Подскажите целесообразность установки pfsense
-
Имеем проблему: ддос 30-40 мегабит, 100К ботов, 15К соединений/сек
Имеем железо которое служит фильтром: Intel Core i7 920 4Gb DDR3 + 2 Сетевые intel pro 1000 (одна на WAN другая на LAN)
Имеем белый список /32 тех, кого можно пускать (около 5 тыс правил )
Задача: защитить игровой сервер, который находится в том же ДЦ, и который достаточно чувствителен к задержкам, поэтому фильтр должен максимально быстро пропускать белые пакеты и отсекать все, что он не знает. Фильтр для игроков полностью прозрачен. Т.е. схема такая: Игрок <-> Фильтр <-> Игровой серверНа данном этапе настроено все на дебиане, вот есть желание опробовать pfsense.
Сервак должен работать в режиме: блок всех/пропускаем кого знаем, блок пакетов по определенным сигнатурам, ну и стандартные:ограничение числа коннектов на 1 ип, времени установления новых, ограничение трафика на 1 ип …
Стоит ли нам переходить с дебиана на pfsense ? Даст ли это что-то?
Основные проблемы на сегодняшний момент: пакеты проходят по всей цепочке iptables, что приводит к загрузке сервера, иногда из-за этого возникают лаги. Решит ли pfsense эту проблему? Есть ли там какая-то оптимизация. Что полезного нам даст pfsense для защиты от ддоса.
Заранее спасибо за ответы.
-
Очень интересная тема.
Основные проблемы на сегодняшний момент: пакеты проходят по всей цепочке iptables, что приводит к загрузке сервера, иногда из-за этого возникают лаги. Решит ли pfsense эту проблему? Есть ли там какая-то оптимизация. Что полезного нам даст pfsense для защиты от ддоса.
1. Цепочка iptables - пакеты для установленных (TCP) соединений тоже анализирутся правилами?
2. Что имеется ввиду под оптимизацией?
3. 15К соединений в секунду - это немало. Если это дело пропускать через 5 тысяч правил, думаю, будут проблемы.А какой толщины канал в Инет?
Каким образом сейчас добавляются хосты в белый список - ручками или есть интерфейс? -
Думаю State Tables улучшит производительность.
зы Напомню про State Tables - правила проверяется только для 1 пакета, затем в специальную таблицу заносится запись, определяющая поведение всех таких пакетов. -
1. Цепочка iptables - пакеты для установленных (TCP) соединений тоже анализирутся правилами?
Насколько я понимаю логику работы iptables, то ддос пакет проходит по всей белой цепочке и дропается только в конце. При вышеописанном ддосе проверял, на 4000 правилах разница между положением адреса в белом списке в начале цепочки и в конце на 10-15 мс. Для игры несущественно, но лаги все же появляются. А при увеличении кол-ва правил задержки существенно возрастают (ну и понятно 15К*5К и это в сек ядра грузятся под 70-80%).
2. Что имеется ввиду под оптимизацией?
Вот State Tables как раз оно. dvserg, я так понимаю это фишка pfsense ?
3. 15К соединений в секунду - это немало. Если это дело пропускать через 5 тысяч правил, думаю, будут проблемы.
Это немного на самом деле. Будем готовиться к худшему.
А какой толщины канал в Инет?
Каким образом сейчас добавляются хосты в белый список - ручками или есть интерфейс?гигабит, но это несущественно. Полосу мы порезали, трафик нам не столько страшен, как те же сины и левые коннекты с флудом.
-
1. Цепочка iptables - пакеты для установленных (TCP) соединений тоже анализирутся правилами?
Насколько я понимаю логику работы iptables, то ддос пакет проходит по всей белой цепочке и дропается только в конце. При вышеописанном ддосе проверял, на 4000 правилах разница между положением адреса в белом списке в начале цепочки и в конце на 10-15 мс. Для игры несущественно, но лаги все же появляются. А при увеличении кол-ва правил задержки существенно возрастают (ну и понятно 15К*5К и это в сек ядра грузятся под 70-80%).
В pfSense ддос сины будут тоже проходить по всей цепочки ибо для ддос невозможно создать блэклист и поместить его в начале. А спросил я потому, что влияние ддос на уже установленные сессие было бы другим, будь iptables stateless.
2. Что имеется ввиду под оптимизацией?
Вот State Tables как раз оно. dvserg, я так понимаю это фишка pfsense ?
И pfsense, и iptables являются stateful firewalls (я почитал про айпитаблес), таким образом здесь я выигрыша pfSense не вижу.
Единственное, что может быть интересно - это возможность pfSense ограничивать в каждом правиле
Simultaneous client connection limit
Maximum state entries per host
Maximum new connections / per second
State Timeout in seconds
Но опять же если сипользовать эти настройки в каждом правиле, то я не знаю, что станет с производительностью при 5000 правилах.
