Linux за българи: Форуми

Здравейте,
в момента съм с рутер TP-Link TL-WR1043ND.
До преди 2 дена ме flood-ваше с UDP пакети някакво лапе и рутера умираше.
Не ми се запушва канала, защото като вкарам WAN-а директно в PC-то интернета си е пушка, просто рутера не издържа и забиваше или започваше здраво да лагва.

Въпросът е, че този рутер не е предназначен за поддържане на сървър и знам, че това е нормално. Все пак има някаква вградена защитна стена, която по мои изчисления изобщо не работи или поне не както трябва, защото като я пуснах онзи си продължи флууда, а тя дори не го и отчете.

Каква ми е идеята? Идеята ми е да му сложа един DD-WRT, защото от това, което прочетох има доста повече настройчици и т.н. Също така поддържа и iptables команди и бих могъл евентуално при подобен флууд да дроп-вам пакетите, така че процесорчето да не ги обработва и затормозява.

Та въпроса ми е, правилно ли мисля, има ли някакви рискове от това флашване? И наистина мога ли да направя подобна филтрация директно през рутера ако съм с DD-WRT?

То рискове винаги има.

Също така поддържа и iptables команди и бих могъл евентуално при подобен флууд да дроп-вам пакетите, така че процесорчето да не ги обработва и затормозява.

Как ти дойде на акъла, че като ги дропваш и процесора няма да ги обработва и да се затормозява?
За да бъде дропен един пакет, то той трябва да достигне рутера ти, да бъде обработен, и iptables да реши дали да го дропи или да го пусне....

Та, този тип проблеми не се решават с дропене.
Може да ти помогне доставчикът ти, при добро желание.

Няма как да стане с рутера т.к. процесора му е слаб.

Идеята ми е да му сложа един DD-WRT

Горещо ти препоръчвам Open WRT интерфейса не е толкова джиджен колкот DD-WRT но щади долно слабичкия хардуер на рутерчето ;) Отделно че можеш да си инсталираш каквито искаш пакети не с предварително подготвени set-ове DD-WRT

Не разбрах на последния колега от поста DD-WRT Или Open WRT Последно?

Не разбрах на последния колега от поста DD-WRT Или Open WRT Последно?

извинявма се за неграмотния пост звъннаха ми по телефона докато пишех и се оплетоха линиите. Open WRT ($2) го ползвам на много устройства и в общия случей се държи доста свястно.

Как ти дойде на акъла, че като ги дропваш и процесора няма да ги обработва и да се затормозява?
За да бъде дропен един пакет, то той трябва да достигне рутера ти, да бъде обработен, и iptables да реши дали да го дропи или да го пусне....

Та, този тип проблеми не се решават с дропене.
Може да ти помогне доставчикът ти, при добро желание.

Еми може би от факта, че съм тествал въпросното нещо, само че не на рутер ами на компютър. В смисъл, флуудвах ПЦ-то, след което направих да дропва пакетите и процесора спря да се натоварва. Не знам, може би нещо греша и при рутерите нещата стоят различно.

Иначе този потребител вече не е проблем, защото звъннах на доставчика и той ограничи IP-то. Просто не ми се иска при всеки флууд да трябва да звънкам на ISP-то, което за радост не е като някои други, които ти отговарят нещо от рода на "съжаляваме, но ние не сме Ви личен firewall", макар че ги разбирам и всъщност са прави.

Горещо ти препоръчвам Open WRT интерфейса не е толкова джиджен колкот DD-WRT но щади долно слабичкия хардуер на рутерчето ;) Отделно че можеш да си инсталираш каквито искаш пакети не с предварително подготвени set-ове DD-WRT

Всъщност и аз между DD-WRT и Open WRT се чудех. Просто навсякъде в нет-а препоръчват първото, пък и стария ми рутер беше с такъв и като цяло бях доволен.

//offtopic

Просто не ми се иска при всеки флууд да трябва да звънкам на ISP-то, което за радост не е като някои други, които ти отговарят нещо от рода на "съжаляваме, но ние не сме Ви личен firewall"

Щом ISP-то ти е кадърно (поне в това отношение), мисля, че би било хубаво да не се колебаеш да им звъниш за такива неща. Блокиран флъдър ще бъде от полза не само за теб, но и за другите потребители по пътя.

"съжаляваме, но ние не сме Ви личен firewall", макар че ги разбирам и всъщност са прави

ISP-та, които разсъждават така, изобщо не са прави. Те отговарят и за оборудването, и за сигурността на своята част от мрежата. Кабелът, който влиза в твоето жилище, е техен и, ако се прекъсне, те трябва да дойдат да го сменят, нали така? Абсолютна тяхна е и отговорността за сигурността на трафика, който минава през него, особено в случаите на флъд, който е опасност не само персонално за теб, но и за всички в твоя LAN и за инфраструктурата на доставчика.

Отделно има и момент на равнопоставеност на отговорностите. Ако твои действия/бездействия (например засилване на подобаващо количество трафик наобратно към флъдъра) доведат до срив в мрежата на ISP-то, най-вероятно теб те очаква прекратяване на услугата, скандали, а защо не и съд. Ако действия/бездействия на доставчика доведат до срив при теб, логиката е последствията за доставчкика да бъдат същите. И е хубаво и практиката да се ориентира в тази посока. ;)


Казвайки всичко това в никакъв случай не твърдя, че хората не трябва да се занимават с подсигуряване на своя периметър. Просто всяка от двете страни трябва да се старае да има отговорни мерки за сигурност, да изисква такива от другата страна, да анализира вникмателно сигналите за потенциални опасности и да предлага и изисква адекватни решения на проблемите.

