Переполнение static table по всей видимости атака.
-
Собственно словил ддос на проброшеный порт. В diag_dump_states словил следующее:
WAN udp 82.197.228.46:38464 -> 192.168.1.9:9987 (х.х.х.х:9987) NO_TRAFFIC:SINGLE 2 / 0 846 B / 0 B
LAN udp 82.197.228.46:38464 -> 192.168.1.9:9987 SINGLE:NO_TRAFFIC 2 / 0 846 B / 0 B
WAN udp 82.197.228.46:53657 -> 192.168.1.9:9987 (х.х.х.х:9987) NO_TRAFFIC:SINGLE 6 / 0 2 KiB / 0 B
LAN udp 82.197.228.46:53657 -> 192.168.1.9:9987 SINGLE:NO_TRAFFIC 6 / 0 2 KiB / 0 B
WAN udp 82.197.228.46:34634 -> 192.168.1.9:9987 (х.х.х.х:9987) NO_TRAFFIC:SINGLE 2 / 0 846 B / 0 B
LAN udp 82.197.228.46:34634 -> 192.168.1.9:9987 SINGLE:NO_TRAFFIC 2 / 0 846 B / 0 B
WAN udp 82.197.228.46:58951 -> 192.168.1.9:9987 (х.х.х.х:9987) NO_TRAFFIC:SINGLE 6 / 0 2 KiB / 0 B
LAN udp 82.197.228.46:58951 -> 192.168.1.9:9987 SINGLE:NO_TRAFFIC 6 / 0 2 KiB / 0 BИ не обязательно с одного айпи. Подскажите как блочить такой трафик. Снорт даже алерты не создаёт.. Может конечно я его плохо настроил.
-
Доброе.
Попробуйте Суриката. -
Спасибо за совет. Попробовал суриката. Отловил не все адреса зомби, я бы сказал крупицу из тысячи:
03/18/2017
19:34:34 2 UDP Misc Attack 88.250.95.98
1900 x.x.x.x
9987 1:2403396
ET CINS Active Threat Intelligence Poor Reputation IP group 97
03/18/2017
19:34:04 2 UDP Misc Attack 78.187.9.190
1900 x.x.x.x
9987 1:2403366
ET CINS Active Threat Intelligence Poor Reputation IP group 67
03/18/2017
19:33:56 2 UDP Misc Attack 88.250.19.109
1900 x.x.x.x
9987 1:2403395
ET CINS Active Threat Intelligence Poor Reputation IP group 96
03/18/2017
19:33:38 2 UDP Misc Attack 78.187.9.44
1900 x.x.x.x
9987 1:2403366
ET CINS Active Threat Intelligence Poor Reputation IP group 67
03/18/2017
19:33:15 2 UDP Misc Attack 88.247.150.251
1900 x.x.x.x
9987 1:2403393
ET CINS Active Threat Intelligence Poor Reputation IP group 94
03/18/2017
19:33:05 2 UDP Misc Attack 85.99.116.80
1900 x.x.x.x
9987 1:2403384
ET CINS Active Threat Intelligence Poor Reputation IP group 85
03/18/2017
19:33:03 2 UDP Misc Attack 78.186.239.191
1900 x.x.x.x
9987 1:2403366
ET CINS Active Threat Intelligence Poor Reputation IP group 67
03/18/2017
19:32:53 2 UDP Misc Attack 88.249.126.73
1900 x.x.x.x
9987 1:2403395
ET CINS Active Threat Intelligence Poor Reputation IP group 96
03/18/2017
19:32:36 2 UDP Misc Attack 75.149.130.89
57294 x.x.x.x
9987 1:2403361
ET CINS Active Threat Intelligence Poor Reputation IP group 62
03/18/2017
19:32:36 2 UDP Misc Attack 50.159.247.20
1900 x.x.x.x
9987 1:2403331
ET CINS Active Threat Intelligence Poor Reputation IP group 32
03/18/2017
19:32:17 2 UDP Misc Attack 85.98.44.31
1900 x.x.x.x
9987 1:2403383
ET CINS Active Threat Intelligence Poor Reputation IP group 84Может есть средство понадёжней и универсальный помимо бана подсетей?
-
1. Сменить порт.
2. Разрешить доступ к порту только с опред. ip\сетей. Вплоть до разр. только адресов своей страны, напр. В помощь https://znil.net/index.php?title=Pfsense_-_GeoIP_Blocking_auf_bestimmte_Ports_oder_Dienste_IPv4_IPv6
3. Настроить OpenVPN и ходить в сеть через него. -
Спасибо за советы. Буду пробовать резать страны.
-
Доброе.
Разрешите только 1-2 страны, к-ые вам нужны. Остальные будут заблокированы по-дефолту. -
Либо я не понял, либо есть хитрость. Началось с того, что попросил друга пофлудить трафиком на порт с его удалённого сервера из Эстонии, и закончилось тем, что даже когда блочу конкретно его айпи всё равно к омне трафик идёт.
