Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    PFSENSE помогите настроить защиту от DOS DOSS Атак

    Russian
    7
    32
    13676
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • L
      l2grom
      last edited by

      Уважаемые знатоки, как не пытался разобраться не смог настроить PFsense на защиту от Dos DoSS Атак. Если вазможно, прошу приведите несколько примеров по настройке PFsense от DoS DoSS атак.

      Мои действия
      1. Отключил все входящие протоколы кроме TCP/UDP
      2. Исходящие разрешены все ALL

      Но собственно это все.

      1 Reply Last reply Reply Quote 0
      • E
        Eugene
        last edited by

        Дай пожалуйста определение "Dos DoSS атака" (или ссылку)

        http://ru.doc.pfsense.org

        1 Reply Last reply Reply Quote 0
        • Z
          zar0ku1
          last edited by

          @Evgeny:

          Дай пожалуйста определение "Dos DoSS атака" (или ссылку)

          как ты его :D

          закрывайте темы, если ответ на ваш вопрос полон.
          если схема сложная - не поленитесь ее нарисовать

          1 Reply Last reply Reply Quote 0
          • E
            Eugene
            last edited by

            @zar0ku1:

            @Evgeny:

            Дай пожалуйста определение "Dos DoSS атака" (или ссылку)

            как ты его :D

            Я без задней мысли, действительно интересно, что человек понимает под данным термином -)

            http://ru.doc.pfsense.org

            1 Reply Last reply Reply Quote 0
            • L
              l2grom
              last edited by

              @Evgeny:

              @zar0ku1:

              @Evgeny:

              Дай пожалуйста определение "Dos DoSS атака" (или ссылку)

              как ты его :D

              Я без задней мысли, действительно интересно, что человек понимает под данным термином -)

              http://www.hostcomp.ru/dos.html
              http://qwerpoi.narod.ru/dos.html
              http://comprofit.ru/inform/index.php?id_page=2&id_article=28

              Собственно вот материал о dos doss атаках

              1 Reply Last reply Reply Quote 0
              • Z
                zar0ku1
                last edited by

                @Evgeny:

                Я без задней мысли, действительно интересно, что человек понимает под данным термином -)

                Ну защита от ДДОС для pfsense - это конечно глюк, просто запрет всех входящих, ну если конечно они не инициированы изнутри
                от ДоС своевременно обновление пакетов и опять же закрытие портов

                в статьях не нашел определения DoSS

                закрывайте темы, если ответ на ваш вопрос полон.
                если схема сложная - не поленитесь ее нарисовать

                1 Reply Last reply Reply Quote 0
                • L
                  l2grom
                  last edited by

                  State Type
                     * synproxy state

                  Proxies incoming TCP connections to help protect servers from spoofed TCP SYN floods. This option includes the functionality of keep state and modulate state combined.
                  Включил это

                  1 Reply Last reply Reply Quote 0
                  • L
                    l2grom
                    last edited by

                    @l2grom:

                    State Type
                       * synproxy state

                    Proxies incoming TCP connections to help protect servers from spoofed TCP SYN floods. This option includes the functionality of keep state and modulate state combined.
                    Включил это

                    У меня стоит игравой сервер, порты 7777 и 2006  смотрят наружу, по ним вот и досят сервак мой

                    1 Reply Last reply Reply Quote 0
                    • E
                      Eugene
                      last edited by

                      @l2grom:

                      @l2grom:

                      State Type
                         * synproxy state

                      Proxies incoming TCP connections to help protect servers from spoofed TCP SYN floods. This option includes the functionality of keep state and modulate state combined.
                      Включил это

                      У меня стоит игравой сервер, порты 7777 и 2006  смотрят наружу, по ним вот и досят сервак мой

                      А как определил, что досят?

                      http://ru.doc.pfsense.org

                      1 Reply Last reply Reply Quote 0
                      • Z
                        zar0ku1
                        last edited by

                        @l2grom:

                        У меня стоит игравой сервер, порты 7777 и 2006  смотрят наружу, по ним вот и досят сервак мой

                        lineage на pfsense, да вы знаете толк в извращениях

                        закрывайте темы, если ответ на ваш вопрос полон.
                        если схема сложная - не поленитесь ее нарисовать

                        1 Reply Last reply Reply Quote 0
                        • L
                          l2grom
                          last edited by

                          @Evgeny:

                          @l2grom:

                          @l2grom:

                          State Type
                             * synproxy state

                          Proxies incoming TCP connections to help protect servers from spoofed TCP SYN floods. This option includes the functionality of keep state and modulate state combined.
                          Включил это

                          У меня стоит игравой сервер, порты 7777 и 2006  смотрят наружу, по ним вот и досят сервак мой

                          А как определил, что досят?