Моят рутер е същият и без флуд прави тази мизерия. Ако те флудат, се опитай да контактуваш първо със заподозряния собственик. Може да има Бабалюга и да незнае че това става. После с ИСП-то но е малко вероятно да направят нещо ако сте в един пул. Между ползване на нет и флуд трудно се прави разлика. Ако има камера то най често тя дава признаци за флуд, въпреки че си е нормално използване на мрежата.

Аз също имам въпросния рутер и от изв. време се каня да му сложа OpenWRT, защото съм фен отдавна на тази "дистрибуция" и я предпочитам пред всички останали. Не знам как стои въпроса с DDWrt, но за OpenWRT имам спомен, че поддръжката му не беше съвсем изчистена - по-точно някои от версиите на дивайса тръгват само с конкретна версия на OpenWRT, а други изобщо не се поддържат. И вероятността за брик на устройството си я има.

Аз също имам въпросния рутер и от изв. време се каня да му сложа OpenWRT, защото съм фен отдавна на тази "дистрибуция" и я предпочитам пред всички останали. Не знам как стои въпроса с DDWrt, но за OpenWRT имам спомен, че поддръжката му не беше съвсем изчистена - по-точно някои от версиите на дивайса тръгват само с конкретна версия на OpenWRT, а други изобщо не се поддържат. И вероятността за брик на устройството си я има.

Ами не знам да има таквиа драми освен ако устроиството не е в експериментална подръжка и тогава си пише че може да стане кочина. Иначе тия устройства със стар проц който се подържа идеално :) Аз съм trunk но си има и RC2 версия която се предполага че трябва да е по стабилна но като цяло нямам проблеми и с trunk версията.

Аз имам същия рутер - оказва се едно от най-добрите попадения за OpenWRT.

2 сет-топ бокса на мегалан (във VLAN), 1 НАС, 1 мултимедиен плеър, 2 лаптопа и 2 мобилни телефона закачени на него не му се опъват. Все пак е с 400 MHz процесор и 8 РАМ.

Отделно може и една камара неща да му пуснеш като OpenVPN например и за 2 връзки е чук. Ако му дойде много на зор започва да грее :), така го познавам, че е на лимита.

Та моя съвет е да му сложиш OpenWRT, да си пипнеш iptables правилата за да си филтрираш флууда и да не го мислиш.

И да, наистина повечето ISP-та отказват да филтрират. Мегалан са един от тях.

//offtopic

Мегалан са един от тях.

За тях съм чувала, че може и да се съгласят, само трябва да им обясниш, че ти можеш да отвърнеш подобаващо на флъдъра, но на тях няма да им хареса.

Не отказват. Въпросът е като се свържеш с каките от съпорта да помолиш да те свържат с някой администратор, защото иначе е загуба на време.

Проблема с flood-а не е в атакуващата страна, а в атакувания!!!

Да обясня:

Келеша пуска 5-10 байта пакетче с тъпо запитване по някой порт до теб. - НИКАКЪВ дерт!!!
Твоя комп се "вързва" и му отговаря с 2-3к пакет = голям проблем - сам се задънваш.

Като знаеш от кой IP се пеняви келеша просто го BlackList-ни дори и за ping. Да не те вижда че си включен...

Знам, че изглежда елементарно, но е ефикасно)))

Добре как да го blacklist-на точно, като рутера не предлага подобна опция или поне със сегашния си firmware. Има някакъв мизерен Anti DDoS, който дори не работи като хората.

Цялата работа стои така, държа сървърче на една игра и някакво лапе от друг конкурентен сървър (който преди да започне да ме флууди дори не го знаех) е решило да ми направи мръсно. Флудваше порта на сървъра.
Впрочем за да следя флууда изпълнявам следната команда: netstat -anp |grep 'tcp\|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

Опасявам се обаче, че това следи броя конекции, а не броя пакети и точно за това не съм можел да засеча UDP флууда чрез тази команда (SYN флууда си го засича). Аз дори и да му дропвам пакетите изпращани към сървъра той пак ще си тормози рутера или греша? Точно за това съм решил да дропя директно от рутера.

Опасявам се обаче, че това следи броя конекции, а не броя пакети и точно за това не съм можел да засеча UDP флууда чрез тази команда (SYN флууда си го засича). Аз дори и да му дропвам пакетите изпращани към сървъра той пак ще си тормози рутера или греша?

Да и да. Не грешиш.

Цитат на: HunteR в Mar 14, 2013, 12:51

Опасявам се обаче, че това следи броя конекции, а не броя пакети и точно за това не съм можел да засеча UDP флууда чрез тази команда (SYN флууда си го засича). Аз дори и да му дропвам пакетите изпращани към сървъра той пак ще си тормози рутера или греша?

Да и да. Не грешиш.

Абсолютно си прав!
Но тарикатлъка е че:
1. вече рутера ще се занимава само с малки входящи пакети, а не и с огромния отговор на твоя сървер.
2. няма да товариш (и без това по-слабото) обратно трасе към доставчика
3. и най важно - ония отсреща НЯМА ДА ЗНАЕ какво става .... и скоро ще "омалее" и ще се откаже.