делать с одного src-ip, поэтому может и не спасать...

В общем, советую попробовать для начала использовать SYN-cookies.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "сколько хостов ограничить?"
Сообщение от WWW Искать по авторуВ закладки on 13-Дек-04, 02:53  (MSK)
Syn-cookies выставлено 1. IPFW счетчики крутятся, но! как тогда он пробивается через это правило со своими 100 соединений/сек. Правило у меня с использованием limit. А mac неизвестный, кстати.
  Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "сколько хостов ограничить?"
Сообщение от Beginner emailИскать по авторуВ закладки(??) on 13-Дек-04, 10:27  (MSK)
>Syn-cookies выставлено 1. IPFW счетчики крутятся, но! как тогда он пробивается через
>это правило со своими 100 соединений/сек. Правило у меня с использованием
>limit. А mac неизвестный, кстати.

Задача? Найти и надовать по шее или обезопаситься?


  Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "сколько хостов ограничить?"
Сообщение от WWW Искать по авторуВ закладки on 13-Дек-04, 12:38  (MSK)
И то и другое.
  Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "сколько хостов ограничить?"
Сообщение от Beginner emailИскать по авторуВ закладки(??) on 13-Дек-04, 14:06  (MSK)
>И то и другое.

Если свич умный - можно полочить на нем чтобы он получал только 1 МАС на порт, тогда подменить МАС не удастся. Далее обнаруживаем с какого МАСа все идет. Смотрим на каком порту и идем давать по шее.
Или. Обнаруживаем с какого МАСа, лезем на свич и смотрим с какого порта он пришел. Далее анаголично - по шее.
Обнаружить можно по разному. Например tcpdump с фильтром.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "сколько хостов ограничить?"
Сообщение от Sampan Искать по авторуВ закладки on 13-Дек-04, 14:45  (MSK)
>Так вот хотел спросить, на сколько хостов ставить мне запрещающие правила

Запрети принимать ВСЕ кроме из источника 192.168.1.х. Кстати, правило полезное в любом случае - часть защиты от спуфинга.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "сколько хостов ограничить?"
Сообщение от Danil emailИскать по авторуВ закладки(??) on 14-Дек-04, 19:21  (MSK)
>Запрети принимать ВСЕ кроме из источника 192.168.1.х. Кстати, правило полезное в любом
>случае - часть защиты от спуфинга.


Для начала может сработать, но потом всё равно не поможет...
А пробиваться он может так, что лимит поставлен на src-ip, а он использует рандомные адреса?..
Можно тогда попробовать ставить лимит не на адрес отправителя, а получателя. Но тогда создастся DoS-атака =))) Тут уж решай - либо тебе надо, чтобы машина не висла, либо чтобы пользователи работали.

Кстати, а цель этой машинки какая? Рабочая станция или сервер?

Странно, что syn-cookies не помогают... Вроде бы они специально для этого и есть...

tcp.keepinit - таймаут для неустановленных соединений; может быть, его поменьше попробовать сделать?..
Особенно, если это всё работает только в локальной сети.

  Рекомендовать в FAQ | Cообщить модератору | Наверх


Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Спонсоры:
Слёрм
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2020 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру