Форум русскоязычного сообщества Ubuntu


Увидели сообщение с непонятной ссылкой, спам, непристойность или оскорбление?
Воспользуйтесь ссылкой «Сообщить модератору» рядом с сообщением!

Автор Тема: 50 пакетов типа ntp в секунда с 1 ip  (Прочитано 2713 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Усики

  • Автор темы
  • Участник
  • *
  • Сообщений: 222
    • Просмотр профиля
Fri Mar 28 17:31:04 2014; UDP; ppp0; 468 bytes; from 8.6.223.13:ntp to 194.79.60.168:27018
Подскажите пожалуйста каким правилом можно ограничить кол-во пакетов в секунду получаемого с 1 ip (пакеты типа ntp) я обязательно научусь позже это делать сам но меня "петух в жопу клюет".. нужно как можно скорее!

Оффлайн hon

  • Старожил
  • *
  • Сообщений: 1044
  • Ubuntu 12.04 LTS
    • Просмотр профиля
Re: 50 пакетов типа ntp в секунда с 1 ip
« Ответ #1 : 29 Март 2014, 14:03:34 »
Кто-то DoS'ит? С помощью iptables можно заставить систему игнорировать все пакеты от нужных IP. Но канал связи все равно будет забиваться.

Оффлайн Усики

  • Автор темы
  • Участник
  • *
  • Сообщений: 222
    • Просмотр профиля
Re: 50 пакетов типа ntp в секунда с 1 ip
« Ответ #2 : 29 Март 2014, 14:14:09 »
Тогда сделает так.
Цель: Составить правило iptables которое будет отслеживать соединение типа:
Fri Mar 28 17:31:04 2014; UDP; ppp0; 468 bytes; from 8.6.223.13:ntp to 194.79.60.168:27018 и в случае превышение интервала 50 пакетов в секунду IP "атакующего" блокируется на 1 минуту.
Пакеты вот такого типа фильтровать не нужено (это здоровый пакет) как заметили в нем нету ntp:
Mon Mar 24 16:07:44 2014; UDP; ppp0; 78 bytes; from 178.173.4.89:52827 to 194.79.60.168:27018

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: 50 пакетов типа ntp в секунда с 1 ip
« Ответ #3 : 29 Март 2014, 17:00:47 »
Не изучали прикреплённую тему? Не Ваш случай?
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн Усики

  • Автор темы
  • Участник
  • *
  • Сообщений: 222
    • Просмотр профиля
Re: 50 пакетов типа ntp в секунда с 1 ip
« Ответ #4 : 29 Март 2014, 17:05:15 »
Прочитал.... в теме не сказаон что идет ограничение пакетов в секунду. Что такое icmp?

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: 50 пакетов типа ntp в секунда с 1 ip
« Ответ #5 : 29 Март 2014, 17:20:02 »
Прочитал.... в теме не сказаон что идет ограничение пакетов в секунду.
Как бы выражение -m limit --limit 250/sec должно навести на некие мысли.

Что такое icmp?
грубо говоря - это пакеты ping-а.
Пингом тоже можно и сервант положить и канал забить.
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн Дмитрий Бо

  • Погонщик серверов
  • Модератор раздела
  • Старожил
  • *
  • Сообщений: 3540
  • Я не техподдержка, я за порядком слежу
    • Просмотр профиля
    • dihoc.ru - контекстный вьетнамско-русский словарь
Re: 50 пакетов типа ntp в секунда с 1 ip
« Ответ #6 : 29 Март 2014, 17:26:41 »
Кто-то DoS'ит? С помощью iptables можно заставить систему игнорировать все пакеты от нужных IP. Но канал связи все равно будет забиваться.
50 пакетов типа ntp в секунда
468 bytes
Так канал особо не забьёшь. Скорее, кто-то пытается использовать сабжевый комп для udp amplification, и адрес не настоящий.
Не опускай рук, а то пропустишь в бороду

Оффлайн Усики

  • Автор темы
  • Участник
  • *
  • Сообщений: 222
    • Просмотр профиля
Re: 50 пакетов типа ntp в секунда с 1 ip
« Ответ #7 : 29 Март 2014, 17:39:52 »
Былоб прекрасно высказывать свое предположение и подкреплять правило для защиты. (Обьяснив что внем написано) =)

