SYN cookies na router?

Příspěvky, které nespadají do žádného z vytvořených fór.
PepeOnAchair
Příspěvky: 63
Registrován: 05 bře 2009 22:54

SYN cookies na router?

Příspěvekod PepeOnAchair » 14 srp 2012 15:47

Ahoj,

mame problemy se SYN floody. Nicmene nam nevadi to, ze by nasim routerum utocnik vypotreboval zdroje (protoze na router nebezi zadna sluzba dostupna zakaznikum). Vadi ale to, ze behem flood utoku zakaznik (resp. jeho zavirovany PC) vytizi linku tak, ze dojde k nekolika sekundovym vypadkum. Coz je pri hodne floodech hodne otravne.

Ma teda smysl zapinat na routeru (Debian Squeeze) podporu SYN cookies? Podle me by to melo smysl, jen kdyby router zaroven poskytoval zakaznikum nejakou sluzbu (napr. web server). Na druhou stranu, uskodit by to zrejme moc nemelo. Jak to ale bude s logovanim v iptables? Bude se do messages i po zapnuti SYN cookies zapisovat log o detekci SYN floodu?

Jakym zpusobem resite zakazniky, z jejichz domacich routeru a PC se vam na sit siri ruzne floody a jiny bordel?

Pep.
0 x

Uživatelský avatar
hapi
Příspěvky: 10225
Registrován: 22 zář 2007 02:52
Kontaktovat uživatele:

Re: SYN cookies na router?

Příspěvekod hapi » 14 srp 2012 16:02

tak tohle se dá řešit lehce pomocí pravidla ne? TCP zařízneš v klidu kdykoliv. Počkej až tě lidi budou drtit UDP pakety. Ty zastavíš jenom jednim způsobem... odpojit klienta.
0 x

PepeOnAchair
Příspěvky: 63
Registrován: 05 bře 2009 22:54

Re: SYN cookies na router?

Příspěvekod PepeOnAchair » 14 srp 2012 16:21

jj, tim pravidlem to mam zariznute, ale pres sit to na router stejne projde a to je ten problem, co mi vadi. Rikam si, ze korektni TCP provoz neni problem omezovat na routeru, protoze klient zpomali vysilani. Ale plati to tak i v pripade cilenych utoku, kdy klient nema duvod zpomalovat? Predpokladam, ze to vetsinou budou delat viry, ktere mohou byt specialne upravene k tomu, aby se nespomalovaly.
0 x

PepeOnAchair
Příspěvky: 63
Registrován: 05 bře 2009 22:54

Re: SYN cookies na router?

Příspěvekod PepeOnAchair » 21 srp 2012 11:13

Ohledne SYN flood utoku uvnitr vlastni site mam velmi spatnou zkusenost s WiFi routery Tenda. Dokud jsem si jeden spatny od zakaznika nevzal na testy na stole (s firmware "V5.19.08_MULTI"), mel jsem jen silne podezreni, ale ted mam uz jistotu, ze ty sr*cky rozsilaji SYN floody. Takovych Tenda routeru bylo na siti nekolik, ale po upozorneni nasim uzivatelum si to vetsinou vyresili upgradem. Jenze to lama nezvladne... (jeden zakaznik se zbavil tech floodu tim, ze prehral firmware dokonce i stejnou verzi - jsem zvedavy, jestli se mu to tam zase objevi...)

Jake s tim mate zkusenosti vy? Resili jste to se spolednosti Tenda (nebo kdo jim to tady servisuje?)

Z te jedne Tendy mam udelany dump hlavicek paketu, pricemz za Tendou byl zapojeny jen jeden RB750 v defaultu (aby na LAN bylo vubec neco slinkovane). Sniffovani probihalo pres noc na WAN portu. Od zapnuti routeru se floody zacali objevovat az za cca 4-5 hodin. SYN flood utoky jsou smerovane na verejne IP adresy uvnitr nasi site a vzdy z podvrzenych IP adres.

Tj. muj zaver: Tenda routery musi byt zavirovane.
0 x

andreas4all
Příspěvky: 411
Registrován: 05 bře 2007 22:36

Re: SYN cookies na router?

