Valakinek nem áll fel! Avagy ismét SYN flood bénázás

Visszatérő "vendég" nálam a címben szereplő problémákkal küzdő "úriember".

Ma megint nem jött össze neki, szóval rám talált. Bár nagyon hízelgő, de "sajnos" nem a saját fajtámhoz vonzódom...
Történet a következő. Észrevettem, hogy így hajnal 4 felé szokatlanul nagy a csomag szám a szerveremen, hát benéztem, hogy mi a tényállás. Látom halomba áll a SYN_RECV egy rakás IP-n. Szokásos körök megfutása az iptablessel, majd kíváncsiság, hogy ezúttal honnan jött. Erre bukkantam az egyik IP whois nézegetésekor:

route: 195.211.221.1/32
descr: Ddos Zashita Ltd.
origin: AS50098
mnt-by: DZ-MNT
source: RIPE # Filtered

Szóval ez kimondottan DDoS-ra nyitott boltot. ejj, valamit biztos jól csinálok...

Kéne nézni valamit ami automatice berámolja az ilyet iptables megfelelő pontjába. Ha van ötlet, senki ne tartsa magába, bár nem létfontosságú egy kérdéshez...

Hozzászólások

Én nem használom, de szerintem fail2ban al meg lehet ilyet oldani.

1. iptables tud logolni max syslogban kicsit meg kellene formázni
2. utána megdosolnak ns/átjáró/saját ipdről és volt egy géped (nyilván ha ezeket alapból engeded akkor is tudnak olyan címről dosolni ami neked fáj), továbbra is synproxy

3. ha kis támadásról van szó akkor iptablesben megfoghatod simán csak egy ratelimit + egy set kell ahova gyűjtöd az ipket (ezt is iptables töltené fel) ezt követően pedig a set tartalmára drop

http://ipset.netfilter.org/

milyen portokra jon a tamadas?

---------------------------------------------------
Hell is empty and all the devils are here.
-- Wm. Shakespeare, "The Tempest"

Az új kernel már tud synproxyt és 4-5 napja az iptables master branchbe is bekerült.
Íme:
http://lwn.net/Articles/563151/
http://lwn.net/Articles/564824/
https://git.netfilter.org/iptables/?h=master

Azóta elvileg elkészült a 1.4.21 merge is. Első probálkozások alapján sokkal jobb, mint a régi bsd-s megfelelője.

Viszont amíg egy iptables megfogja neked addig az még nem nevezhető komoly tamadásnak:)

Miért? Amikor kézzel beszórtam az adott IP-ket drop-ra, akkor néhány 10 másodperc múlva el is állt az addig órák óta zajló "támadás".

A címben is azért szerepel a bénázás, mert igazából megse kottyant a gépnek, pedig úgy nyomták az áldást, mint a templomba... Mindig így van, tiltok pár címet, akkor félévre megint leszáll. Egyszer gondoltam, leszarom, majd megunja. De 2 nap múlva már csak kiraktam, mert elcseszte a szép grafikonjaim :D

--
openSUSE 12.2 x86_64

arra gondoltam, hogy ha valaki IP-cimet hamisit, akkor olyan site-oktol is elvaghat teged, amitol nem akaranad, pl. a szolgaltatod dns szervere, google, stb. Egy automatikus blokkolas csak akkor ved meg az on tokon lovestol, ha eleg IQ-t pakoltak bele. Mondjuk egy jo 15 eve divatos syn flood jo esellyel script kolyok komolytalan toketlenkedese...

--
"Pontosan ez a ti bajotok. Ez a kurva nagy csőlátás. [...]" (bviktor)

> Szóval ez kimondottan DDoS-ra nyitott boltot. ejj, valamit biztos jól csinálok...

zashita -> защита -> védelem

Nem jó reklám. :)