ДДосеры одолели



  • Здравствуйте.

    Одолели меня ддосеры, один IP из подсети постоянно атакуют. Решаю временно проблему отключением IP от виртуалки, но потом еще длительное время в 30Мб/с примерно забит входящий трафик, удаление state ничего не дает.

    Есть какой-то вариант сделать blackhole на pfSense? как бороться с нечистью, за***ли меня в конец, нервов нехватает.



  • Входящий трафик нельзя никак регулировать. Это может делать, только выше стоящий оператор. Если к вам пришел пакет, то уже никуда от него не деться. Едиственное, что можно с ним сделать — DROP, чтоб прекратить дальнейшую обработку.
    Или смотреть какой из сервисов вызывает нагрузки и попытаться его вынести за периметр сети.



  • да за периметр особо не получится, я правильно понимаю, сделать хотябы - DROP для IP-адреса из внешней подсети правилом firewall, т.е. повесить правило

    Floating:
    –---------------
    Action: block
    Interface: wan
    Direction: any
    Address Family : ipv4
    Protocol: any
    Source: any
    Destination:  single host or alias IP-адрес подсети

    и    Firewall -> Rules -> WAN

    Action: block
    Interface: wan
    Address Family : ipv4
    Protocol: any
    Destination:  single host or alias IP-адрес подсети

    Это максимум, что я могу сделать?



  • Доброе.

    О какой подсети идет речь ? У вас на WAN целая подсеть ?

    1. Попробуйте исп. reject вместо drop.

    2. https://forum.pfsense.org/index.php?topic=87571.15
    Изменить системн. переменные и перезагрузить pfsense :

    ...
    net.inet.udp.blackhole=1              # drop udp packets destined for closed sockets (default 0)
    net.inet.tcp.blackhole=2              # drop tcp packets destined for closed ports (default 0)
    ...
    

    Рекомендую также установить и настроить пакет Suricata. Только необходимо нек-ое время на его "обучение".



  • Здравствуйте.

    Да, конечно WAN, подсеть "белых" IP.

    1. Попробую reject когда опять начнут долбить.

    2. Системные переменные вроде так и стоят (прикрепил скрин)

    Поставлю Suricata правда пока не знаю, что это. Пойду курить маны.

    Спасибо.




  • 1. Попробую reject когда опять начнут долбить

    IMHO, drop все же предпочтительнее. reject заставляет psSense отвечать на нежелательные пакеты, c drop система реагирует молча.



  • Пока вроде все тихо, после последней (6-й атаки), потихоньку пытаюсь освоить сурика, поставил обучаю.


Log in to reply