Příspěvekod andreas4all » 21 srp 2012 13:14

Tj. muj zaver: Tenda routery musi byt zavirovane.

a moj zaver je, ze su vyrobene v cine... :D sledovanie uzivatelov :)
0 x

Uživatelský avatar
pcwifi
Příspěvky: 2508
Registrován: 15 bře 2008 14:39
antispam: Ano
Bydliště: Brnensko

Re: SYN cookies na router?

Příspěvekod pcwifi » 21 srp 2012 14:17

Tenda....uz ten nazef je divnej...a nastesti sem se neuchyloval nikdy k takovymu srotu, to nejnizsi ale zaroven celkem bezproblemove mi prijde TPlink...

routery Tenda - jen na vlastni nebezpeci :lol:

PW
0 x

PepeOnAchair
Příspěvky: 63
Registrován: 05 bře 2009 22:54

Re: SYN cookies na router?

Příspěvekod PepeOnAchair » 28 bře 2013 23:51

Tak po delsi dobe pisu zase do tohoto vlakna.

Je snort dobra volba pro _detekci_ zakazniku, z jejichz domacich zarizeni se siri hlavne ruzne floody, ale i jiny bordel? Pokud bych uz musel snort instalovat, zrejme by byl pripojeny na mirroring port na switchi a s nadstavbou Snorby. Moc se mi to instalovat ale nechce. Leda by to bylo nutne nebo by to oproti tomu, co pisu dal prineslo i jine vyhody, napr. detekci jinych abnormalit prochazejicich siti nez ktere umi detekovat iptables.

Nestacil by jen server s IP tables (taky pripojeny na mirooring port), v promiskuitnim modu s IPtables pravidlem pro kazdou IP adresu s nastavenym "-m limit --limit 1/s --limit-burst 3" na nejake hodnoty? Jake vsechny sitove anomalie (slusne receno) vubec dokaze iptables detekovat? SYN floody a ICMP floody do logu oznacovat umi, to je jasne, ale co dal? Oznacovani tech anomalii logovanim do messages/syslog by mi stacilo.

PS: je nejak mozne, aby iptables logoval i zdrojovou MAC adresu paketu (v ramci L2 segmentu, samozrejme)?

Zkratka potrebuju s jistotou ukazat na zlobive kluky a holky na nasi siti a pri neuposlechnuti "doporuceni" odvirovani si svych PC atd. je automaticky zastrelit, dve davky :)

PPS: Pokud je iptables pravidlo, kde je nastavene napr. "-m limit --limit 1/s --limit-burst 3" pro SYN pakety napsane tak, ze je spolecne pro napr. subnet /24, muze v tom pripade dojit k falesne detekci SYN floodera? Rekneme, ze zlobivy SYN flooder flooduje, ale tesne pred tim, nez ho chyti iptables pravidlo prestane. Hned po jeho poslednim syn flood paketu ale pravidlem projde korektni SYN paket nekoho jineho/hodneho. Kdyby ten korektni/hodny SYN paket byl nadlimitni, byl by za zlobiveho flodera oznacen hodny kluk? (Pokud to mozne je, a predpokladam, ze je, tak je asi resenim mit prave asi jedno pravidlo na jednu IP adresu, coz si na GW nedam a musi to stejne bezet na vyhrazenem stroji.)

Pep.
0 x

menicks
Příspěvky: 134
Registrován: 17 lis 2008 08:50

Re: SYN cookies na router?

Příspěvekod menicks » 29 črc 2013 09:15

Add problémy routery: Problém byl trochu jinde, setkali jsme se s tim také. Dobře popsané také: http://www.wms.cz/novinky/#A84 Jinak Tendy byli docela dobré routery z číny než jim po*urvili FW. Jinak HW Tend je poměrně spolehlivý.
0 x

ezdiy
Příspěvky: 4
Registrován: 08 led 2013 16:49

Re: SYN cookies na router?

Příspěvekod ezdiy » 03 lis 2013 00:41

Kód: Vybrat vše

iptables -t nat -A PREROUTING -m hashlimit --hashlimit-above 1000/sec --hashlimit-burst 5000 --hashlimit-mode srcip --hashlimit-name srchash --hashlimit-htable-size 131072 -j DNAT --to-destination 127.0.0.1
0 x

shooter
Příspěvky: 625
Registrován: 22 srp 2008 12:06

Re: SYN cookies na router?

Příspěvekod shooter » 06 lis 2013 18:17

má to význam zapínat to na MK ?
0 x


Zpět na “Nezařazené”

Kdo je online

Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 1 host