PFSENSE помогите настроить защиту от DOS DOSS Атак



  • Уважаемые знатоки, как не пытался разобраться не смог настроить PFsense на защиту от Dos DoSS Атак. Если вазможно, прошу приведите несколько примеров по настройке PFsense от DoS DoSS атак.

    Мои действия
    1. Отключил все входящие протоколы кроме TCP/UDP
    2. Исходящие разрешены все ALL

    Но собственно это все.



  • Дай пожалуйста определение "Dos DoSS атака" (или ссылку)



  • @Evgeny:

    Дай пожалуйста определение "Dos DoSS атака" (или ссылку)

    как ты его :D



  • @zar0ku1:

    @Evgeny:

    Дай пожалуйста определение "Dos DoSS атака" (или ссылку)

    как ты его :D

    Я без задней мысли, действительно интересно, что человек понимает под данным термином -)



  • @Evgeny:

    @zar0ku1:

    @Evgeny:

    Дай пожалуйста определение "Dos DoSS атака" (или ссылку)

    как ты его :D

    Я без задней мысли, действительно интересно, что человек понимает под данным термином -)

    http://www.hostcomp.ru/dos.html
    http://qwerpoi.narod.ru/dos.html
    http://comprofit.ru/inform/index.php?id_page=2&id_article=28

    Собственно вот материал о dos doss атаках



  • @Evgeny:

    Я без задней мысли, действительно интересно, что человек понимает под данным термином -)

    Ну защита от ДДОС для pfsense - это конечно глюк, просто запрет всех входящих, ну если конечно они не инициированы изнутри
    от ДоС своевременно обновление пакетов и опять же закрытие портов

    в статьях не нашел определения DoSS



  • State Type
       * synproxy state

    Proxies incoming TCP connections to help protect servers from spoofed TCP SYN floods. This option includes the functionality of keep state and modulate state combined.
    Включил это



  • @l2grom:

    State Type
       * synproxy state

    Proxies incoming TCP connections to help protect servers from spoofed TCP SYN floods. This option includes the functionality of keep state and modulate state combined.
    Включил это

    У меня стоит игравой сервер, порты 7777 и 2006  смотрят наружу, по ним вот и досят сервак мой



  • @l2grom:

    @l2grom:

    State Type
       * synproxy state

    Proxies incoming TCP connections to help protect servers from spoofed TCP SYN floods. This option includes the functionality of keep state and modulate state combined.
    Включил это

    У меня стоит игравой сервер, порты 7777 и 2006  смотрят наружу, по ним вот и досят сервак мой

    А как определил, что досят?



  • @l2grom:

    У меня стоит игравой сервер, порты 7777 и 2006  смотрят наружу, по ним вот и досят сервак мой

    lineage на pfsense, да вы знаете толк в извращениях



  • @Evgeny:

    @l2grom:

    @l2grom:

    State Type
       * synproxy state

    Proxies incoming TCP connections to help protect servers from spoofed TCP SYN floods. This option includes the functionality of keep state and modulate state combined.
    Включил это

    У меня стоит игравой сервер, порты 7777 и 2006  смотрят наружу, по ним вот и досят сервак мой

    А как определил, что досят?

    Был достигнут предел подключений, машина не реагировала не на одно подключение, а те кто уже подключины были, лагали



  • Screenshot правил на WAN можно?



  • Что нарыл
    Protocol TCP -выставил
    Address: XXXXXXXXX-выставил
    from:    7777
    to:            7777

    Advanced Options
    Maximum state entries per host-2
    Maximum new connections -2 / per second -2

    State Type -synproxy state
    Proxies incoming TCP connections to help protect servers from spoofed TCP SYN floods. This option includes the functionality of keep state and modulate state combined.

    и на логин порт тоже самое, это входящие соединения



  • @l2grom:

    Что нарыл
    Protocol TCP -выставил
    Address: XXXXXXXXX-выставил
    from:    7777
    to:            7777

    Advanced Options
    Maximum state entries per host-2
    Maximum new connections -2 / per second -2

    State Type -synproxy state
    Proxies incoming TCP connections to help protect servers from spoofed TCP SYN floods. This option includes the functionality of keep state and modulate state combined.

    и на логин порт тоже самое, это входящие соединения

    Screenshot правил на WAN можно?  к сожалению, что я могу тут выставить если у меня игракв может бытьот 1 до 300 одновременн



  • @Evgeny:

    Screenshot правил на WAN можно?

    Что можно тут поставить? Ведь тут задается количество подключений с разных IP а не на конкретный хост



  • Попробуй это
    Maximum state entries per host = 5

    А кленты знакомые или нет? Может ввести белый лист?



  • @dvserg:

    Попробуй это
    Maximum state entries per host = 5

    А кленты знакомые или нет? Может ввести белый лист?

