SYN cookies na router?

Příspěvky, které nespadají do žádného z vytvořených fór.
PepeOnAchair
Příspěvky: 63
Registrován: 8 years ago

SYN cookies na router?

Příspěvekod PepeOnAchair » 5 years ago

Ahoj,

mame problemy se SYN floody. Nicmene nam nevadi to, ze by nasim routerum utocnik vypotreboval zdroje (protoze na router nebezi zadna sluzba dostupna zakaznikum). Vadi ale to, ze behem flood utoku zakaznik (resp. jeho zavirovany PC) vytizi linku tak, ze dojde k nekolika sekundovym vypadkum. Coz je pri hodne floodech hodne otravne.

Ma teda smysl zapinat na routeru (Debian Squeeze) podporu SYN cookies? Podle me by to melo smysl, jen kdyby router zaroven poskytoval zakaznikum nejakou sluzbu (napr. web server). Na druhou stranu, uskodit by to zrejme moc nemelo. Jak to ale bude s logovanim v iptables? Bude se do messages i po zapnuti SYN cookies zapisovat log o detekci SYN floodu?

Jakym zpusobem resite zakazniky, z jejichz domacich routeru a PC se vam na sit siri ruzne floody a jiny bordel?

Pep.
0 x

Uživatelský avatar
hapi
Příspěvky: 10601
Registrován: 10 years ago
Kontaktovat uživatele:

Příspěvekod hapi » 5 years ago

tak tohle se dá řešit lehce pomocí pravidla ne? TCP zařízneš v klidu kdykoliv. Počkej až tě lidi budou drtit UDP pakety. Ty zastavíš jenom jednim způsobem... odpojit klienta.
0 x

PepeOnAchair
Příspěvky: 63
Registrován: 8 years ago

Příspěvekod PepeOnAchair » 5 years ago

jj, tim pravidlem to mam zariznute, ale pres sit to na router stejne projde a to je ten problem, co mi vadi. Rikam si, ze korektni TCP provoz neni problem omezovat na routeru, protoze klient zpomali vysilani. Ale plati to tak i v pripade cilenych utoku, kdy klient nema duvod zpomalovat? Predpokladam, ze to vetsinou budou delat viry, ktere mohou byt specialne upravene k tomu, aby se nespomalovaly.
0 x

PepeOnAchair
Příspěvky: 63
Registrován: 8 years ago

Příspěvekod PepeOnAchair » 5 years ago

Ohledne SYN flood utoku uvnitr vlastni site mam velmi spatnou zkusenost s WiFi routery Tenda. Dokud jsem si jeden spatny od zakaznika nevzal na testy na stole (s firmware "V5.19.08_MULTI"), mel jsem jen silne podezreni, ale ted mam uz jistotu, ze ty sr*cky rozsilaji SYN floody. Takovych Tenda routeru bylo na siti nekolik, ale po upozorneni nasim uzivatelum si to vetsinou vyresili upgradem. Jenze to lama nezvladne... (jeden zakaznik se zbavil tech floodu tim, ze prehral firmware dokonce i stejnou verzi - jsem zvedavy, jestli se mu to tam zase objevi...)

Jake s tim mate zkusenosti vy? Resili jste to se spolednosti Tenda (nebo kdo jim to tady servisuje?)

Z te jedne Tendy mam udelany dump hlavicek paketu, pricemz za Tendou byl zapojeny jen jeden RB750 v defaultu (aby na LAN bylo vubec neco slinkovane). Sniffovani probihalo pres noc na WAN portu. Od zapnuti routeru se floody zacali objevovat az za cca 4-5 hodin. SYN flood utoky jsou smerovane na verejne IP adresy uvnitr nasi site a vzdy z podvrzenych IP adres.

