Netgate Store

Author Topic: Переполнение static table по всей видимости атака.  (Read 983 times)

0 Members and 1 Guest are viewing this topic.

Offline unKn0wn

  • Jr. Member
  • **
  • Posts: 33
  • Karma: +4/-3
    • View Profile
Собственно словил ддос на проброшеный порт. В diag_dump_states словил следующее:
Quote
WAN   udp   82.197.228.46:38464 -> 192.168.1.9:9987 (х.х.х.х:9987)   NO_TRAFFIC:SINGLE   2 / 0   846 B / 0 B   
LAN   udp   82.197.228.46:38464 -> 192.168.1.9:9987   SINGLE:NO_TRAFFIC   2 / 0   846 B / 0 B   
WAN   udp   82.197.228.46:53657 -> 192.168.1.9:9987 (х.х.х.х:9987)   NO_TRAFFIC:SINGLE   6 / 0   2 KiB / 0 B   
LAN   udp   82.197.228.46:53657 -> 192.168.1.9:9987   SINGLE:NO_TRAFFIC   6 / 0   2 KiB / 0 B   
WAN   udp   82.197.228.46:34634 -> 192.168.1.9:9987 (х.х.х.х:9987)   NO_TRAFFIC:SINGLE   2 / 0   846 B / 0 B   
LAN   udp   82.197.228.46:34634 -> 192.168.1.9:9987   SINGLE:NO_TRAFFIC   2 / 0   846 B / 0 B   
WAN   udp   82.197.228.46:58951 -> 192.168.1.9:9987 (х.х.х.х:9987)   NO_TRAFFIC:SINGLE   6 / 0   2 KiB / 0 B   
LAN   udp   82.197.228.46:58951 -> 192.168.1.9:9987   SINGLE:NO_TRAFFIC   6 / 0   2 KiB / 0 B   

И не обязательно с одного айпи. Подскажите как блочить такой трафик. Снорт даже алерты не создаёт.. Может конечно я его плохо настроил.

Offline werter

  • Hero Member
  • *****
  • Posts: 5286
  • Karma: +255/-15
    • View Profile
Доброе.
Попробуйте Суриката.

Offline unKn0wn

  • Jr. Member
  • **
  • Posts: 33
  • Karma: +4/-3
    • View Profile
Спасибо за совет. Попробовал суриката. Отловил не все адреса зомби, я бы сказал крупицу из тысячи:
Quote
03/18/2017
19:34:34   2   UDP   Misc Attack   88.250.95.98
       1900   x.x.x.x
     9987   1:2403396
     ET CINS Active Threat Intelligence Poor Reputation IP group 97
03/18/2017
19:34:04   2   UDP   Misc Attack   78.187.9.190
       1900   x.x.x.x
     9987   1:2403366
     ET CINS Active Threat Intelligence Poor Reputation IP group 67
03/18/2017
19:33:56   2   UDP   Misc Attack   88.250.19.109
       1900   x.x.x.x
     9987   1:2403395
     ET CINS Active Threat Intelligence Poor Reputation IP group 96
03/18/2017
19:33:38   2   UDP   Misc Attack   78.187.9.44
       1900   x.x.x.x
     9987   1:2403366
     ET CINS Active Threat Intelligence Poor Reputation IP group 67
03/18/2017
19:33:15   2   UDP   Misc Attack   88.247.150.251
       1900   x.x.x.x
     9987   1:2403393
     ET CINS Active Threat Intelligence Poor Reputation IP group 94
03/18/2017
19:33:05   2   UDP   Misc Attack   85.99.116.80
       1900   x.x.x.x
     9987   1:2403384
     ET CINS Active Threat Intelligence Poor Reputation IP group 85
03/18/2017
19:33:03   2   UDP   Misc Attack   78.186.239.191
       1900   x.x.x.x
     9987   1:2403366
     ET CINS Active Threat Intelligence Poor Reputation IP group 67
03/18/2017
19:32:53   2   UDP   Misc Attack   88.249.126.73
       1900   x.x.x.x
     9987   1:2403395
     ET CINS Active Threat Intelligence Poor Reputation IP group 96
03/18/2017
19:32:36   2   UDP   Misc Attack   75.149.130.89
       57294   x.x.x.x
     9987   1:2403361
     ET CINS Active Threat Intelligence Poor Reputation IP group 62
03/18/2017
19:32:36   2   UDP   Misc Attack   50.159.247.20
       1900   x.x.x.x
     9987   1:2403331
     ET CINS Active Threat Intelligence Poor Reputation IP group 32
03/18/2017
19:32:17   2   UDP   Misc Attack   85.98.44.31
       1900   x.x.x.x
     9987   1:2403383
     ET CINS Active Threat Intelligence Poor Reputation IP group 84

Может есть средство понадёжней и универсальный помимо бана подсетей?