Оффлайн golota

  • Участник
  • *
  • Сообщений: 132
    • Просмотр профиля
Re: 50 пакетов типа ntp в секунда с 1 ip
« Ответ #8 : 29 Март 2014, 20:00:20 »
Былоб прекрасно высказывать свое предположение и подкреплять правило для защиты. (Обьяснив что внем написано) =)
ТовариСч продолжает флудить создавая новые темы, начало здесь - DoS зацепка. и правила туда-же писал ...
Если хочет закрыть source ntp port, там достаточно --dport на --sport поменять
Уже писал ему про якобы NTP  :2funny:
У него DoS-ят couter strike server. А NTP тут никаким боком ...
Наверняка используется специальный пакет с определённым содержимым, который валит сервер.
Ищите в google, что-нибудь типа "Counter Strike source dos protect", этого добра много (DAF, ZBlock, CrashBlock 2.0, DoS Protect), например это и не сверлите мосК  :idiot2:

Предупредил по 2.13 — Дмитрий Бо
« Последнее редактирование: 30 Март 2014, 17:47:40 от Дмитрий Бо »
Я знаю то, что ничего не знаю, но некоторые не знают и этого. Сократ

Оффлайн Усики

  • Автор темы
  • Участник
  • *
  • Сообщений: 222
    • Просмотр профиля
Re: 50 пакетов типа ntp в секунда с 1 ip
« Ответ #9 : 29 Март 2014, 21:32:09 »
Былоб прекрасно высказывать свое предположение и подкреплять правило для защиты. (Обьяснив что внем написано) =)
ТовариСч продолжает флудить создавая новые темы, начало здесь - DoS зацепка. и правила туда-же писал ...
Если хочет закрыть source ntp port, там достаточно --dport на --sport поменять
Уже писал ему про якобы NTP  :2funny:
У него DoS-ят couter strike server. А NTP тут никаким боком ...
Наверняка используется специальный пакет с определённым содержимым, который валит сервер.
Ищите в google, что-нибудь типа "Counter Strike source dos protect", этого добра много (DAF, ZBlock, CrashBlock 2.0, DoS Protect), например это и не сверлите мосК  :idiot2:

Ух ты какой грамотный! Повыделовался? Похлопать? Молодчага.. Но все это (DAF, ZBlock, CrashBlock 2.0, DoS Protect), я испробовал. Результату не дало. Пожалуйста избевь меня от своего внимание ты всеравно глупый и бесполезный на мой взгляд. Извени если обидел, прийми это как факт!

Предупредил по 2.2 — Дмитрий Бо
« Последнее редактирование: 30 Март 2014, 17:49:03 от Дмитрий Бо »

Оффлайн golota

  • Участник
  • *
  • Сообщений: 132
    • Просмотр профиля
Re: 50 пакетов типа ntp в секунда с 1 ip
« Ответ #10 : 29 Март 2014, 22:07:41 »
Ух ты какой грамотный! Повыделовался? Похлопать? Молодчага.. Но все это (DAF, ZBlock, CrashBlock 2.0, DoS Protect), я испробовал. Результату не дало. Пожалуйста избевь меня от своего внимание ты всеравно глупый и бесполезный на мой взгляд. Извени если обидел, прийми это как факт!
Спасибо ! О мудрейший !
Я обязательно исполню твою волю ! Если твоё мудрейшество включило-бы мосК позволит мне, прошу обратить внимание на правила из предыдущей темы, (подсказка --sport ntp)

Решать свои шкурные проблемы, на форумах обычно не приветствуется. Бабки надо зарабатывать своими мозгами ...

Предупредил по 2.3.
Отдельно замечу, что решать "шкурные проблемы" и задавать вопросы, возникающие на работе, не запрещается.
 — Дмитрий Бо
« Последнее редактирование: 30 Март 2014, 17:54:10 от Дмитрий Бо »
Я знаю то, что ничего не знаю, но некоторые не знают и этого. Сократ

Оффлайн Усики

  • Автор темы
  • Участник
  • *
  • Сообщений: 222
    • Просмотр профиля
Re: 50 пакетов типа ntp в секунда с 1 ip
« Ответ #11 : 30 Март 2014, 18:59:58 »
Ух ты какой грамотный! Повыделовался? Похлопать? Молодчага.. Но все это (DAF, ZBlock, CrashBlock 2.0, DoS Protect), я испробовал. Результату не дало. Пожалуйста избевь меня от своего внимание ты всеравно глупый и бесполезный на мой взгляд. Извени если обидел, прийми это как факт!
Спасибо ! О мудрейший !
Я обязательно исполню твою волю ! Если твоё мудрейшество включило-бы мосК позволит мне, прошу обратить внимание на правила из предыдущей темы, (подсказка --sport ntp)

Решать свои шкурные проблемы, на форумах обычно не приветствуется. Бабки надо зарабатывать своими мозгами ...