Reject(пробовал и block)
0 /124.46 MiB IPv4 * 5.34.х.х * * * * noneИ всё равно получаю трафик:
5.34.х.х 528.47k Bits/sec 7.65M Bits/secИ вот некоторая инфа от tcpdump:
5.34.x.x.50647 > WanAddress.9987: [udp sum ok] UDP, length 991
00:27:56.666314 IP (tos 0x8, ttl 121, id 19531, offset 0, flags [none], proto UDP (17), length 1020)
5.34.x.x.50647 > WanAddress.9987: [udp sum ok] UDP, length 992
00:27:56.666401 IP (tos 0x8, ttl 121, id 19532, offset 0, flags [none], proto UDP (17), length 1026)
5.34.x.x.50647 > WanAddress.9987: [udp sum ok] UDP, length 998
00:27:56.666488 IP (tos 0x8, ttl 121, id 19533, offset 0, flags [none], proto UDP (17), length 1019)
5.34.x.x.50647 > WanAddress.9987: [udp sum ok] UDP, length 991
00:27:56.666621 IP (tos 0x8, ttl 121, id 19534, offset 0, flags [none], proto UDP (17), length 1019)
5.34.x.x.50647 > WanAddress.9987: [udp sum ok] UDP, length 991
00:27:56.666715 IP (tos 0x8, ttl 121, id 19535, offset 0, flags [none], proto UDP (17), length 1020)
5.34.x.x.50647 > WanAddress.9987: [udp sum ok] UDP, length 992Собственно вопрос в том, что мне совсем неясно почему трафик не блочится.
-
Трафик в любом случае попадает вам в интерфейс.
Правилами файрвола вы просто прекращаете его дальнешее прохождение и обработку. -
Трафик в любом случае попадает вам в интерфейс.
Правилами файрвола вы просто прекращаете его дальнешее прохождение и обработку.Именно.
Вспоминаю давнюю историю времен когда трафик тарифицировался и был дорог- человек попал на крупную сумму за то, что его порт ддосили, а хитрый провайдер тупо считал приходяшие на порт пакеты. -
Доброе.
то даже когда блочу конкретно его айпи всё равно к омне трафик идёт
Скрины всего, что настроили - правил fw, pfblocker etc.
-
Касаемо PFblockerNG настраивал: adblocker(через листы с одноименного расширения для браузеров) и
блокировку по европейскому региону.(всё один в один как по вашей ссылке)
Enable pfBlockerNG -стоит галочка
Enable DNSBL -стоит галочка
Enable TLD -стоит галочка
Выхлоп логов:UPDATE PROCESS START [ 03/20/17 13:42:46 ]
===[ DNSBL Process ]================================================
[ easyList ] Reload . completed ..
–--------------------------------------------------------------------
Orig. Unique # Dups # White # Alexa Final
----------------------------------------------------------------------
7582 7199 0 0 0 7199
----------------------------------------------------------------------[ easyListPrivacy ] Reload [ 03/20/17 13:42:48 ] . completed ..
–--------------------------------------------------------------------
Orig. Unique # Dups # White # Alexa Final
----------------------------------------------------------------------
2808 2786 23 0 0 2763
----------------------------------------------------------------------[ bitblockext ] Reload . completed ..
–--------------------------------------------------------------------
Orig. Unique # Dups # White # Alexa Final
----------------------------------------------------------------------
7582 7199 7199 0 0 0
----------------------------------------------------------------------[ ad_servers ] Reload [ 03/20/17 13:42:49 ] . completed ..
–--------------------------------------------------------------------
Orig. Unique # Dups # White # Alexa Final
----------------------------------------------------------------------
48007 48004 1340 0 0 46664
----------------------------------------------------------------------[ yoyo ] Reload [ 03/20/17 13:42:57 ] . completed ..
–--------------------------------------------------------------------
Orig. Unique # Dups # White # Alexa Final
----------------------------------------------------------------------
2346 2346 1432 0 0 914
----------------------------------------------------------------------[ adaway ] Reload . completed ..
–--------------------------------------------------------------------
Orig. Unique # Dups # White # Alexa Final
----------------------------------------------------------------------
409 409 282 0 0 127
----------------------------------------------------------------------[ sysctl ] Reload . completed ..
–--------------------------------------------------------------------
Orig. Unique # Dups # White # Alexa Final
----------------------------------------------------------------------
21194 21194 6121 0 0 15073
----------------------------------------------------------------------[ spamhaus ] Reload [ 03/20/17 13:43:01 ] . completed .
No Domains Found[ dshield ] Reload . completed ..
–--------------------------------------------------------------------
Orig. Unique # Dups # White # Alexa Final
----------------------------------------------------------------------
55 55 0 0 0 55
----------------------------------------------------------------------
Assembling database... completed
Executing TLD
TLD analysis. completed
Finalizing TLD... completedOriginal Matches Removed Final
72795 16168 39922 32873
Validating database... completed [ 03/20/17 13:43:13 ]
Reloading Unbound…. completed
DNSBL update [ 32873 | PASSED ]… completed [ 03/20/17 13:43:15 ]
–----------------------------------------===[ Continent Process ]============================================
[ pfB_Europe_v4 ] Changes found… Updating
[ pfB_Europe_v6 ] Changes found… Updating
===[ IPv4 Process ]=================================================
===[ IPv6 Process ]=================================================
===[ Aliastables / Rules ]==========================================
No changes to Firewall rules, skipping Filter Reload
Updating: pfB_Europe_v4
no changes.