Offline werter

  • Hero Member
  • *****
  • Posts: 5286
  • Karma: +255/-15
    • View Profile
1. Сменить порт.
2. Разрешить доступ к порту только с опред. ip\сетей. Вплоть до разр. только адресов своей страны, напр. В помощь https://znil.net/index.php?title=Pfsense_-_GeoIP_Blocking_auf_bestimmte_Ports_oder_Dienste_IPv4_IPv6
3. Настроить OpenVPN и ходить в сеть через него.
« Last Edit: March 18, 2017, 02:40:04 pm by werter »

Offline unKn0wn

  • Jr. Member
  • **
  • Posts: 33
  • Karma: +4/-3
    • View Profile
Спасибо за советы. Буду пробовать резать страны.

Offline werter

  • Hero Member
  • *****
  • Posts: 5286
  • Karma: +255/-15
    • View Profile
Доброе.
Разрешите только 1-2 страны, к-ые вам нужны. Остальные будут заблокированы по-дефолту.

Offline unKn0wn

  • Jr. Member
  • **
  • Posts: 33
  • Karma: +4/-3
    • View Profile
Либо я не понял, либо есть хитрость. Началось с того, что попросил друга пофлудить трафиком на порт с его удалённого сервера из Эстонии, и закончилось тем, что даже когда блочу конкретно его айпи всё равно к омне трафик идёт.
Quote
Reject(пробовал и block)
0 /124.46 MiB  IPv4      *           5.34.х.х       *        *       *       *         none   

И всё равно получаю трафик:
5.34.х.х   528.47k Bits/sec   7.65M Bits/sec

И вот некоторая инфа от tcpdump:
Quote
    5.34.x.x.50647 > WanAddress.9987: [udp sum ok] UDP, length 991
00:27:56.666314 IP (tos 0x8, ttl 121, id 19531, offset 0, flags [none], proto UDP (17), length 1020)
    5.34.x.x.50647 > WanAddress.9987: [udp sum ok] UDP, length 992
00:27:56.666401 IP (tos 0x8, ttl 121, id 19532, offset 0, flags [none], proto UDP (17), length 1026)
    5.34.x.x.50647 > WanAddress.9987: [udp sum ok] UDP, length 998
00:27:56.666488 IP (tos 0x8, ttl 121, id 19533, offset 0, flags [none], proto UDP (17), length 1019)
    5.34.x.x.50647 > WanAddress.9987: [udp sum ok] UDP, length 991
00:27:56.666621 IP (tos 0x8, ttl 121, id 19534, offset 0, flags [none], proto UDP (17), length 1019)
    5.34.x.x.50647 > WanAddress.9987: [udp sum ok] UDP, length 991
00:27:56.666715 IP (tos 0x8, ttl 121, id 19535, offset 0, flags [none], proto UDP (17), length 1020)
    5.34.x.x.50647 > WanAddress.9987: [udp sum ok] UDP, length 992

Собственно вопрос в том, что мне совсем неясно почему трафик не блочится.
« Last Edit: March 19, 2017, 05:37:59 pm by unKn0wn »

Offline PbIXTOP

  • Sr. Member
  • ****
  • Posts: 345
  • Karma: +41/-1
    • View Profile
Трафик в любом случае попадает вам в интерфейс.
Правилами файрвола вы просто прекращаете его дальнешее прохождение и обработку.

Online pigbrother

  • Hero Member
  • *****
  • Posts: 1841
  • Karma: +230/-2
    • View Profile
Трафик в любом случае попадает вам в интерфейс.
Правилами файрвола вы просто прекращаете его дальнешее прохождение и обработку.

Именно.
Вспоминаю давнюю историю времен когда трафик тарифицировался и был дорог- человек попал на крупную сумму за то, что его порт ддосили, а хитрый провайдер тупо считал приходяшие на порт пакеты.

Offline werter

  • Hero Member
  • *****
  • Posts: 5286
  • Karma: +255/-15
    • View Profile
Доброе.
Quote
то даже когда блочу конкретно его айпи всё равно к омне трафик идёт
Скрины всего,  что настроили - правил fw, pfblocker etc.

