Прохождение пакетов и другое…



  • Доброго времени суток всем.
    Имеется два инет канала, MultiWan, работают одновременно, установленна Suricata которая обрабатывает оба канала, имеется допустим сервер, который доступен из инета с обоих каналов (естественно с разными IP), теперь (опять же) допустим сервер начинают ддосить по одному из каналов, проблем у самого сервера нет, до него ддос практически не доходит, но имеется проблема, когда из-за  ддоса забивается один канал (ну и фиг собственно с ним, главное про второй ддосеры ничего не знают и на него ддос атаки точно нет) и процессор роутера загружен на 100% (доступ на роутер остаётся и он управляем), то начинаются потери пакетов и на втором канале.

    (да, проц, обычный интеловский i5, 4 ядра)

    Так вот у меня вопрос, потери я так понял из-за 100% загрузки процессора роутера ?
    Кроме того если посмотреть то видно что наибольшую нагрузку даёт обработка пакетов Suricata.
    Самое забавное что если ддос атака просто сводиться к посылке кучи пакетов на не открытый порт то легче всего было бы просто блокировать этот трафик, да он собственно и будет отброшен так или иначе, но из-за проверки Сурикатой получаем неслабую нагрузку на процессор.

    Из этого следует ещё два вопроса, можно ли узнать как точно ходят пакеты в Pfsense, на каком этапе их перехватывает Suricata, можно ли прописывать правила которые будут отрабатывать до Сурикаты, или же может можно настроить Сурикату чтобы она один канал обрабатывала на одних ядрах процессора, а другой на других, чтобы для обработки любого из каналов всегда были свои мощности?



  • Доброе.
    Оставьте доступ к пф только из определеных стран (по ип).

    Есть в настройках пф параметр udp\tcp blackhole. Может поможет https://forum.pfsense.org/index.php?topic=87571.15



  • Спасибо, попробую, будем надеяться что эти правила отработают раньше чем Суриката за дело возьмётся  :)
    И да, IP по странам я и так уже блокирую, с помощью PFblokerNG, но Суриката всё равно проверяет все эти пакеты до того как они будут отброшены.

    p.s.
    Посмотрел, эти параметры,
    net.inet.udp.blackhole=1              # drop udp packets destined for closed sockets (default 0)
    net.inet.tcp.blackhole=2              # drop tcp packets destined for closed ports (default 0)
    у меня они уже стоят, так что получается Суриката раньше их отрабатывает  :'(.



  • Доброго.
    Откл. на время сурикату. Оставьте только блокирование по странам. Понаблюдайте.



  • Простите, а что я должен увидеть, то что будут блокироваться пакеты идущие на не открытый порт, так я это и так уже вижу  в логах Firewall, хоть с Сурикатой хоть без, просто Суриката некоторые из этих пакетов сама блокирует, в частности в той DDOS атаке она некоторые IP блокировала как взятые из списка Spamhouse (если не ошибаюсь конечно).



  • Я к тому, что, возможно, нагрузка из-за ДДОС снизится без сурикаты. Вот это проверьте.



  • Аааа, ясно, просто сами ддос атаки происходят не так часто, может придётся ждать несколько дней, если не недель…



  • @Uranus:

    можно ли узнать как точно ходят пакеты в Pfsense, на каком этапе их перехватывает Suricata

    https://forum.pfsense.org/index.php?topic=123011.msg683033#msg683033



  • Спасибо, мне уже ответили в английской ветке форума что Суриката читает данные прям с драйвера и соответственно ничего перед ней для блокировки трафика нельзя вставить (на данный момент по крайней мере).
    Теперь вот пытаюсь выяснить можно ли Сурикату настроить так чтобы каждый из каналов обрабатывался только определёнными ядрами процессора, чтобы всегда были свободные мощности процессора, вроде как в доках такое можно, но как не настраивал не получается…



  • @rubic:

    @Uranus:

    можно ли узнать как точно ходят пакеты в Pfsense, на каком этапе их перехватывает Suricata

    https://forum.pfsense.org/index.php?topic=123011.msg683033#msg683033

    Спасибо. Теперь понял как работает inline mode.



  • Ну чтож, сегодня ддосили, при использовании Сурикаты загрузка процессора 100%, как только отключил Сурикаты на этом канале загрузка стала менее чем 50%, так что Суриката при ддос атаках на обычных процессорах только вредит…

    Кстати не понял, при ддос атаке в логах фаервола появилось куча записей такого типа:

    WAN1 block bogon IPv4 networks from WAN2 (11000) 45.14.201.134:31100 IP-WAN1:27192 UDP

    то есть входит трафик на WAN1 с IP 45.14.201.134 и порта 31100, идёт соответственно на IP-WAN1 и порт 27192, протокол UDP, но почему написано что блокируется bogon трафик с WAN2, я смотрел, не было левого трафика на WAN2, ддосили только WAN1?!



  • Покажите настройки fw, NAT etc.



  • Вы хотите глянуть Nat-Port Forward и Firewall-Rules, там довольно много всего, у меня же multiwan, а значит два канала ?!



  • На WAN-ах блокирование bogon net вкл ?



  • @werter:

    На WAN-ах блокирование bogon net вкл ?

    Да, на сколько я знаю так и нужно…


Log in to reply