    Клиенты не знакомы, и каждый раз новые прибывают.

    Maximum state entries per host = 5
    Maximum new connections = 1 / per second = 10 сек

    { хотя кажется Maximum state entries per host = 4}
    Maximum new connections = 0 / per second = 0



  • хм…. а что мешает поставить snort )))



  • @fox:

    хм…. а что мешает поставить snort )))

    я за Cisco ASA



  • @zar0ku1:

    @fox:

    хм…. а что мешает поставить snort )))

    snort можно по подробней, что это и с чем кушается. Это пакет или какая софтина , железка..



  • @l2grom:

    snort можно по подробней, что это и с чем кушается. Это пакет или какая софтина , железка..

    http://ru.wikipedia.org/wiki/Snort



  • @zar0ku1:

    @l2grom:

    snort можно по подробней, что это и с чем кушается. Это пакет или какая софтина , железка..

    http://ru.wikipedia.org/wiki/Snort

    Спасибо друзья, осталось разобраться с правилами к примеру откуда и куда
    ПРИМЕР
    SID      Proto  Source  Port  Destination  Port                Message
          2010156  udp      any          any          $HOME_NET        27901              ET GAMES Alien Arena 7.30 Remote Code Execution Attempt

    alert udp any any -> $HOME_NET 27901 (msg:"ET GAMES Alien Arena 7.30 Remote Code Execution Attempt"; content:"print|0A 5C|"; isdataat:257,relative; pcre:"/\x5C[^\x5C\x00]{257,}/"; classtype:misc-attack; reference:url,www.packetstormsecurity.org/0910-advisories/alienarena-exec.txt; reference:url,doc.emergingthreats.net/2010156; reference:url,www.emergingthreats.net/cgi-bin/cvsweb.cgi/sigs/GAMES/GAMES_AlienArena; sid:2010156; rev:4;)

    sid - ну это номер правила
    Proto- протокол
    Source - источник ( не понятно внутренний или внешний ?)
    Port - порт ( не понятно внутренний или внешний ?)
    Destination - назначение
    Port  - порт ( не понятно внутренний или внешний ?)

    Если кто-то разбирался, помогите с ориентироваться, пожалуйста



  • rebyata ya toje zapustil snort i u menya vot chto v logax

    snort[40959]: FATAL ERROR: Failed to Lock PID File "/var/log/snort/run/snort_rl09877rl0.pid" for PID "40959"

    :(



  • **есть еще нюанс snort прожорливый к памяти минимум 512 **



  • @zar0ku1:

    @fox:

    хм…. а что мешает поставить snort )))

    я за Cisco ASA

    ну здесь без комментариев )))  ;)



  • Всем спасибо, SHORT ВПОЛНЕ СПРАВИЛСЯ С БОЛЬШИНСТВОМ DOS АТАК НА МАШИНУ.



  • @l2grom:

    Всем спасибо, SHORT ВПОЛНЕ СПРАВИЛСЯ С БОЛЬШИНСТВОМ DOS АТАК НА МАШИНУ И ПАРТЫ.

    парты школьные?



  • @DasTieRR:

    @l2grom:

    Всем спасибо, SHORT ВПОЛНЕ СПРАВИЛСЯ С БОЛЬШИНСТВОМ DOS АТАК НА МАШИНУ И ПАРТЫ.

    парты школьные?

    ;D ;D



  • @fox:

    @DasTieRR:

    @l2grom:

    Всем спасибо, SHORT ВПОЛНЕ СПРАВИЛСЯ С БОЛЬШИНСТВОМ DOS АТАК НА МАШИНУ И ПАРТЫ.

    парты школьные?

    ;D ;D

    Да парты школьные,  как создать свою сигнатуру, у меня игровой сервер Lineage порты 2106 и 7777  , хотелось бы для них создать правила от ДОС ну и если возможна чит кода. )  Это возможна?



  • от ддоса вам советы уже дали, pfsense больше ничего предложить не сможет (насколько я знаю), от читов - это скорее к серверной части линейки.

    P.S. Если ддосят "на смерть", то либо железку (как выше писали), либо чистую фряху с кучей скриптов и анализаторов и т.п.



  • @DasTieRR:

    от ддоса вам советы уже дали, pfsense больше ничего предложить не сможет (насколько я знаю), от читов - это скорее к серверной части линейки.

    P.S. Если ддосят "на смерть", то либо железку (как выше писали), либо чистую фряху с кучей скриптов и анализаторов и т.п.

    Все же интересует максимальная информация по Short, раздел белые списки для всех IP или только для локальных. Кто-нибудь помогите разобраться с Short.



  • ставил все по умолчанию, пока достаточно того что он сам все блокирует, что могу посоветовать так это сайт http://www.snortgroup.ru/


Log in to reply