50 пакетов типа ntp в секунда с 1 ip

[Усики]

Fri Mar 28 17:31:04 2014; UDP; ppp0; 468 bytes; from 8.6.223.13:ntp to 194.79.60.168:27018
Подскажите пожалуйста каким правилом можно ограничить кол-во пакетов в секунду получаемого с 1 ip (пакеты типа ntp) я обязательно научусь позже это делать сам но меня "петух в жопу клюет".. нужно как можно скорее!

[hon]

Кто-то DoS'ит? С помощью iptables можно заставить систему игнорировать все пакеты от нужных IP. Но канал связи все равно будет забиваться.

[Усики]

Тогда сделает так.
Цель: Составить правило iptables которое будет отслеживать соединение типа:

Код: [Выделить]

Fri Mar 28 17:31:04 2014; UDP; ppp0; 468 bytes; from 8.6.223.13:ntp to 194.79.60.168:27018 и в случае превышение интервала 50 пакетов в секунду IP "атакующего" блокируется на 1 минуту.
Пакеты вот такого типа фильтровать не нужено (это здоровый пакет) как заметили в нем нету ntp:

Код: [Выделить]

Mon Mar 24 16:07:44 2014; UDP; ppp0; 78 bytes; from 178.173.4.89:52827 to 194.79.60.168:27018

[fisher74]

Не изучали прикреплённую тему? Не Ваш случай?

[Усики]

Прочитал.... в теме не сказаон что идет ограничение пакетов в секунду. Что такое icmp?

[fisher74]

Прочитал.... в теме не сказаон что идет ограничение пакетов в секунду.

Как бы выражение -m limit --limit 250/sec должно навести на некие мысли.

Что такое icmp?

грубо говоря - это пакеты ping-а.
Пингом тоже можно и сервант положить и канал забить.

[Дмитрий Бо]

Кто-то DoS'ит? С помощью iptables можно заставить систему игнорировать все пакеты от нужных IP. Но канал связи все равно будет забиваться.

50 пакетов типа ntp в секунда
468 bytes
Так канал особо не забьёшь. Скорее, кто-то пытается использовать сабжевый комп для udp amplification, и адрес не настоящий.

[Усики]

Былоб прекрасно высказывать свое предположение и подкреплять правило для защиты. (Обьяснив что внем написано) =)

[golota]

Былоб прекрасно высказывать свое предположение и подкреплять правило для защиты. (Обьяснив что внем написано) =)

ТовариСч продолжает флудить создавая новые темы, начало здесь - DoS зацепка. и правила туда-же писал ...
Если хочет закрыть source ntp port, там достаточно --dport на --sport поменять
Уже писал ему про якобы NTP 
У него DoS-ят couter strike server. А NTP тут никаким боком ...
Наверняка используется специальный пакет с определённым содержимым, который валит сервер.
Ищите в google, что-нибудь типа "Counter Strike source dos protect", этого добра много (DAF, ZBlock, CrashBlock 2.0, DoS Protect), например это и не сверлите мосК 

Предупредил по 2.13 — Дмитрий Бо

[Усики]

Былоб прекрасно высказывать свое предположение и подкреплять правило для защиты. (Обьяснив что внем написано) =)

ТовариСч продолжает флудить создавая новые темы, начало здесь - DoS зацепка. и правила туда-же писал ...
Если хочет закрыть source ntp port, там достаточно --dport на --sport поменять
Уже писал ему про якобы NTP 
У него DoS-ят couter strike server. А NTP тут никаким боком ...
Наверняка используется специальный пакет с определённым содержимым, который валит сервер.
Ищите в google, что-нибудь типа "Counter Strike source dos protect", этого добра много (DAF, ZBlock, CrashBlock 2.0, DoS Protect), например это и не сверлите мосК 

Ух ты какой грамотный! Повыделовался? Похлопать? Молодчага.. Но все это (DAF, ZBlock, CrashBlock 2.0, DoS Protect), я испробовал. Результату не дало. Пожалуйста избевь меня от своего внимание ты всеравно глупый и бесполезный на мой взгляд. Извени если обидел, прийми это как факт!

Предупредил по 2.2 — Дмитрий Бо

[golota]

Ух ты какой грамотный! Повыделовался? Похлопать? Молодчага.. Но все это (DAF, ZBlock, CrashBlock 2.0, DoS Protect), я испробовал. Результату не дало. Пожалуйста избевь меня от своего внимание ты всеравно глупый и бесполезный на мой взгляд. Извени если обидел, прийми это как факт!