Одним словом, надо пробовать - похоже это просто будет соревнование линукс и фрибсд. -
Я к сожалению с IPTables знаком шапочно, поэтому всех нюнсов не знаю :-
Но Eugene прав - нужно пробовать. -
Пишем скриптик, который определяет досивших и заносим в фаер
система - любая, фаер - любой впринципе, через час такого ддоса у тебя огнеупорный банлист
-
Пишем скриптик, который определяет досивших и заносим в фаер
система - любая, фаер - любой впринципе, через час такого ддоса у тебя огнеупорный банлист
И каким тебе видится алгоритм сего скриптика?
-
И каким тебе видится алгоритм сего скриптика?
Все зависит от того какой демон защищаем, я не знаю что за игрушка, какие порты, какая специфика ее работы
а если из стандартных то: количество коннектов с одного ip больше нужного - в бан, синзапросов больше 5 - в бан ну итп100к ботов довольно быстро отловятся
ну и само собой зарезать все, кроме этого одного порта
P.S. суть не в том чтобы просто прописать правила и гонять по ним пакеты (что будет наводить фаер в ступор, как писалось выше), суть в том чтобы собрать банлист, и кроном раз в минуту его прогружать в самый вверх, с одним правилом block
P.P.S Еще можно задействовать не одну сетевую, а 2 или 4, чтобы снизить с них нагрузку
P.P.P.S. и я бы не ставил pfsense, а собрал бы нормально freebsd или openbsd
-
ну это анализатором логов пахнет.
так и есть,
да примерно пару часов играть будет не возможно (высокий пинг), но зато потом нагрузка существенно снизится
P.S. можно попробовать какой-нить cisco traffic analyzer если есть средства, или cisco guard
если сервер имеет большое значение, я бы смотрел в сторону аппаратных средств -
Не успел твой предыдущий пост прочитать ;)
-
P.S. суть не в том чтобы просто прописать правила и гонять по ним пакеты (что будет наводить фаер в ступор, как писалось выше), суть в том чтобы собрать банлист, и кроном раз в минуту его прогружать в самый вверх, с одним правилом block
Даже если представить, что какой-то простой скрипт сможет формировать банлист по обозначенным тобой критерием, представь, что станет с файрволлом если он каждый легитимный син будет проверять супротив банлиста в 100к хостов. Если я правильно понимаю, банлист - это всего лишь ещё один набор правил. Таким образом мы пропуск нормальных синов сииильно сдвинем на второй план и загрузим процессор ещё больше, что вряд ли наилучшем образом отразится на здоровье файрволла, разве нет?
-
что-то я тоже не успеваю читать -)
-
По поводу доса таки лучше поискать методики в интернете. Вот к примеру
http://www.hackzone.ru/articles/zashita_ot_ddos.htmlЧуть рекламы
http://www.antiddos.org/ -
Даже если представить, что какой-то простой скрипт сможет формировать банлист по обозначенным тобой критерием, представь, что станет с файрволлом если он каждый легитимный син будет проверять супротив банлиста в 100к хостов. Если я правильно понимаю, банлист - это всего лишь ещё один набор правил. Таким образом мы пропуск нормальных синов сииильно сдвинем на второй план и загрузим процессор ещё больше, что вряд ли наилучшем образом отразится на здоровье файрволла, разве нет?
Привожу пример:
ipfw add deny all from xxx.xxx.xxx.xxx to me
у тебя будут такие правила,
10к правил выдержит пень4 1,8ГГц легко, а такой Intel Core i7 920 4Gb я даже не знаю чем загрузить можно, да и сетевушка кашерная, все будет хорошо ;)По поводу доса таки лучше поискать методики в интернете. Вот к примеру
http://www.hackzone.ru/articles/zashita_ot_ddos.htmlтоже что я и написал, только там просто правила заносятся, и будет лишняя нагрузка, каждый раз это анализировать
тюнинг freebsd - это само собой =) -
и не верю я в ддос на какой-то игровой сервачок 100к ботами - это чушь, простите меня
-
и не верю я в ддос на какой-то игровой сервачок 100к ботами - это чушь, простите меня
;D Сейчас допросишься логов на 3 листа.
-
;D Сейчас допросишься логов на 3 листа.
