Processamento muito Alto !!

brupj

Boa tarde,

Procurei aqui no Forum mas não achei algo parecido.

Eu estou usando o PfSense 2.0.1 como Firewall/roteador…..  para testa-lo, eu mesmo aluguei um VPS e ataquei o IP do meu PfSense.
Ele ta segurando o ataque... não ta passando para o dedicado que fica "atrás" do PfSense, porém o processamento sobre de 3% para em média 70%.
Tem como diminuir isso??

Porque imagino que se tiver 2 pessoas atacando meu IP, vai passar dos 100% e lagar tudo.
Print de como fica = http://i.imgur.com/zpxOj.jpg

O micro nem é tão ruim assim.

AMD Athlon X2 4600+
3 Gb de ram
40 Gb SATA

mantunespb

acredito que seja complicado,

tente instalar o Snort.. e aumentar a memoria.. só que ataques DDoS é quase impossível
ser bloqueados no destino, geralmente tem que solicitar via operadora e assim mesmo
é difícil..vide alguns ataques recentemente acontecido, inclusive em bancos, campus-party
etc. etc

esta fazendo o ataque via T50 ?

brupj

Não!! estou usando um script perl, que funciona no Linux… via UDP !!!

Mas memoria, ele praticamente não esta aumetando esta indo de 3% para 7%... só o processamento que sobe muito..

Esse PfSense esta com o pacote Snort instalado, porém não faço ideia como criar regras.
Não achei nada explicando como fazer regras personalizadas.... apenas baixei aquelas regras "prontas" do site do próprio Snort....

Teria alguma recomendação para criar regras? 
To perdidão!!

Valeu

marcelloc

Brupj, a capacidade d filtro está diretamente relacionada ao tamanho do link e capacidade de hardware do firewall.

Você está usando a versão 64 bits do pfSense? Nela os parâmetros d kernel são mais compatíveis com alto volume d tráfego.

Já tentou configurar o limite de conexões simultâneas na regra da wan que libera o tráfego?

brupj

Então Marcelo, estou usando a versão 64 bits.

Meu link é de 100 Mb de down e 30 Mb de up !!!
Coloquei no WAN, que o maximo de conexões simultaneas do mesmo host, seria de 200…
Veja as regras que coloquei, por favor = http://i.imgur.com/uUHZI.jpg

Mas elas não parecem surtir efeitos.....

DEtalhe, estou atacando via UDP e não TCP.

Só acho estranho, que meu link é de no minimo 30 Mb de Up e estou conseguindo lagar tudo com um link de 7 Mb, que é do meu VPS.

O que estou fazendo de errado??

Obrigado

marcelloc

Publica os screenshots por aqui mesmo, usando o additional options.

Tenta configurar um limite mais baixo para ver a regra funcionando e veja se não existe uma regra anterior liberando o trafego sem limites.

tente limitar a banda também…

brupj

Então Marcelo…. mudei as regras para 1 !!! onde estava 200, mudei para 1 !!!

O ataque esta conseguindo passar do PfSense para o dedicado que fica "atrás" dele.

Detalhe que essa regra com máximo de conexões é a primeira de todas.

Juro que não to entendendo.

Pq eu penso assim: Hoje eu tenho um roteador que faz NAT para o dedicado, que tem o CSF instalado e consegue segurar os ataques, melhor que o PfSense.....
Ai eu pergunto, como um roteador "sem vergonha" da VIVO pode ser melhor que um micro com PfSense??
Duvido que o processamento do roteador seja tão rapido quanto do micro.

Então deve ter algo errado, imagino eu....

Ou eu estou errado, ou o PfSense não segura ataque DoS muito bem...... eu sinceramente ACHO que sou EU.

marcelloc

Eu uso regras com limites e funciona muito bem, procure testar melhor e não esquece de  resetar os estados de conexão entre um teste e outro.