Linux за българи: Форуми

...

Предпоследния пост тук http://www.linux-bg.org/forum/index.php?topic=34304.0 трябва да ти свърши работа.

Това е spoof атака - атакуващият променя IP адресите в хедърите на пакетите динамично и тези пакети пристигат при теб с измислени IP-та и не съдържат IP-то на източника, така че колкото и IP-та да изрежеш (освен, ако не изрежеш всички, или поне клонящо към всички), няма да спреш атаката от самата машина. Нужен ти е Stateful Packet Inspection (SPI). Той се прави от машина, която седи пред твоята машина и филтрира трафика с действие на защитна стена. Можеш да използваш хардуерна или софтуерно изградена защитна стена. При софтуерно изградената защитна стена трябва да сложиш един компютър отпред, да му качиш ОС и да вкараш правила за SPI. По-лесно е с хардуерна защитна стена - това са устройства, пригодени за тази цел, и в повечето случаи не се нуждаят от допълнителна настройка, различна от тази по подразбиране. Не съм запознат с хардуерните защитни стени, така че, ако някой е запознат, нека предложи някоя. Знам, че някои рутери предоставят и SPI защита, така че ще ти свърши работа и едно такова рутерче, което да седи пред твоята машина. Можеш да попиташ в някой компютърен магазин за рутер със SPI защита или, ако продавачът не разбере за какво говориш, да му обясниш ситуацията и може да се сети за устройство с такава защита, което предлагат.

Да си обърнал внимание към кой порт или няколко порта е насочена атаката, или е към много портове? И имаш ли слушащи услуги на тези портове?

http://en.wikipedia.org/wiki/SYN_cookies

Пробвай да активираш опцията:

GeSHi (Bash):
sysctl -w net.ipv4.tcp_syncookies="1"

Едно хубаво четиво:

http://www.cromwell-intl.com/security/security-stack-hardening.html

:)

Значи по мои наблюдения, много малко доставчици, поне в България са останали, които да позволяват пакети с подправени адреси да напускат border рутерите им. Поради простата причина че слагат разни acl-и, които режат такива лоши трафици. Дори навремето беше рядкост, обаче такова нещо не съм виждал от години честно казано. Предишният ми доставчик беше малък квартален ЛАН (впоследствие закупен от мегалан), та там успявах да изкарвам подправени пакети единствено с адресите на други хостове от същия събнет.

Разбира се, в рамките на един и същ етернет сегмент, няма никакъв проблем да си подправяш пакети с какъвто си искаш сорс адрес, защото няма рутер по пътя, който да ги дропва.

Така че с огромна вероятност, SYN flood-a идва от някой умник от твоята мрежа, с по-малка вероятност оригинира от някое място, където такива неща не се режат.

Ако идват от твоята мрежа, тогава може би wireshark ще ти догатне че source MAC адреса не е този на gateway-a, ами на някой досадник? И после евентуално можеш да си направиш едно iptables правило да не си говориш с него :)

Разбира се, лошият гад може да се опита да си spoof-ва и хардуерния адрес, ако е достатъчно лош.

А иначе, ако имаш включена подръжка на syncookies, няма какво толкова да се притесняваш (донякъде това става малък проблем ако сервираш големи файлове - защо е така е дълго за обяснение).

...

@neter:
Вкарали сте се в някакъв филм с тоя spoof. Дето вика gat3way това е било масово възможно преди повече от 10 години - сега е почти невъзможно да се случи. Сега предимно такива ddos неща идват от автоматизирани botnets.

@all:
Автора пише syn flood ама всъщо пита за друго явно (не е дал достатъчно информация), втори го праща към неработещо решение със заглавие "udp flood", neter вика spoof а VladSun дава правилното решение за syn flood, но това май не е случая на автора. Пълна идилия ;-)

Вкарали сте се в някакъв филм с тоя spoof.

Просто наскоро ми се случи и още ме болят венците от стискане на зъби от яд, че машината не е в България и нямам физически достъп до нея, а кретените от съпорт центъра там се мотаха 9 дена, докато сложат защита пред нея и... както и да е, не е за разправяне каква лудница беше. В последствие, по косвени пътища разбрах, че атаката е идвала от Русия, а машината не е в Русия. Така че бая път са изминали тези пакети. Нямам добра обща информация за защитите, които осигуряват доставчиците в България, тъй като изключително рядко сменям доставчиците си, но щом масово осигуряват такава защита, това е похвално. Spoof атаките са си... досадна работа :)

В глобален мащаб нещата уж изглеждат нещо от сорта на това:

(http://photos1.blogger.com/blogger/1933/1779/1600/spoofable.png)

Обаче тези сметки според мен са доста хвърковати.


Защитата против подправените пакети се състои в acl правила при border рутерите на доставчиците. За транзитния трафик е сложно и безсмислено да се правят такива упражнения, затова ако успее да излезе такъв пакет навън, най-вероятно ще стигне дотам закъдето са го изпратили.

И както казва teh...в днешни дни гаменчетата имат ботнети със стотици и хиляди хостове и DDoS атаките им  са доста по-зли защото така може да се завършва TCP handshake-a и да се пращат валидни заявки...от доста източници едновременно. Ходи после филтрирай.