Offline unKn0wn

  • Jr. Member
  • **
  • Posts: 33
  • Karma: +4/-3
    • View Profile
Касаемо PFblockerNG настраивал: adblocker(через листы с одноименного расширения для браузеров) и
блокировку по европейскому региону.(всё один в один как по вашей ссылке)
Enable pfBlockerNG -стоит галочка
Enable DNSBL  -стоит галочка
Enable TLD  -стоит галочка
Выхлоп логов:
Quote
UPDATE PROCESS START [ 03/20/17 13:42:46 ]

===[  DNSBL Process  ]================================================

[ easyList ]       Reload . completed ..
  ----------------------------------------------------------------------
  Orig.    Unique     # Dups     # White    # Alexa    Final               
  ----------------------------------------------------------------------
  7582     7199       0          0          0          7199                 
  ----------------------------------------------------------------------

[ easyListPrivacy ]    Reload [ 03/20/17 13:42:48 ] . completed ..
  ----------------------------------------------------------------------
  Orig.    Unique     # Dups     # White    # Alexa    Final               
  ----------------------------------------------------------------------
  2808     2786       23         0          0          2763                 
  ----------------------------------------------------------------------

[ bitblockext ]       Reload . completed ..
  ----------------------------------------------------------------------
  Orig.    Unique     # Dups     # White    # Alexa    Final               
  ----------------------------------------------------------------------
  7582     7199       7199       0          0          0                   
  ----------------------------------------------------------------------

[ ad_servers ]       Reload [ 03/20/17 13:42:49 ] . completed ..
  ----------------------------------------------------------------------
  Orig.    Unique     # Dups     # White    # Alexa    Final               
  ----------------------------------------------------------------------
  48007    48004      1340       0          0          46664               
  ----------------------------------------------------------------------

[ yoyo ]       Reload [ 03/20/17 13:42:57 ] . completed ..
  ----------------------------------------------------------------------
  Orig.    Unique     # Dups     # White    # Alexa    Final               
  ----------------------------------------------------------------------
  2346     2346       1432       0          0          914                 
  ----------------------------------------------------------------------

[ adaway ]       Reload . completed ..
  ----------------------------------------------------------------------
  Orig.    Unique     # Dups     # White    # Alexa    Final               
  ----------------------------------------------------------------------
  409      409        282        0          0          127                 
  ----------------------------------------------------------------------

[ sysctl ]       Reload . completed ..
  ----------------------------------------------------------------------
  Orig.    Unique     # Dups     # White    # Alexa    Final               
  ----------------------------------------------------------------------
  21194    21194      6121       0          0          15073               
  ----------------------------------------------------------------------

[ spamhaus ]       Reload [ 03/20/17 13:43:01 ] . completed .
 No Domains Found

[ dshield ]       Reload . completed ..
  ----------------------------------------------------------------------
  Orig.    Unique     # Dups     # White    # Alexa    Final               
  ----------------------------------------------------------------------
  55       55         0          0          0          55                   
  ----------------------------------------------------------------------

------------------------------------------
Assembling database... completed
Executing TLD
TLD analysis. completed
Finalizing TLD...  completed
 ----------------------------------------
 Original    Matches    Removed    Final     
 ----------------------------------------
 72795       16168      39922      32873     
 -----------------------------------------
Validating database... completed [ 03/20/17 13:43:13 ]
Reloading Unbound.... completed
DNSBL update [ 32873 | PASSED  ]... completed [ 03/20/17 13:43:15 ]
------------------------------------------

===[  Continent Process  ]============================================

[ pfB_Europe_v4 ]    Changes found... Updating

[ pfB_Europe_v6 ]    Changes found... Updating


===[  IPv4 Process  ]=================================================


===[  IPv6 Process  ]=================================================


===[  Aliastables / Rules  ]==========================================

No changes to Firewall rules, skipping Filter Reload

 Updating: pfB_Europe_v4
no changes.
 Updating: pfB_Europe_v6
no changes.

===[ FINAL Processing ]=====================================

   [ Original IP count   ]  [ 29488 ]

===[ Permit List IP Counts ]=========================

   26844 total
   26842 /var/db/pfblockerng/permit/pfB_Europe_v4.txt
       2 /var/db/pfblockerng/permit/pfB_Europe_v6.txt

===[ DNSBL Domain/IP Counts ] ===================================

   32873 total
   13301 /var/db/pfblockerng/dnsbl/ad_servers.txt
    8721 /var/db/pfblockerng/dnsbl/sysctl.txt
    7160 /var/db/pfblockerng/dnsbl/easyList.txt
    2756 /var/db/pfblockerng/dnsbl/easyListPrivacy.txt
     875 /var/db/pfblockerng/dnsbl/yoyo.txt
      54 /var/db/pfblockerng/dnsbl/dshield.txt
       6 /var/db/pfblockerng/dnsbl/adaway.txt
       0 /var/db/pfblockerng/dnsbl/bitblockext.txt

