P_A 0 Zgłoś post Napisano Czerwiec 22, 2010 chcialbym poruszyc temat, ktory ostatni czasy mocno mnie zastanawia, mianowicie co właściwie się dzieje w momencie gdy w serwer uderza pakiet UDP lub też TCP? generalnie kilka dni temu mialem przyjemnosc na wlasnej skorze w OVH walczyc z UDP Floodem i co mnie zaskoczylo - pomimo tego, iz OVH oferuje 1gbitowe lacze dla serwera a sam atak nie przekraczal 300mbps i byl wyciety w pien na firewallu - maszyna i tak utracila swoja stabilnosc, zalogowanie sie do shella stanowilo cud i ogolnie jedna wielka kaszanka pomyslalem cos jest nie tak.. OVH co prawda limituje polaczenia tranzytowe do 100mbitow (w serii Business spodziewam sie ze reszta jest podobnie limitowana jednak nie doszukalem sie informacji) jednak ja lacze sie ze swoim serwerem wykorzystujac nielimitowany w OVH punkt wymiany ruchu PLIX (http://www.ovh.pl/jednostki/zastosowanie/rozbudowane_projekty.xml?gm=pop) - co oznacza ze limitem 100mbitow nie jestem objety pierwszy moj strzal - co moze powodowac niedostepnosc systemu - w jakis magiczny sposob IPTables sie "przeciazyl"? Pomyslalem ze skoro bombardowany jestem milionami pakietow UDP a firewall odrzuca je wykorzystujac moduł "recent" czy tez modul mlimit ktore gdzies w pamieci musza trzymac informacje o odebranych pakietach to byc moze one sa sprawca problemu. Dodalem tuz na poczatku lancucha INPUT regulki blokujace trzy dzialajace mi na nerwach adresy IP i niczym James Bond usmiechnalem sie pod nosem myslac ze to koniec problemow. Bzdura. Maszyna dalej sie dlawila i praktycznie nie odpowiadała. Tutaj pomocny okazal sie abuse ktory o dziwo zareagowal bardzo szybko. Udalo sie zablokowac dwie maszyny (z trzech) w przeciagu godziny. Atak odparty - niedosyt z braku wiedzy pozostal Doszedlem do konkluzji, ze skoro juz wczesniej serwer floodowany byl przepustowoscia rzedu 900mbit a tym razem zadlawil sie przy 250mbitach (co oznacza ze dalej mialem kilkaset mbitow w zanadrzu) problem nie polega na braku dostepnej przepustowosci tylko na przepelnieniu byc moze jakiegos modulu ktory odpowiada za przyjmowanie pakietow w systemie. Stad moje pytanie dla osob bardziej interesujacych sie tematyka bezpieczenstwa i samymi serwerami linuxowymi.. Jak to wyglada w praktyce? Jakie moduly/czesci jadra wykorzystywane sa w momencie odbierania pakietu przez serwer i ktore sa newralgiczne dla odbioru pakietow? Czy jest mozliwe ze w jakis magiczny sposob przepelnila sie tablica ip_conntrack pomimo tego, iz mam ustawiony limit wpisow na 65k a w momencie ataku tablica dochodzila do maksymalnie 400-500 wpisow (nie otrzymywalem zadnych informacji o dropowaniu pakietów). Oraz pytanie dla osób majacych do czynienia z bardzo wysokimi trafficami. Czy piszac regulki do firewalla staracie sie unikac wlasnie modulow recent/mlimit szczegolnie dopasowujacych spore klasy adresowe za jednym zamachem? z gory wielkie dzieki za jakiekolwiek informacje - nakierowanie na zrodlo Udostępnij ten post Link to postu Udostępnij na innych stronach
sysunit 0 Zgłoś post Napisano Czerwiec 22, 2010 Tutaj sie liczy raczej ilosc pakietow na sekunde. I to, ze na firewallu odrzucisz takie czy inne polaczenia nic nie da. Pakiet i tak dojdzie i serwer wysle odpowiedz czy to rst czy inna. Procesor najnormalniej w swiecie nie wyrabia (wraz z karta siecowa). http://tools.ietf.org/html/rfc4732 Udostępnij ten post Link to postu Udostępnij na innych stronach
behemoth 230 Zgłoś post Napisano Czerwiec 23, 2010 Może to rozwiązanie połowiczne, ale można spróbować dać najniższy priorytet rzeczom odpowiedzialnym za odrzucanie pakietów - iptables itp. Udostępnij ten post Link to postu Udostępnij na innych stronach