Спасибо ! О мудрейший !
Я обязательно исполню твою волю ! Если твоё мудрейшество включило-бы мосК позволит мне, прошу обратить внимание на правила из предыдущей темы, (подсказка --sport ntp)

Решать свои шкурные проблемы, на форумах обычно не приветствуется. Бабки надо зарабатывать своими мозгами ...

Предупредил по 2.3.
Отдельно замечу, что решать "шкурные проблемы" и задавать вопросы, возникающие на работе, не запрещается.
 — Дмитрий Бо

[Усики]

Ух ты какой грамотный! Повыделовался? Похлопать? Молодчага.. Но все это (DAF, ZBlock, CrashBlock 2.0, DoS Protect), я испробовал. Результату не дало. Пожалуйста избевь меня от своего внимание ты всеравно глупый и бесполезный на мой взгляд. Извени если обидел, прийми это как факт!

Спасибо ! О мудрейший !
Я обязательно исполню твою волю ! Если твоё мудрейшество включило-бы мосК позволит мне, прошу обратить внимание на правила из предыдущей темы, (подсказка --sport ntp)

Решать свои шкурные проблемы, на форумах обычно не приветствуется. Бабки надо зарабатывать своими мозгами ...

Предупредил по 2.3.
Отдельно замечу, что решать "шкурные проблемы" и задавать вопросы, возникающие на работе, не запрещается.
 — Дмитрий Бо

Хочу принести свои извинение за этот не приятный инцидент. Я повел себя не правильно, отдельно извиняюсь перед golota.

В общем проще закрыть нафиг thp порт.(123) на INPUT. Т.е чтоб ко мне не могли поключаться с этого порта вообще. Подскажите реализацию... не так ли случайно? sudo iptables -A INPUT -p udp -d 0/0 -s 0/0 --dport 123 -j DROP ?

[golota]

Хочу принести свои извинение за этот не приятный инцидент. Я повел себя не правильно, отдельно извиняюсь перед golota.

Принимается - "Слышу речь не мальчика, но мужа" («Борис Годунов» А. С. Пушкин)
Пользователь решил продолжить мысль 30 Марта 2014, 23:21:24:Расскажите, как у вас установлен CSS ?
CSS работает на Ubuntu ?
Или Ubuntu это только роутер, а CSS крутится на другой машине ?

Схему сетки и iptables-save - в студию !

[Дмитрий Бо]

В общем проще закрыть нафиг thp порт.(123) на INPUT. Т.е чтоб ко мне не могли поключаться с этого порта вообще. Подскажите реализацию... не так ли случайно? sudo iptables -A INPUT -p udp -d 0/0 -s 0/0 --dport 123 -j DROP ?

Тогда время не будет синхронизироваться, а это неправильно. Надо будет либо закрыть NTP на WAN и самому получать время по LAN, либо создать правило, разрешающее трафик NTP с состоянием ESTABLISHED (хотя такой вариант я сам не тестил, и вообще наличие "состояния" в stateless-протоколе меня весьма удивило).

И да, присоединяюсь к замечанию про iptables-save.

[golota]

Предполагаю, что лимитирование пакетов не поможет.
Скорее всего, главное это содержимое пакета, а не темп поступления.
Подобные примеры известны для других типов CS

Значит -
1. Например, коммандой tcpdump -i ppp0 -s0 -w /tmp/DDOS src 8.6.223.13 and port ntp
   пишем пакеты вызывающие DOS, в файл /tmp/DDOS
2. Таким-же образом, собираем нормальные пакеты.

3. Анализируем содержимое пакетов тем-же tcpdump или графическим, например wireshark.
   Наверняка, пакеты вызывающие DOS, имеют какое-то ключевое отличие.
   ( какая-то последовательность или даже один байт, в определённой позиции будет присутствовать в DOS пакете и отсутствовать в нормальном пакете )

4. При помощи фильтра iptables (например u32) режем пакеты, по найденному ключевому признаку.

Овладев подобной техникой, вы самостоятельно сможете защитить свой сервер от атак подобного типа.
В общем "учиться, учиться и ещё раз учиться" и "Никто не даст нам избавленья, Ни Бог, ни царь и не герой"