IPTables Connection limit - Netwerken

zondag 13 oktober 2013 22:12

Acties:

Topicstarter

Ik zit met een DDoS probleem op dit moment wordt mijn server al dagen aangevallen. Ik begrijp eigenlijk niet goed waarom maar dat doet er even niet toe. Ik heb een service draaien op port 6969 en wat er gebeurd is vanaf een aantal ip's er enorm veel requests worden gedaan waardoor de server op 100% cpu komt te staan.

Wat ik op dit moment doe is wireshark starten en sniffen en daarna de ip's aan een blocklijst toevoegen maar dit is behoorlijk veel werk zeker aangezien het telkens andere bots zijn.

Mijn iptables atm

iptables -F
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -s 218.212.20.225 -j DROP
iptables -A INPUT -s 218.212.210.13 -j DROP
iptables -A INPUT -s 218.212.59.18 -j DROP
iptables -A INPUT -s 222.164.195.18 -j DROP
iptables -A INPUT -s 222.164.66.5 -j DROP
iptables -A INPUT -s 222.164.199.223 -j DROP
iptables -A INPUT -s 46.117.84.11 -j DROP
iptables -A INPUT -s 46.117.145.194 -j DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT

iptables -A INPUT -p tcp --dport 6969 -m connlimit --connlimit-above 3 -j DROP
iptables -A INPUT -p udp --dport 6969 -m connlimit --connlimit-above 3 -j DROP
iptables -A INPUT -p tcp --dport 6969 -j ACCEPT
iptables -A INPUT -p udp --dport 6969 -j ACCEPT

iptables -A INPUT -p icmp
iptables -X

helaas zijn andere opties om het verkeer tegen te houden niet mogelijk. Snort vraagt te veel cpu en Geoblocking is niet van toepassing aangezien de service wereldwijd beschikbaar moet zijn. Dus iptables is mijn enige redmiddel. Zoals je kan zien probeer ik een max connections het verkeer tegen te houden. Maar dit werkt niet, kan iemand mij vertellen wat ik fout doe?

Ik heb een pcap van het verkeer beschikbaar als je interesse hebt kan ik je die sturen.

[ Voor 10% gewijzigd door eddie4nl op 13-10-2013 22:16 ]

zondag 13 oktober 2013 22:48

Acties:

Verwijderd

code:

1 2	iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A INPUT -p tcp --dport 6969 -m connlimit --connlimit-above 3 -j DROP

Kijk eens naar de volgorde van deze regels, en bedenk dan of dit gaat werken of niet. Ik heb zo'n flauw vermoeden dat de connlimit regels nooit bereikt worden. Verander de volgorde eens.

Overigens helpt dit je niet tegen syn floods.

maandag 14 oktober 2013 09:16

Acties:

fast-server

Als je de volgorde goed hebt staan zou je ook nog zoiets als:

# Limit the number of incoming tcp connections
# Interface 0 incoming syn-flood protection
iptables -N syn_flood
iptables -A INPUT -p tcp --syn -j syn_flood
iptables -A syn_flood -m limit --limit 1/s --limit-burst 3 -j RETURN
iptables -A syn_flood -j DROP
#Limiting the incoming icmp ping request:
iptables -A INPUT -p icmp -m limit --limit 1/s --limit-burst 1 -j ACCEPT
iptables -A INPUT -p icmp -m limit --limit 1/s --limit-burst 1 -j LOG --log-prefix PING-DROP:
iptables -A INPUT -p icmp -j DROP
iptables -A OUTPUT -p icmp -j ACCEPT

Kunnen toevoegen.

PV Output SolarEdge SE5000H, 12x Jinko JKM390N-6RL3 Tiger> 4,68 kWp, Helling 42°, Oriëntatie 196° (ZZW)

maandag 14 oktober 2013 11:04

Acties:

Raven

Marion Raven fan

Misschien offtopic, maar kun je dergelijke oplossingen ook bij ip6tables gebruiken? Ik weet dat iptables en ip6tables veel dezelfde opties hebben, maar ook een aantal die niet hetzelfde zijn... Google leverde iemand op die zoiets probeerde maar het niet werkend kreeg, verder niet veel gevonden.

[ Voor 58% gewijzigd door Raven op 14-10-2013 11:13 ]

After the first glass you see things as you wish they were. After the second you see things as they are not. Finally you see things as they really are, and that is the most horrible thing in the world...

Oscar Wilde

maandag 14 oktober 2013 20:30

Acties:

eddie4nl

Topicstarter

Afbeeldingslocatie: http://www.eddie4.nl/mrtgProxy.png

tja 600 000 packets/s

Ik heb nog wat syn flood rules toegevoegd aan iptables maar ik denk niet dat ik op kan tegen dit geweld.

iptables -A INPUT -p tcp -m state --state NEW -m recent --update --seconds 60 --hitcount 20 -j DROP
iptables -A INPUT -p tcp -m state --state NEW -m recent --set -j ACCEPT

[ Voor 34% gewijzigd door eddie4nl op 14-10-2013 20:32 ]

maandag 14 oktober 2013 23:13

Acties:

Kabouterplop01

chown -R me base:all

Ik zou in iedergeval na je DDoS even die Abuse afdelingen aanschrijven en je provider laten helpen, zij betalen immers voor de bandbreedte die verstookt wordt!

dinsdag 15 oktober 2013 17:46

Acties:

CAPSLOCK2000

zie teletekst pagina 888

Raven schreef op maandag 14 oktober 2013 @ 11:04:
Misschien offtopic, maar kun je dergelijke oplossingen ook bij ip6tables gebruiken? Ik weet dat iptables en ip6tables veel dezelfde opties hebben, maar ook een aantal die niet hetzelfde zijn... Google leverde iemand op die zoiets probeerde maar het niet werkend kreeg, verder niet veel gevonden.

Ja, dat kan. ip6tables kan in principe alles wat iptables kan. Nog niet alle modules zijn beschikbaar maar het worden er steeds meer. De meeste basismodules zijn volledig functioneel.

This post is warranted for the full amount you paid me for it.

dinsdag 15 oktober 2013 17:57

Acties:

_trickster_

Is het mischien mogelijk om bijvoorbeeld, Config Firewall Server te draaien ?
Deze is in mijn ervaring redelijk simpel, maar toch uitgebreid te configureren voor het automatisch blacklisten van IP adressen,

Natuurlijk is dit een tijdelijke oplossing.