Мне нужен сайт этого игрового сервера, и график загрузки канала
-
у тебя будут такие правила,
10к правил выдержит пень4 1,8ГГц легко, а такой Intel Core i7 920 4Gb я даже не знаю чем загрузить можно, да и сетевушка кашерная, все будет хорошоreebsd - это само собой =)Не стоит переоценивать возможности процессоров. На самом деле проблема есть (если ты не приведёшь опровержение с графиками). Вот самый свежий thread http://forum.pfsense.org/index.php/topic,20360.0.html
Фильтрация пакетов таки кушает ресурсы. -
и не верю я в ддос на какой-то игровой сервачок 100к ботами - это чушь, простите меня
;D Сейчас допросишься логов на 3 листа.
Ага, есть лог и он намного больше 3-х листов ;D. И это чисто сины за одну ночь > 100К ботов. Думаю в реале их намного больше.
К сожалению, что за сервер не могу сказать, секурность.По поводу правил. Я же писал, даже 5К при таком ддосе создают задержки. 100К черных правил при ддосе просто утопят фаер с любым процем. Да и не надо нам это , у нас есть белый список и задача его оптимизировать. Т.е. недопустить прохождения ботов по всей цепочке.
Насколько я понял из сообщений, pfsense нам не особо поможет справится с нашей бедой.
Кстати, а кто-то может подсказать, что есть в pfsense для защиты от ддос, чего нет в других осях. -
Не стоит переоценивать возможности процессоров. На самом деле проблема есть (если ты не приведёшь опровержение с графиками). Вот самый свежий thread http://forum.pfsense.org/index.php/topic,20360.0.html
Фильтрация пакетов таки кушает ресурсы.конечно кушает, но я вообще-то писал не про пфсенс ;) и такую нагрузку выдержит легко, вы проверяли? я - да
Ага, есть лог и он намного больше 3-х листов ;D. И это чисто сины за одну ночь > 100К ботов. Думаю в реале их намного больше.
К сожалению, что за сервер не могу сказать, секурность.По поводу правил. Я же писал, даже 5К при таком ддосе создают задержки. 100К черных правил при ддосе просто утопят фаер с любым процем. Да и не надо нам это , у нас есть белый список и задача его оптимизировать. Т.е. недопустить прохождения ботов по всей цепочке.
Насколько я понял из сообщений, pfsense нам не особо поможет справится с нашей бедой.
Кстати, а кто-то может подсказать, что есть в pfsense для защиты от ддос, чего нет в других осях.Простите, лог чего?
ложь, п###ешь и провокация, не верю я про ботнет в 100к ботов :D ну не смешите меня, хабр положили 15к ботами, ваш сервачок бы уже давно сдох =))))))) вы себе наверно не представляете что такое 15к коннектов ежесекундно!Вы так и не назвали что за игровой сервер, ну и адрес его скажите
в pfsense нет ничего от ддоса
-
Простите, лог чего?
Лог уникальных айпишников.
ложь, п###ешь и провокация, не верю я про ботнет в 100к ботов :D ну не смешите меня, хабр положили 15к ботами, ваш сервачок бы уже давно сдох =)))))))
Без защиты сдохнет любой дедик. Сины просто заткнут все. И мощность сервера тут совсем не при чем.
вы себе наверно не представляете что такое 15к коннектов ежесекундно!
Представляю, поверьте. Хотя мы вроде не на школьном форуме и я не что-то кому-то доказывать сюда пришел. Не верите ваше дело.
В следующий раз сниму вам видео с иптрафа )) . Без фильтров сервак умирает через 5 сек. Нарезка коннектов+ограничения на скорость открытия новых+ограничение по скорости+белые списки пока спасает отцов русской демократии. ;D Но есть желание немного усовершенствовать все это хозяйство.Вы так и не назвали что за игровой сервер, ну и адрес его скажите
Ддосеры тоже читают подобные форумы. Зачем я буду раскрывать себя, это неразумно. Да и тихо пока. Наверное бабло закончилось. ;D
в pfsense нет ничего от ддоса
Ну вот это я и пытаюсь выяснить.
-
Что-то меня терзают смутные сомнения, что мы тут не про игровой сервер говорим. А Niki - правительственный агент.
-
Что-то меня терзают смутные сомнения, что мы тут не про игровой сервер говорим. А Niki - правительственный агент.
;D нет, я не агент. Ну вот представьте я сейчас открываю имя, мы общаемся на темы защиты … тема индексируется поисковиком ... ддосеры вводят название нашего проекта, читают и лупят по самым уязвимым местам. Зачем мне это. Да и толку от того, что вы посмотрите на проект. Вся основная заваруха на серверах, снаружи все чисто.
-
Посмотрев на сервер можно понять врешь или нет
чтобы не светить адрес есть ЛС, с уважением ваш КО -
Что такое ЛС и кто такой КО?
-
Что такое ЛС и кто такой КО?
ЛС - личные сообщения, ЛК - личный кабинет, КО - Капитан Очевидность
с уважением, ваш КО ;)