====================[ Last Updated List Summary ]==============

Mar 18   23:49   pfB_Asia_v4
Mar 18   23:49   pfB_Asia_v6
Mar 20   13:43   pfB_Europe_v4
Mar 20   13:43   pfB_Europe_v6

IPv4 alias tables IP count
-----------------------------
26842

IPv6 alias tables IP count
-----------------------------
2

Alias table IP Counts
-----------------------------
   26844 total
   26842 /var/db/aliastables/pfB_Europe_v4.txt
       2 /var/db/aliastables/pfB_Europe_v6.txt

pfSense Table Stats
-------------------
table-entries hard limit  2000000
Table Usage Count         30628

 UPDATE PROCESS ENDED [ 03/20/17 13:43:17 ]

ПортФорвард и рулесы в скринах:





Offline werter

  • Hero Member
  • *****
  • Posts: 5286
  • Karma: +255/-15
    • View Profile
Необх. явно указывать dest - WAN addr (не WAN net)
И да, достаточно создать одно разреш. правило NAT, где в src будут разр. сети\страны. Все остальное будет блокрироваться автоматически.
Главное правило пф как fw - запрещено всё, что не разрешено явно.


P.s. Кстати, если TS3 - это Тимспик3, то рекомендую нааааамного более интересное open source решение для геймеров - https://discordapp.com/features
Как вариант еще - Rocket.chat (они родственники). Пользуем его как корп. чат.

Оч. вкусные продукты, к-ые не треб. отд. клиентов для PC - все работает через браузер. Прилагаются клиенты для моб платформ.
« Last Edit: March 20, 2017, 01:38:40 pm by werter »

Offline unKn0wn

  • Jr. Member
  • **
  • Posts: 33
  • Karma: +4/-3
    • View Profile
Понял, спасибо. РокетЧат тоже юзаем в корпоративных целях.

А, касаемо траффика -я так понимаю всё обстоит именно так как говорил PbIXTOP? Т.е. я не смогу заблочить его?

Online pigbrother

  • Hero Member
  • *****
  • Posts: 1841
  • Karma: +230/-2
    • View Profile
Понял, спасибо. РокетЧат тоже юзаем в корпоративных целях.

А, касаемо траффика -я так понимаю всё обстоит именно так как говорил PbIXTOP? Т.е. я не смогу заблочить его?

Вы его и так "блочите" - ведь дальше WAN пакеты не проходят, не так ли?
Побороть сам d(dos) средствами только файрволла нельзя. block вместо reject слегка снизит нагрузку, но входящий трафик это не отменит.
Многие ресурсы страдают от ddos, хотя в их распоряжении ресурсы хостеров, провайдеров, систем CDN\DDOS protection
 
« Last Edit: March 20, 2017, 02:15:33 pm by pigbrother »

Offline werter

  • Hero Member
  • *****
  • Posts: 5286
  • Karma: +255/-15
    • View Profile
А если исп. что-то типа black hole? Т.е. поднять у себя в сети ресурс на linux и форвардить с пф на него всё, что приходит на опред. порт.
http://bencane.com/2013/01/14/mitigating-dos-attacks-with-a-null-or-blackhole-route-on-linux/
https://www.cyberciti.biz/tips/how-do-i-drop-or-block-attackers-ip-with-null-routes.html
https://www.tummy.com/blogs/2006/07/27/the-difference-between-iptables-drop-and-null-routing/

Иcп. TARPIT в iptables (только с TCP ?):
http://ruunix.ru/597-tarpit-lovushka-v-iptables.html
https://blog.n1mda.ru/linux/hitposti-s-iptables.html

P.s. Как вариант - исп. OpenVPN и ходить на ваш сервер через туннель, а не откр. порты во вне явно.

P.p.s. Стоп. Что-то нашел :)

https://www.linux.org.ru/forum/admin/4074001

Quote
Во FreeBSD при выставлении net.inet.tcp.blackhole=2 и net.inet.udp.blackhole=1, на попытки подключиться к закрытым портам клиенту не отсылается RST (tcp) и ICMP port unreachable (udp)  http://www.freebsd.org/cgi/man.cgi?query=blackhole

И у пф есть такие переменные. Примеры конфигов :
https://forum.pfsense.org/index.php?topic=50256.0
https://forum.pfsense.org/index.php?topic=87571.15
https://www.facebook.com/pfsensevn/posts/1466066847056643

Не забывайте перезагрузить пф после добавления\изменения переменных!
« Last Edit: March 20, 2017, 03:00:59 pm by werter »