Updating: pfB_Europe_v6
no changes.===[ FINAL Processing ]=====================================
[ Original IP count ] [ 29488 ]
===[ Permit List IP Counts ]=========================
26844 total
26842 /var/db/pfblockerng/permit/pfB_Europe_v4.txt
2 /var/db/pfblockerng/permit/pfB_Europe_v6.txt===[ DNSBL Domain/IP Counts ] ===================================
32873 total
13301 /var/db/pfblockerng/dnsbl/ad_servers.txt
8721 /var/db/pfblockerng/dnsbl/sysctl.txt
7160 /var/db/pfblockerng/dnsbl/easyList.txt
2756 /var/db/pfblockerng/dnsbl/easyListPrivacy.txt
875 /var/db/pfblockerng/dnsbl/yoyo.txt
54 /var/db/pfblockerng/dnsbl/dshield.txt
6 /var/db/pfblockerng/dnsbl/adaway.txt
0 /var/db/pfblockerng/dnsbl/bitblockext.txt====================[ Last Updated List Summary ]==============
Mar 18 23:49 pfB_Asia_v4
Mar 18 23:49 pfB_Asia_v6
Mar 20 13:43 pfB_Europe_v4
Mar 20 13:43 pfB_Europe_v6IPv4 alias tables IP count
–---------------------------
26842IPv6 alias tables IP count
2
Alias table IP Counts
26844 total
26842 /var/db/aliastables/pfB_Europe_v4.txt
2 /var/db/aliastables/pfB_Europe_v6.txtpfSense Table Stats
table-entries hard limit 2000000
Table Usage Count 30628UPDATE PROCESS ENDED [ 03/20/17 13:43:17 ]
ПортФорвард и рулесы в скринах:
-
Необх. явно указывать dest - WAN addr (не WAN net)
И да, достаточно создать одно разреш. правило NAT, где в src будут разр. сети\страны. Все остальное будет блокрироваться автоматически.
Главное правило пф как fw - запрещено всё, что не разрешено явно.P.s. Кстати, если TS3 - это Тимспик3, то рекомендую нааааамного более интересное open source решение для геймеров - https://discordapp.com/features
Как вариант еще - Rocket.chat (они родственники). Пользуем его как корп. чат.Оч. вкусные продукты, к-ые не треб. отд. клиентов для PC - все работает через браузер. Прилагаются клиенты для моб платформ.
-
Понял, спасибо. РокетЧат тоже юзаем в корпоративных целях.
А, касаемо траффика -я так понимаю всё обстоит именно так как говорил PbIXTOP? Т.е. я не смогу заблочить его?
-
Понял, спасибо. РокетЧат тоже юзаем в корпоративных целях.
А, касаемо траффика -я так понимаю всё обстоит именно так как говорил PbIXTOP? Т.е. я не смогу заблочить его?
Вы его и так "блочите" - ведь дальше WAN пакеты не проходят, не так ли?
Побороть сам d(dos) средствами только файрволла нельзя. block вместо reject слегка снизит нагрузку, но входящий трафик это не отменит.
Многие ресурсы страдают от ddos, хотя в их распоряжении ресурсы хостеров, провайдеров, систем CDN\DDOS protection -
А если исп. что-то типа black hole? Т.е. поднять у себя в сети ресурс на linux и форвардить с пф на него всё, что приходит на опред. порт.
http://bencane.com/2013/01/14/mitigating-dos-attacks-with-a-null-or-blackhole-route-on-linux/
https://www.cyberciti.biz/tips/how-do-i-drop-or-block-attackers-ip-with-null-routes.html
https://www.tummy.com/blogs/2006/07/27/the-difference-between-iptables-drop-and-null-routing/Иcп. TARPIT в iptables (только с TCP ?):
http://ruunix.ru/597-tarpit-lovushka-v-iptables.html
https://blog.n1mda.ru/linux/hitposti-s-iptables.htmlP.s. Как вариант - исп. OpenVPN и ходить на ваш сервер через туннель, а не откр. порты во вне явно.
P.p.s. Стоп. Что-то нашел :)
https://www.linux.org.ru/forum/admin/4074001
Во FreeBSD при выставлении net.inet.tcp.blackhole=2 и net.inet.udp.blackhole=1, на попытки подключиться к закрытым портам клиенту не отсылается RST (tcp) и ICMP port unreachable (udp) http://www.freebsd.org/cgi/man.cgi?query=blackhole
И у пф есть такие переменные. Примеры конфигов :
https://forum.pfsense.org/index.php?topic=50256.0
https://forum.pfsense.org/index.php?topic=87571.15
https://www.facebook.com/pfsensevn/posts/1466066847056643Не забывайте перезагрузить пф после добавления\изменения переменных!
-
Спасибо покопаю!
