Вобщем проблема такая - кто-то из локалки, в которой адреса типа 192.168.1.0 подделывает источник из диапазона 36.x.x.x, 37.x.x.x и ложит сервак SYN пакетами по 1000 пакетов/сек. Так вот хотел спросить, на сколько хостов ставить мне запрещающие правила, т.е. сколько может быть теоретически в этой подсети хостов?? Может /8? Система FreeBsd, SYN вроде бы запрещены. Да и как вообще средствами ipfw эффективно сделать скажем ограничение на НЕ БОЛЕЕ чем 10 одновременных соединений? У меня и такое прописано, и даже счетчики крутятся, но почему-то от подобных атак не спасает.
А чему равна переменная net.inet.tcp.syncookies в sysctl?
Если 0, то сделать её равной 1, дождаться очередной атаки и посмотреть на результат =)И, кстати, не вариант разобраться, кто это делает? Например, по MAC-адресу.
И что значит "вроде бы"? :-)По поводу ограничений см. man ipfw, RULE OPTIONS, опция limit.
Но не факт, что этот "доброжелатель" будет всё делать с одного src-ip, поэтому может и не спасать...В общем, советую попробовать для начала использовать SYN-cookies.
Syn-cookies выставлено 1. IPFW счетчики крутятся, но! как тогда он пробивается через это правило со своими 100 соединений/сек. Правило у меня с использованием limit. А mac неизвестный, кстати.
>Syn-cookies выставлено 1. IPFW счетчики крутятся, но! как тогда он пробивается через
>это правило со своими 100 соединений/сек. Правило у меня с использованием
>limit. А mac неизвестный, кстати.Задача? Найти и надовать по шее или обезопаситься?
И то и другое.
>И то и другое.Если свич умный - можно полочить на нем чтобы он получал только 1 МАС на порт, тогда подменить МАС не удастся. Далее обнаруживаем с какого МАСа все идет. Смотрим на каком порту и идем давать по шее.
Или. Обнаруживаем с какого МАСа, лезем на свич и смотрим с какого порта он пришел. Далее анаголично - по шее.
Обнаружить можно по разному. Например tcpdump с фильтром.
>Так вот хотел спросить, на сколько хостов ставить мне запрещающие правилаЗапрети принимать ВСЕ кроме из источника 192.168.1.х. Кстати, правило полезное в любом случае - часть защиты от спуфинга.
>Запрети принимать ВСЕ кроме из источника 192.168.1.х. Кстати, правило полезное в любом
>случае - часть защиты от спуфинга.
Для начала может сработать, но потом всё равно не поможет...
А пробиваться он может так, что лимит поставлен на src-ip, а он использует рандомные адреса?..
Можно тогда попробовать ставить лимит не на адрес отправителя, а получателя. Но тогда создастся DoS-атака =))) Тут уж решай - либо тебе надо, чтобы машина не висла, либо чтобы пользователи работали.Кстати, а цель этой машинки какая? Рабочая станция или сервер?
Странно, что syn-cookies не помогают... Вроде бы они специально для этого и есть...
tcp.keepinit - таймаут для неустановленных соединений; может быть, его поменьше попробовать сделать?..
Особенно, если это всё работает только в локальной сети.