PFSENSE помогите настроить защиту от DOS DOSS Атак

l2grom

@l2grom:

State Type
   * synproxy state

Proxies incoming TCP connections to help protect servers from spoofed TCP SYN floods. This option includes the functionality of keep state and modulate state combined.
Включил это

У меня стоит игравой сервер, порты 7777 и 2006  смотрят наружу, по ним вот и досят сервак мой

Eugene

@l2grom:

@l2grom:

State Type
   * synproxy state

Proxies incoming TCP connections to help protect servers from spoofed TCP SYN floods. This option includes the functionality of keep state and modulate state combined.
Включил это

У меня стоит игравой сервер, порты 7777 и 2006  смотрят наружу, по ним вот и досят сервак мой

А как определил, что досят?

zar0ku1

@l2grom:

У меня стоит игравой сервер, порты 7777 и 2006  смотрят наружу, по ним вот и досят сервак мой

lineage на pfsense, да вы знаете толк в извращениях

l2grom

@Evgeny:

@l2grom:

@l2grom:

State Type
   * synproxy state

Proxies incoming TCP connections to help protect servers from spoofed TCP SYN floods. This option includes the functionality of keep state and modulate state combined.
Включил это

У меня стоит игравой сервер, порты 7777 и 2006  смотрят наружу, по ним вот и досят сервак мой

А как определил, что досят?

Был достигнут предел подключений, машина не реагировала не на одно подключение, а те кто уже подключины были, лагали

Eugene

Screenshot правил на WAN можно?

l2grom

Что нарыл
Protocol TCP -выставил
Address: XXXXXXXXX-выставил
from:    7777
to:            7777

Advanced Options
Maximum state entries per host-2
Maximum new connections -2 / per second -2

State Type -synproxy state
Proxies incoming TCP connections to help protect servers from spoofed TCP SYN floods. This option includes the functionality of keep state and modulate state combined.

и на логин порт тоже самое, это входящие соединения

l2grom

@l2grom:

Что нарыл
Protocol TCP -выставил
Address: XXXXXXXXX-выставил
from:    7777
to:            7777

Advanced Options
Maximum state entries per host-2
Maximum new connections -2 / per second -2

State Type -synproxy state
Proxies incoming TCP connections to help protect servers from spoofed TCP SYN floods. This option includes the functionality of keep state and modulate state combined.

и на логин порт тоже самое, это входящие соединения

Screenshot правил на WAN можно?  к сожалению, что я могу тут выставить если у меня игракв может бытьот 1 до 300 одновременн

l2grom

@Evgeny:

Screenshot правил на WAN можно?

Что можно тут поставить? Ведь тут задается количество подключений с разных IP а не на конкретный хост

dvserg

Попробуй это
Maximum state entries per host = 5

А кленты знакомые или нет? Может ввести белый лист?

l2grom

@dvserg:

Попробуй это
Maximum state entries per host = 5

А кленты знакомые или нет? Может ввести белый лист?

Клиенты не знакомы, и каждый раз новые прибывают.

Maximum state entries per host = 5
Maximum new connections = 1 / per second = 10 сек

{ хотя кажется Maximum state entries per host = 4}
Maximum new connections = 0 / per second = 0

fox

хм…. а что мешает поставить snort )))

zar0ku1

@fox:

хм…. а что мешает поставить snort )))

я за Cisco ASA

l2grom

@zar0ku1:

@fox:

хм…. а что мешает поставить snort )))

snort можно по подробней, что это и с чем кушается. Это пакет или какая софтина , железка..

zar0ku1

@l2grom:

snort можно по подробней, что это и с чем кушается. Это пакет или какая софтина , железка..

http://ru.wikipedia.org/wiki/Snort

l2grom

@zar0ku1:

@l2grom:

snort можно по подробней, что это и с чем кушается. Это пакет или какая софтина , железка..

http://ru.wikipedia.org/wiki/Snort

Спасибо друзья, осталось разобраться с правилами к примеру откуда и куда
ПРИМЕР
SID      Proto  Source  Port  Destination  Port                Message
      2010156  udp      any          any          $HOME_NET        27901              ET GAMES Alien Arena 7.30 Remote Code Execution Attempt

alert udp any any -> $HOME_NET 27901 (msg:"ET GAMES Alien Arena 7.30 Remote Code Execution Attempt"; content:"print|0A 5C|"; isdataat:257,relative; pcre:"/\x5C[^\x5C\x00]{257,}/"; classtype:misc-attack; reference:url,www.packetstormsecurity.org/0910-advisories/alienarena-exec.txt; reference:url,doc.emergingthreats.net/2010156; reference:url,www.emergingthreats.net/cgi-bin/cvsweb.cgi/sigs/GAMES/GAMES_AlienArena; sid:2010156; rev:4;)

sid - ну это номер правила
Proto- протокол
Source - источник ( не понятно внутренний или внешний ?)
Port - порт ( не понятно внутренний или внешний ?)
Destination - назначение
Port  - порт ( не понятно внутренний или внешний ?)

Если кто-то разбирался, помогите с ориентироваться, пожалуйста

vardan

rebyata ya toje zapustil snort i u menya vot chto v logax

snort[40959]: FATAL ERROR: Failed to Lock PID File "/var/log/snort/run/snort_rl09877rl0.pid" for PID "40959"

:(

fox

**есть еще нюанс snort прожорливый к памяти минимум 512 **

fox

@zar0ku1:

@fox:

хм…. а что мешает поставить snort )))

я за Cisco ASA

ну здесь без комментариев )))  ;)

l2grom

Всем спасибо, SHORT ВПОЛНЕ СПРАВИЛСЯ С БОЛЬШИНСТВОМ DOS АТАК НА МАШИНУ.

DasTieRR

@l2grom:

Всем спасибо, SHORT ВПОЛНЕ СПРАВИЛСЯ С БОЛЬШИНСТВОМ DOS АТАК НА МАШИНУ И ПАРТЫ.

парты школьные?