                          Был достигнут предел подключений, машина не реагировала не на одно подключение, а те кто уже подключины были, лагали

                          1 Reply Last reply Reply Quote 0
                          • E
                            Eugene
                            last edited by

                            Screenshot правил на WAN можно?

                            http://ru.doc.pfsense.org

                            1 Reply Last reply Reply Quote 0
                            • L
                              l2grom
                              last edited by

                              Что нарыл
                              Protocol TCP -выставил
                              Address: XXXXXXXXX-выставил
                              from:    7777
                              to:            7777

                              Advanced Options
                              Maximum state entries per host-2
                              Maximum new connections -2 / per second -2

                              State Type -synproxy state
                              Proxies incoming TCP connections to help protect servers from spoofed TCP SYN floods. This option includes the functionality of keep state and modulate state combined.

                              и на логин порт тоже самое, это входящие соединения

                              1 Reply Last reply Reply Quote 0
                              • L
                                l2grom
                                last edited by

                                @l2grom:

                                Что нарыл
                                Protocol TCP -выставил
                                Address: XXXXXXXXX-выставил
                                from:    7777
                                to:            7777

                                Advanced Options
                                Maximum state entries per host-2
                                Maximum new connections -2 / per second -2

                                State Type -synproxy state
                                Proxies incoming TCP connections to help protect servers from spoofed TCP SYN floods. This option includes the functionality of keep state and modulate state combined.

                                и на логин порт тоже самое, это входящие соединения

                                Screenshot правил на WAN можно?  к сожалению, что я могу тут выставить если у меня игракв может бытьот 1 до 300 одновременн

                                1 Reply Last reply Reply Quote 0
                                • L
                                  l2grom
                                  last edited by

                                  @Evgeny:

                                  Screenshot правил на WAN можно?

                                  Что можно тут поставить? Ведь тут задается количество подключений с разных IP а не на конкретный хост

                                  1 Reply Last reply Reply Quote 0
                                  • D
                                    dvserg
                                    last edited by

                                    Попробуй это
                                    Maximum state entries per host = 5

                                    А кленты знакомые или нет? Может ввести белый лист?

                                    SquidGuardDoc EN  RU Tutorial
                                    Localization ru_PFSense

                                    1 Reply Last reply Reply Quote 0
                                    • L
                                      l2grom
                                      last edited by

                                      @dvserg:

                                      Попробуй это
                                      Maximum state entries per host = 5

                                      А кленты знакомые или нет? Может ввести белый лист?

                                      Клиенты не знакомы, и каждый раз новые прибывают.

                                      Maximum state entries per host = 5
                                      Maximum new connections = 1 / per second = 10 сек

                                      { хотя кажется Maximum state entries per host = 4}
                                      Maximum new connections = 0 / per second = 0

                                      1 Reply Last reply Reply Quote 0
                                      • F
                                        fox
                                        last edited by

                                        хм…. а что мешает поставить snort )))

                                        1 Reply Last reply Reply Quote 0
                                        • Z
                                          zar0ku1
                                          last edited by

                                          @fox:

                                          хм…. а что мешает поставить snort )))

                                          я за Cisco ASA

                                          закрывайте темы, если ответ на ваш вопрос полон.
                                          если схема сложная - не поленитесь ее нарисовать

                                          1 Reply Last reply Reply Quote 0
                                          • L
                                            l2grom
                                            last edited by

                                            @zar0ku1:

                                            @fox:

                                            хм…. а что мешает поставить snort )))

                                            snort можно по подробней, что это и с чем кушается. Это пакет или какая софтина , железка..

                                            1 Reply Last reply Reply Quote 0
                                            • Z
                                              zar0ku1
                                              last edited by

                                              @l2grom:

                                              snort можно по подробней, что это и с чем кушается. Это пакет или какая софтина , железка..

                                              http://ru.wikipedia.org/wiki/Snort

                                              закрывайте темы, если ответ на ваш вопрос полон.
                                              если схема сложная - не поленитесь ее нарисовать

                                              1 Reply Last reply Reply Quote 0
                                              • L
                                                l2grom
                                                last edited by

                                                @zar0ku1:

                                                @l2grom:

                                                snort можно по подробней, что это и с чем кушается. Это пакет или какая софтина , железка..

