Подскажите целесообразность установки pfsense



  • Имеем проблему: ддос 30-40 мегабит, 100К ботов, 15К соединений/сек
    Имеем железо которое служит фильтром: Intel Core i7 920 4Gb DDR3 + 2 Сетевые intel pro 1000 (одна на WAN другая на LAN)
    Имеем белый список /32 тех, кого можно пускать (около 5 тыс правил )
    Задача: защитить игровой сервер, который находится в том же ДЦ, и который достаточно чувствителен к задержкам, поэтому фильтр должен максимально быстро пропускать белые пакеты и отсекать все, что он не знает. Фильтр для игроков полностью прозрачен. Т.е. схема такая: Игрок <-> Фильтр <-> Игровой сервер

    На данном этапе настроено все на дебиане, вот есть желание опробовать pfsense.

    Сервак должен работать в режиме: блок всех/пропускаем кого знаем, блок пакетов по определенным сигнатурам, ну и стандартные:ограничение числа коннектов на 1 ип, времени установления новых, ограничение трафика на 1 ип …

    Стоит ли нам переходить с дебиана на pfsense ? Даст ли это что-то?

    Основные проблемы на сегодняшний момент: пакеты проходят по всей цепочке iptables, что приводит к загрузке сервера, иногда из-за этого возникают лаги. Решит ли pfsense эту проблему? Есть ли там какая-то оптимизация. Что полезного нам даст pfsense для защиты от ддоса.

    Заранее спасибо за ответы.



  • Очень интересная тема.

    Основные проблемы на сегодняшний момент: пакеты проходят по всей цепочке iptables, что приводит к загрузке сервера, иногда из-за этого возникают лаги. Решит ли pfsense эту проблему? Есть ли там какая-то оптимизация. Что полезного нам даст pfsense для защиты от ддоса.

    1. Цепочка iptables - пакеты для установленных (TCP) соединений тоже анализирутся правилами?
    2. Что имеется ввиду под оптимизацией?
    3. 15К соединений в секунду - это немало. Если это дело пропускать через 5 тысяч правил, думаю, будут проблемы.

    А какой толщины канал в Инет?
    Каким образом сейчас добавляются хосты в белый список - ручками или есть интерфейс?



  • Думаю State Tables улучшит производительность.
    зы Напомню про State Tables - правила проверяется только для 1 пакета, затем в специальную таблицу заносится запись, определяющая поведение всех таких пакетов.



  • @Eugene:

    1. Цепочка iptables - пакеты для установленных (TCP) соединений тоже анализирутся правилами?

    Насколько я понимаю логику работы iptables, то ддос пакет проходит по всей белой цепочке и дропается только в конце. При вышеописанном ддосе проверял, на 4000 правилах разница между положением адреса в белом списке в начале цепочки и в конце на 10-15 мс. Для игры несущественно, но лаги все же появляются. А при увеличении кол-ва правил задержки существенно возрастают (ну и понятно 15К*5К и это в сек ядра грузятся под 70-80%).

    @Eugene:

    2. Что имеется ввиду под оптимизацией?

    Вот State Tables как раз оно. dvserg, я так понимаю это фишка pfsense ?

    @Eugene:

    3. 15К соединений в секунду - это немало. Если это дело пропускать через 5 тысяч правил, думаю, будут проблемы.

    Это немного на самом деле. Будем готовиться к худшему.

    @Eugene:

    А какой толщины канал в Инет?
    Каким образом сейчас добавляются хосты в белый список - ручками или есть интерфейс?

    гигабит, но это несущественно. Полосу мы порезали, трафик нам не столько страшен, как те же сины и левые коннекты с флудом.



  • @Niki:

    @Eugene:

    1. Цепочка iptables - пакеты для установленных (TCP) соединений тоже анализирутся правилами?

    Насколько я понимаю логику работы iptables, то ддос пакет проходит по всей белой цепочке и дропается только в конце. При вышеописанном ддосе проверял, на 4000 правилах разница между положением адреса в белом списке в начале цепочки и в конце на 10-15 мс. Для игры несущественно, но лаги все же появляются. А при увеличении кол-ва правил задержки существенно возрастают (ну и понятно 15К*5К и это в сек ядра грузятся под 70-80%).

    В pfSense ддос сины будут тоже проходить по всей цепочки ибо для ддос невозможно создать блэклист и поместить его в начале. А спросил я потому, что влияние ддос на уже установленные сессие было бы другим, будь iptables stateless.

    @Niki:

    @Eugene:

    2. Что имеется ввиду под оптимизацией?

    Вот State Tables как раз оно. dvserg, я так понимаю это фишка pfsense ?

    И pfsense, и  iptables являются stateful firewalls (я почитал про айпитаблес), таким образом здесь я выигрыша pfSense не вижу.

    Единственное, что может быть интересно - это возможность pfSense ограничивать в каждом правиле
    Simultaneous client connection limit
    Maximum state entries per host
    Maximum new connections / per second
    State Timeout in seconds
    Но опять же если сипользовать эти настройки в каждом правиле, то я не знаю, что станет с производительностью при 5000 правилах.
    Одним словом, надо пробовать - похоже это просто будет соревнование линукс и фрибсд.