Предупредил по 2.3.
Отдельно замечу, что решать "шкурные проблемы" и задавать вопросы, возникающие на работе, не запрещается.
 — Дмитрий Бо


Хочу принести свои извинение за этот не приятный инцидент. Я повел себя не правильно, отдельно извиняюсь перед golota.

В общем проще закрыть нафиг thp порт.(123) на INPUT. Т.е чтоб ко мне не могли поключаться с этого порта вообще. Подскажите реализацию... не так ли случайно? sudo iptables -A INPUT -p udp -d 0/0 -s 0/0 --dport 123 -j DROP ?

Оффлайн golota

  • Участник
  • *
  • Сообщений: 132
    • Просмотр профиля
Re: 50 пакетов типа ntp в секунда с 1 ip
« Ответ #12 : 30 Март 2014, 19:59:25 »
Хочу принести свои извинение за этот не приятный инцидент. Я повел себя не правильно, отдельно извиняюсь перед golota.
Принимается - "Слышу речь не мальчика, но мужа" («Борис Годунов» А. С. Пушкин)

Пользователь решил продолжить мысль 30 Март 2014, 23:21:24:
Расскажите, как у вас установлен CSS ?
CSS работает на Ubuntu ?
Или Ubuntu это только роутер, а CSS крутится на другой машине ?

Схему сетки и iptables-save - в студию !
« Последнее редактирование: 30 Март 2014, 23:42:08 от golota »
Я знаю то, что ничего не знаю, но некоторые не знают и этого. Сократ

Оффлайн Дмитрий Бо

  • Погонщик серверов
  • Модератор раздела
  • Старожил
  • *
  • Сообщений: 3540
  • Я не техподдержка, я за порядком слежу
    • Просмотр профиля
    • dihoc.ru - контекстный вьетнамско-русский словарь
Re: 50 пакетов типа ntp в секунда с 1 ip
« Ответ #13 : 31 Март 2014, 01:50:25 »
В общем проще закрыть нафиг thp порт.(123) на INPUT. Т.е чтоб ко мне не могли поключаться с этого порта вообще. Подскажите реализацию... не так ли случайно? sudo iptables -A INPUT -p udp -d 0/0 -s 0/0 --dport 123 -j DROP ?
Тогда время не будет синхронизироваться, а это неправильно. Надо будет либо закрыть NTP на WAN и самому получать время по LAN, либо создать правило, разрешающее трафик NTP с состоянием ESTABLISHED (хотя такой вариант я сам не тестил, и вообще наличие "состояния" в stateless-протоколе меня весьма удивило).

И да, присоединяюсь к замечанию про iptables-save.
Не опускай рук, а то пропустишь в бороду

Оффлайн golota

  • Участник
  • *
  • Сообщений: 132
    • Просмотр профиля
Re: 50 пакетов типа ntp в секунда с 1 ip
« Ответ #14 : 31 Март 2014, 02:37:18 »
Предполагаю, что лимитирование пакетов не поможет.
Скорее всего, главное это содержимое пакета, а не темп поступления.
Подобные примеры известны для других типов CS

Значит -
1. Например, коммандой tcpdump -i ppp0 -s0 -w /tmp/DDOS src 8.6.223.13 and port ntp
   пишем пакеты вызывающие DOS, в файл /tmp/DDOS
2. Таким-же образом, собираем нормальные пакеты.

3. Анализируем содержимое пакетов тем-же tcpdump или графическим, например wireshark.
   Наверняка, пакеты вызывающие DOS, имеют какое-то ключевое отличие.
   ( какая-то последовательность или даже один байт, в определённой позиции будет присутствовать в DOS пакете и отсутствовать в нормальном пакете )

4. При помощи фильтра iptables (например u32) режем пакеты, по найденному ключевому признаку.

Овладев подобной техникой, вы самостоятельно сможете защитить свой сервер от атак подобного типа.
В общем "учиться, учиться и ещё раз учиться" и "Никто не даст нам избавленья, Ни Бог, ни царь и не герой"
Я знаю то, что ничего не знаю, но некоторые не знают и этого. Сократ

 

Страница сгенерирована за 0.103 секунд. Запросов: 24.