                                                http://ru.wikipedia.org/wiki/Snort

                                                Спасибо друзья, осталось разобраться с правилами к примеру откуда и куда
                                                ПРИМЕР
                                                SID      Proto  Source  Port  Destination  Port                Message
                                                      2010156  udp      any          any          $HOME_NET        27901              ET GAMES Alien Arena 7.30 Remote Code Execution Attempt

                                                alert udp any any -> $HOME_NET 27901 (msg:"ET GAMES Alien Arena 7.30 Remote Code Execution Attempt"; content:"print|0A 5C|"; isdataat:257,relative; pcre:"/\x5C[^\x5C\x00]{257,}/"; classtype:misc-attack; reference:url,www.packetstormsecurity.org/0910-advisories/alienarena-exec.txt; reference:url,doc.emergingthreats.net/2010156; reference:url,www.emergingthreats.net/cgi-bin/cvsweb.cgi/sigs/GAMES/GAMES_AlienArena; sid:2010156; rev:4;)

                                                sid - ну это номер правила
                                                Proto- протокол
                                                Source - источник ( не понятно внутренний или внешний ?)
                                                Port - порт ( не понятно внутренний или внешний ?)
                                                Destination - назначение
                                                Port  - порт ( не понятно внутренний или внешний ?)

                                                Если кто-то разбирался, помогите с ориентироваться, пожалуйста

                                                1 Reply Last reply Reply Quote 0
                                                • V
                                                  vardan
                                                  last edited by

                                                  rebyata ya toje zapustil snort i u menya vot chto v logax

                                                  snort[40959]: FATAL ERROR: Failed to Lock PID File "/var/log/snort/run/snort_rl09877rl0.pid" for PID "40959"

                                                  :(

                                                  1 Reply Last reply Reply Quote 0
                                                  • F
                                                    fox
                                                    last edited by

                                                    **есть еще нюанс snort прожорливый к памяти минимум 512 **

                                                    1 Reply Last reply Reply Quote 0
                                                    • F
                                                      fox
                                                      last edited by

                                                      @zar0ku1:

                                                      @fox:

                                                      хм…. а что мешает поставить snort )))

                                                      я за Cisco ASA

                                                      ну здесь без комментариев )))  ;)

                                                      1 Reply Last reply Reply Quote 0
                                                      • L
                                                        l2grom
                                                        last edited by

                                                        Всем спасибо, SHORT ВПОЛНЕ СПРАВИЛСЯ С БОЛЬШИНСТВОМ DOS АТАК НА МАШИНУ.

                                                        1 Reply Last reply Reply Quote 0
                                                        • D
                                                          DasTieRR
                                                          last edited by

                                                          @l2grom:

                                                          Всем спасибо, SHORT ВПОЛНЕ СПРАВИЛСЯ С БОЛЬШИНСТВОМ DOS АТАК НА МАШИНУ И ПАРТЫ.

                                                          парты школьные?

                                                          1 Reply Last reply Reply Quote 0
                                                          • F
                                                            fox
                                                            last edited by

                                                            @DasTieRR:

                                                            @l2grom:

                                                            Всем спасибо, SHORT ВПОЛНЕ СПРАВИЛСЯ С БОЛЬШИНСТВОМ DOS АТАК НА МАШИНУ И ПАРТЫ.

                                                            парты школьные?

                                                            ;D ;D

                                                            1 Reply Last reply Reply Quote 0
                                                            • L
                                                              l2grom
                                                              last edited by

                                                              @fox:

                                                              @DasTieRR:

                                                              @l2grom:

                                                              Всем спасибо, SHORT ВПОЛНЕ СПРАВИЛСЯ С БОЛЬШИНСТВОМ DOS АТАК НА МАШИНУ И ПАРТЫ.

                                                              парты школьные?

                                                              ;D ;D

                                                              Да парты школьные,  как создать свою сигнатуру, у меня игровой сервер Lineage порты 2106 и 7777  , хотелось бы для них создать правила от ДОС ну и если возможна чит кода. )  Это возможна?

                                                              1 Reply Last reply Reply Quote 0
                                                              • D
                                                                DasTieRR
                                                                last edited by

                                                                от ддоса вам советы уже дали, pfsense больше ничего предложить не сможет (насколько я знаю), от читов - это скорее к серверной части линейки.

                                                                P.S. Если ддосят "на смерть", то либо железку (как выше писали), либо чистую фряху с кучей скриптов и анализаторов и т.п.

                                                                1 Reply Last reply Reply Quote 0
                                                                • L
                                                                  l2grom
                                                                  last edited by

                                                                  @DasTieRR:

                                                                  от ддоса вам советы уже дали, pfsense больше ничего предложить не сможет (насколько я знаю), от читов - это скорее к серверной части линейки.

                                                                  P.S. Если ддосят "на смерть", то либо железку (как выше писали), либо чистую фряху с кучей скриптов и анализаторов и т.п.

                                                                  Все же интересует максимальная информация по Short, раздел белые списки для всех IP или только для локальных. Кто-нибудь помогите разобраться с Short.

                                                                  1 Reply Last reply Reply Quote 0
                                                                  • F
                                                                    fox
                                                                    last edited by

                                                                    ставил все по умолчанию, пока достаточно того что он сам все блокирует, что могу посоветовать так это сайт http://www.snortgroup.ru/

                                                                    1 Reply Last reply Reply Quote 0
                                                                    • First post
                                                                      Last post