  • Я к сожалению с IPTables знаком шапочно, поэтому всех нюнсов не знаю  :-
    Но Eugene прав - нужно пробовать.



  • Пишем скриптик, который определяет досивших и заносим в фаер

    система - любая, фаер - любой впринципе, через час такого ддоса  у тебя огнеупорный банлист



  • @zar0ku1:

    Пишем скриптик, который определяет досивших и заносим в фаер

    система - любая, фаер - любой впринципе, через час такого ддоса  у тебя огнеупорный банлист

    И каким тебе видится алгоритм сего скриптика?



  • @Eugene:

    И каким тебе видится алгоритм сего скриптика?

    Все зависит от того какой демон защищаем, я не знаю что за игрушка, какие порты, какая специфика ее работы
    а если из стандартных то: количество коннектов с одного ip больше нужного - в  бан, синзапросов больше 5 - в бан ну итп

    100к ботов довольно быстро отловятся

    ну и само собой зарезать все, кроме этого одного порта

    P.S. суть не в том чтобы просто прописать правила и гонять по ним пакеты (что будет наводить фаер в ступор, как писалось выше), суть в том чтобы собрать банлист, и кроном раз в минуту его прогружать в самый вверх, с одним правилом block

    P.P.S Еще можно задействовать не одну сетевую, а 2 или 4, чтобы снизить с них нагрузку

    P.P.P.S. и я бы не ставил pfsense, а собрал бы нормально freebsd или openbsd



  • @dvserg:

    ну это анализатором логов пахнет.

    так и есть,

    да примерно пару часов играть будет не возможно (высокий пинг), но зато потом нагрузка существенно снизится

    P.S. можно попробовать какой-нить cisco traffic analyzer если есть средства, или cisco guard
    если сервер имеет большое значение, я бы смотрел в сторону аппаратных средств



  • Не успел твой предыдущий пост прочитать  ;)



  • @zar0ku1:

    P.S. суть не в том чтобы просто прописать правила и гонять по ним пакеты (что будет наводить фаер в ступор, как писалось выше), суть в том чтобы собрать банлист, и кроном раз в минуту его прогружать в самый вверх, с одним правилом block

    Даже если представить, что какой-то простой скрипт сможет формировать банлист по обозначенным тобой критерием, представь, что станет с файрволлом если он каждый легитимный син будет проверять супротив банлиста в 100к хостов. Если я правильно понимаю, банлист - это всего лишь ещё один набор правил. Таким образом мы пропуск нормальных синов сииильно сдвинем на второй план и загрузим процессор ещё больше, что вряд ли наилучшем образом отразится на здоровье файрволла, разве нет?



  • что-то я тоже не успеваю читать -)



  • По поводу доса таки лучше поискать методики в интернете. Вот к примеру
    http://www.hackzone.ru/articles/zashita_ot_ddos.html

    Чуть рекламы
    http://www.antiddos.org/



  • @Eugene:

    Даже если представить, что какой-то простой скрипт сможет формировать банлист по обозначенным тобой критерием, представь, что станет с файрволлом если он каждый легитимный син будет проверять супротив банлиста в 100к хостов. Если я правильно понимаю, банлист - это всего лишь ещё один набор правил. Таким образом мы пропуск нормальных синов сииильно сдвинем на второй план и загрузим процессор ещё больше, что вряд ли наилучшем образом отразится на здоровье файрволла, разве нет?

    Привожу пример:

    ipfw add deny all from xxx.xxx.xxx.xxx to me
    

    у тебя будут такие правила,
    10к правил выдержит пень4 1,8ГГц легко, а такой Intel Core i7 920 4Gb я даже не знаю чем загрузить можно, да и сетевушка кашерная, все будет хорошо ;)

    По поводу доса таки лучше поискать методики в интернете. Вот к примеру
    http://www.hackzone.ru/articles/zashita_ot_ddos.html

    тоже что я и написал, только там просто правила заносятся, и будет лишняя нагрузка, каждый раз это анализировать
    тюнинг freebsd - это само собой =)



  • и не верю я в ддос на какой-то игровой сервачок 100к ботами - это чушь, простите меня



  • @zar0ku1:

    и не верю я в ддос на какой-то игровой сервачок 100к ботами - это чушь, простите меня

    ;D Сейчас допросишься логов на 3 листа.



  • @dvserg:

    ;D Сейчас допросишься логов на 3 листа.

    Мне нужен сайт этого игрового сервера, и график загрузки канала



  • @zar0ku1:

    у тебя будут такие правила,
    10к правил выдержит пень4 1,8ГГц легко, а такой Intel Core i7 920 4Gb я даже не знаю чем загрузить можно, да и сетевушка кашерная, все будет хорошоreebsd - это само собой =)

    Не стоит переоценивать возможности процессоров. На самом деле проблема есть (если ты не приведёшь опровержение с графиками). Вот самый свежий thread http://forum.pfsense.org/index.php/topic,20360.0.html
    Фильтрация пакетов таки кушает ресурсы.