Tj. muj zaver: Tenda routery musi byt zavirovane.
0 x

andreas4all
Příspěvky: 411
Registrován: 10 years ago

Příspěvekod andreas4all » 5 years ago

Tj. muj zaver: Tenda routery musi byt zavirovane.

a moj zaver je, ze su vyrobene v cine... :D sledovanie uzivatelov :)
0 x

Uživatelský avatar
pcwifi
Příspěvky: 2715
Registrován: 9 years ago
antispam: Ano
Bydliště: Brnensko

Příspěvekod pcwifi » 5 years ago

Tenda....uz ten nazef je divnej...a nastesti sem se neuchyloval nikdy k takovymu srotu, to nejnizsi ale zaroven celkem bezproblemove mi prijde TPlink...

routery Tenda - jen na vlastni nebezpeci :lol:

PW
0 x

PepeOnAchair
Příspěvky: 63
Registrován: 8 years ago

Příspěvekod PepeOnAchair » 4 years ago

Tak po delsi dobe pisu zase do tohoto vlakna.

Je snort dobra volba pro _detekci_ zakazniku, z jejichz domacich zarizeni se siri hlavne ruzne floody, ale i jiny bordel? Pokud bych uz musel snort instalovat, zrejme by byl pripojeny na mirroring port na switchi a s nadstavbou Snorby. Moc se mi to instalovat ale nechce. Leda by to bylo nutne nebo by to oproti tomu, co pisu dal prineslo i jine vyhody, napr. detekci jinych abnormalit prochazejicich siti nez ktere umi detekovat iptables.

Nestacil by jen server s IP tables (taky pripojeny na mirooring port), v promiskuitnim modu s IPtables pravidlem pro kazdou IP adresu s nastavenym "-m limit --limit 1/s --limit-burst 3" na nejake hodnoty? Jake vsechny sitove anomalie (slusne receno) vubec dokaze iptables detekovat? SYN floody a ICMP floody do logu oznacovat umi, to je jasne, ale co dal? Oznacovani tech anomalii logovanim do messages/syslog by mi stacilo.

PS: je nejak mozne, aby iptables logoval i zdrojovou MAC adresu paketu (v ramci L2 segmentu, samozrejme)?

Zkratka potrebuju s jistotou ukazat na zlobive kluky a holky na nasi siti a pri neuposlechnuti "doporuceni" odvirovani si svych PC atd. je automaticky zastrelit, dve davky :)

PPS: Pokud je iptables pravidlo, kde je nastavene napr. "-m limit --limit 1/s --limit-burst 3" pro SYN pakety napsane tak, ze je spolecne pro napr. subnet /24, muze v tom pripade dojit k falesne detekci SYN floodera? Rekneme, ze zlobivy SYN flooder flooduje, ale tesne pred tim, nez ho chyti iptables pravidlo prestane. Hned po jeho poslednim syn flood paketu ale pravidlem projde korektni SYN paket nekoho jineho/hodneho. Kdyby ten korektni/hodny SYN paket byl nadlimitni, byl by za zlobiveho flodera oznacen hodny kluk? (Pokud to mozne je, a predpokladam, ze je, tak je asi resenim mit prave asi jedno pravidlo na jednu IP adresu, coz si na GW nedam a musi to stejne bezet na vyhrazenem stroji.)

Pep.
0 x

menicks
Příspěvky: 161
Registrován: 9 years ago

Příspěvekod menicks » 4 years ago

Add problémy routery: Problém byl trochu jinde, setkali jsme se s tim také. Dobře popsané také: http://www.wms.cz/novinky/#A84 Jinak Tendy byli docela dobré routery z číny než jim po*urvili FW. Jinak HW Tend je poměrně spolehlivý.
0 x

ezdiy
Příspěvky: 4
Registrován: 4 years ago

Příspěvekod ezdiy » 4 years ago

Kód: Vybrat vše

iptables -t nat -A PREROUTING -m hashlimit --hashlimit-above 1000/sec --hashlimit-burst 5000 --hashlimit-mode srcip --hashlimit-name srchash --hashlimit-htable-size 131072 -j DNAT --to-destination 127.0.0.1
0 x

shooter
Příspěvky: 572
Registrován: 9 years ago

Příspěvekod shooter » 4 years ago

má to význam zapínat to na MK ?
0 x


Zpět na „Nezařazené“

Kdo je online

Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 10 hostů