ДДосеры одолели

httpxss

Здравствуйте.

Одолели меня ддосеры, один IP из подсети постоянно атакуют. Решаю временно проблему отключением IP от виртуалки, но потом еще длительное время в 30Мб/с примерно забит входящий трафик, удаление state ничего не дает.

Есть какой-то вариант сделать blackhole на pfSense? как бороться с нечистью, за***ли меня в конец, нервов нехватает.

PbIXTOP

Входящий трафик нельзя никак регулировать. Это может делать, только выше стоящий оператор. Если к вам пришел пакет, то уже никуда от него не деться. Едиственное, что можно с ним сделать — DROP, чтоб прекратить дальнейшую обработку.
Или смотреть какой из сервисов вызывает нагрузки и попытаться его вынести за периметр сети.

httpxss

да за периметр особо не получится, я правильно понимаю, сделать хотябы - DROP для IP-адреса из внешней подсети правилом firewall, т.е. повесить правило

Floating:
–---------------
Action: block
Interface: wan
Direction: any
Address Family : ipv4
Protocol: any
Source: any
Destination: single host or alias IP-адрес подсети

и Firewall -> Rules -> WAN

Action: block
Interface: wan
Address Family : ipv4
Protocol: any
Destination: single host or alias IP-адрес подсети

Это максимум, что я могу сделать?

werter

Доброе.

О какой подсети идет речь ? У вас на WAN целая подсеть ?

1. Попробуйте исп. reject вместо drop.

2. https://forum.pfsense.org/index.php?topic=87571.15
Изменить системн. переменные и перезагрузить pfsense :

...
net.inet.udp.blackhole=1              # drop udp packets destined for closed sockets (default 0)
net.inet.tcp.blackhole=2              # drop tcp packets destined for closed ports (default 0)
...

Рекомендую также установить и настроить пакет Suricata. Только необходимо нек-ое время на его "обучение".

httpxss

Здравствуйте.

Да, конечно WAN, подсеть "белых" IP.

1. Попробую reject когда опять начнут долбить.

2. Системные переменные вроде так и стоят (прикрепил скрин)

Поставлю Suricata правда пока не знаю, что это. Пойду курить маны.

Спасибо.

111.png_thumb

pigbrother

1. Попробую reject когда опять начнут долбить

IMHO, drop все же предпочтительнее. reject заставляет psSense отвечать на нежелательные пакеты, c drop система реагирует молча.

httpxss

Пока вроде все тихо, после последней (6-й атаки), потихоньку пытаюсь освоить сурика, поставил обучаю.