  • @dvserg:

    @zar0ku1:

    и не верю я в ддос на какой-то игровой сервачок 100к ботами - это чушь, простите меня

    ;D Сейчас допросишься логов на 3 листа.

    Ага, есть лог и он намного больше 3-х листов ;D. И это чисто сины за одну ночь > 100К ботов. Думаю в реале их намного больше.
    К сожалению, что за сервер не могу сказать, секурность.

    По поводу правил. Я же писал, даже 5К при таком ддосе создают задержки. 100К черных правил при ддосе просто утопят фаер с любым процем. Да и не надо нам это , у нас есть белый список и задача его оптимизировать. Т.е. недопустить прохождения ботов по всей цепочке.

    Насколько я понял из сообщений, pfsense нам не особо поможет справится с нашей бедой.
    Кстати, а кто-то может подсказать, что есть в pfsense для защиты от ддос, чего нет в других осях.



  • @Eugene:

    Не стоит переоценивать возможности процессоров. На самом деле проблема есть (если ты не приведёшь опровержение с графиками). Вот самый свежий thread http://forum.pfsense.org/index.php/topic,20360.0.html
    Фильтрация пакетов таки кушает ресурсы.

    конечно кушает, но я вообще-то писал не про пфсенс ;) и такую нагрузку выдержит легко, вы проверяли? я - да

    @Niki:

    Ага, есть лог и он намного больше 3-х листов ;D. И это чисто сины за одну ночь > 100К ботов. Думаю в реале их намного больше.
    К сожалению, что за сервер не могу сказать, секурность.

    По поводу правил. Я же писал, даже 5К при таком ддосе создают задержки. 100К черных правил при ддосе просто утопят фаер с любым процем. Да и не надо нам это , у нас есть белый список и задача его оптимизировать. Т.е. недопустить прохождения ботов по всей цепочке.

    Насколько я понял из сообщений, pfsense нам не особо поможет справится с нашей бедой.
    Кстати, а кто-то может подсказать, что есть в pfsense для защиты от ддос, чего нет в других осях.

    Простите, лог чего?
    ложь, п###ешь и провокация, не верю я про ботнет в 100к ботов :D ну не смешите меня, хабр положили 15к ботами, ваш сервачок бы уже давно сдох  =))))))) вы себе наверно не представляете что такое 15к коннектов ежесекундно!

    Вы так и не назвали что за игровой сервер, ну и адрес его скажите

    в pfsense нет ничего от ддоса



  • @zar0ku1:

    Простите, лог чего?

    Лог уникальных айпишников.

    @zar0ku1:

    ложь, п###ешь и провокация, не верю я про ботнет в 100к ботов :D ну не смешите меня, хабр положили 15к ботами, ваш сервачок бы уже давно сдох  =)))))))

    Без защиты сдохнет любой дедик. Сины просто заткнут все. И мощность сервера тут совсем не при чем.

    @zar0ku1:

    вы себе наверно не представляете что такое 15к коннектов ежесекундно!

    Представляю, поверьте. Хотя мы вроде не на школьном форуме и я не что-то кому-то доказывать сюда пришел. Не верите ваше дело.
    В следующий раз сниму вам видео с иптрафа )) . Без фильтров сервак умирает через 5 сек. Нарезка коннектов+ограничения на скорость открытия новых+ограничение по скорости+белые списки пока спасает отцов русской демократии.  ;D Но есть желание немного усовершенствовать все это хозяйство.

    @zar0ku1:

    Вы так и не назвали что за игровой сервер, ну и адрес его скажите

    Ддосеры тоже читают подобные форумы. Зачем я буду раскрывать себя, это неразумно. Да и тихо пока. Наверное бабло закончилось.  ;D

    @zar0ku1:

    в pfsense нет ничего от ддоса

    Ну вот это я и пытаюсь выяснить.



  • Что-то меня терзают смутные сомнения, что мы тут не про игровой сервер говорим. А Niki - правительственный агент.



  • @tamaki:

    Что-то меня терзают смутные сомнения, что мы тут не про игровой сервер говорим. А Niki - правительственный агент.

    ;D нет, я не агент. Ну вот представьте я сейчас открываю имя, мы общаемся на темы защиты … тема индексируется поисковиком ... ддосеры вводят название нашего проекта, читают и лупят по самым уязвимым местам. Зачем мне это. Да и толку от того, что вы посмотрите на проект. Вся основная заваруха на серверах, снаружи все чисто.



  • Посмотрев на сервер можно понять врешь или нет
    чтобы не светить адрес есть ЛС, с уважением ваш КО



  • Что такое ЛС и кто такой КО?



  • @Eugene:

    Что такое ЛС и кто такой КО?

    ЛС - личные сообщения, ЛК - личный кабинет, КО - Капитан Очевидность
    с уважением, ваш КО ;)


Log in to reply