DROP d'une certaine taille de paquet UDP



  • Bonjour à tous,

    Je suis ici pour vous demander votre expertise sur un sujet qui nous est problématique.

    Nous subissons une attaque Ddos sur notre serveur, qui cible particulièrement le port 9987 en UDP (TeamSpeak). Après capture, il se trouve que ces attaques passe outre la mitigation de notre hébergeur. Par "chance" nous avons pu limiter l'impact de ces attaques en limitant le nombre de "states" dans les rules de pfsense.

    Mais il n'est reste pas moins que notre serveur subi d'enorme perte de paquet, ce qui rend la communication impossible.

    Nous souhaiterions simplement dropper tous les paquets d'une taille de 74 de toutes les ip en proto udp. Hors après plusieurs recherches, en passant par l'iptables, pfctl, ipfw, il semble que le tout soit confu….

    Nous en appellons la communauté francophane de pfsense à l'aide.

    Voici notre configuration, qui est relativement implissime :


    Environnement : Virtualisation (esxi 5.5) - [Messieurs les puristes, je sais bien que virtualisation et pfsense font grincer des dents :-[ ]

    • Vswitch 0 - WAN - Adaptateur Intel 1gbps -

    - Pfsense (WAN interface)

    • Vswitch 1 - LAN - Adaptateur virtuel -

    - Pfsense (LAN interface)
        - Debian 8.1 (héberge notre TeamSpeak)


    Configuration de notre machine qui héberge notre Teamspeak :

    • Une interface : LAN :

    • Adresse IP (static) : 10.10.10.50/24

    • Gateway : 10.10.10.1

    • DNS : 10.10.10.1

    • apt-get update fait

    • Seul le serveur TeamSpeak tourne sur le port 9987 (Port par défaut)


    Configuration pfsense :

    • Deux Interfaces :

    • Em0 = WAN

    • Em1 = LAN

    WAN : Adresse IP publique en mode router IP : XX.XX.XX.XX/32

    LAN : Adresse IP locale - DHCP inactif - 10.10.10.1/24

    NAT : Port UDP 9987 sur 10.10.10.50 avec "Advanced Option" dans les rules : Maxi states : 2 000 - Maxi unique source host : 100 - Maxi state per host : 1

    Package : pfblocker NG configuré pour deny all except FR connexion

    Configuration "classique et simpliste", rien de très évolué - Suffisante pour ce qu'on lui demande.


    Les attaques qui cible notre Teamspeak envoie un paquet de 74o - Nous voulu faire une règle qui drop ces paquets. Nous savons comment procéder avec de l'iptables mais pas avec pfsense.

    Nous souhaiterions de l'aide s'il vous plait.

    Merci infiniment!



  • Je ne vois pas de solution sur Pfsense autre que ce que vous avez déjà fait.



  • Salut salut.

    Au boulot pour un soucis avec un application se trouvant derrière un pfsense qui subissait une attaque Ddos sur un port en particulier router par défaut.
    Nous avons fait avec l'accord du donneur d'ordre fait une petit modification au niveau du port d'ecoute sur la patte wan du pfsense en decalant vers un port tel que le 16000 et 16001 par exemple.
    Ensuite nous avons diffusé a 50% de nos utilisateurs que le port etait le 16000 et au 50% autres que le bon port etait le 16001.
    Au bout de quelques jours nous avons remarqué que le Ddos se portait sur le 16001.
    Nous avons réitéré l'opération sur le 16001 vers deux autres ports 16100 et 16101 en redécoupant le panel des users connaissant le 16001 en 2 groupes sur les 2 autres nouveau ports et fermant le 16001, jusqu'a trouver la sources.

    Le travail avais pris une longue période mais pour nous permettre de trouver le service qui nous gênait pour appliquer les contres mesures, comme par exemple lancer une vague d'intervention sur les postes pour et désinfection virale et malware car plusieurs poste étaient farcis de c'est petits choses, dont des applications fantômes. Nous avions des ordinateurs zombis.

    Je ne dis pas que cela est la bonne solution mais une option qui pourrait être étudier.

    Cordialement.


Log in to reply