SYN FLOOD PROTECT mi zabila celu siet...

rado3105

Na sieti sa mi vyskytol zaujimavy problem. Dlhe roky firewall nerobil ziadny problem. Ale asi den internet siel velmi pomaly, ping do netu okolo 1000ms (mal byt okolo 5ms). Problem s uploadom - max. 1mbit/s. Down rozne...ale pomaly nacitavalo stranky a vsetko mozne. CPU nebolo na 100%. Cez torch som zistil nejake IP z bogon rozsahov, ktore sa tvarili ako lokalne ale neboli - dal som ich dropovat nepomohlo.

Pomohlo az vypnutie tychto troch pravidiel, ktore chrania pred utokom flood. Teraz ma trapi, ci vlastne neprebiehal utok a tieto pravidla to neubranili a defakto to este viac zhorsili, kedze po ich vypnuti to ide dobre. Co si myslite?

/ip firewall filter add chain=forward protocol=tcp tcp-flags=syn connection-state=new \

action=jump jump-target=SYN-Protect comment="SYN Flood protect" disabled=yes

/ip firewall filter add chain=SYN-Protect protocol=tcp tcp-flags=syn limit=400,5 connection-state=new \

action=accept comment="" disabled=no

/ip firewall filter add chain=SYN-Protect protocol=tcp tcp-flags=syn connection-state=new \

action=drop comment="" disabled=no

http://wiki.mikrotik.com/wiki/DoS_attack_protection

ludvik

Jak ti ten paket jednou přijde, je tvůj a nic s tím nenaděláš :-)

rado3105

uz sa vam stalo nieco podobne? ako sa voci tomu branit?

ludvik

Nevím. Pokud nemáš infrastrukturu takovou, aby to zvládla i bez toho, tak si prostě moc nepomůžeš. Leda prosit dodavatele o pomoc, aby to sekl někde u sebe.

Jaké bogon rozsahy? Ony už vlastně žádné nejsou ...

Osobně si ale nejsem moc jistý, zda má smysl ten synflood vůbec na úrovni celé sítě řešit. Špatně se hledá právě ta hranice, co je dobře a co už špatně. Já spíš limituji konexe obecně každé (vnitřní) IP adrese. A to ještě spíš tam, kde to opravdu vadí - tedy wifinách. Také to není úplně ideální řešení, alespoň to ovšem nesekne (většinou) celou síť naráz.

A může být lepší to rejectnout s tcp-reset. Alespoň ti to pak neotravuje v conntrack tabulce. Dle symptomů to vypadá, že zrovna to mohl být tvůj problém.

A s podivem víc problémů tohoto rázu jsme měli zevnitř, než z internetu :-)

rado3105

skusal som DST pridavat do adresslistu, zmenou posledneho pravidla DROP za toto:

chain=SYN-Protect action=add-dst-to-address-list tcp-flags=syn

connection-state=new protocol=tcp address-list=TCP-SYN-PROTECT

address-list-timeout=1d

len to mi tam hadze desiatky IP z vonku...zeby z tolkych prebiehal pokus o utok? alebo sa jedna o falosne pozitivne?

hol

Jak ti ten paket jednou přijde, je tvůj a nic s tím nenaděláš :-)

Mohl bych poprosit o.podrobnosti? Jak to funguje, jak to diagnostikovat? Diky moc.

ludvik

Bohužel to funguje tak, že se musíš naučit všechno, co se sítí týká. Návod ve formě kuchařky neexistuje.

Případně si koupíš krabičku typu Allot nebo reporterů od Invea za šílené peníze a doufáš, že ti to v těch grafech někde řeknou.

rado3105

neriesil nikdy nikto podobny problem?

ludvik

Ukládáš si DST, tedy destination ... pokud je to útok z venku, tak do adress-listu ukládáš VNITŘNÍ adresy. A pokud tam jsou VNĚJŠÍ adresy, tak je to "útok" zevnitř ven.

skusal som DST pridavat do adresslistu, zmenou posledneho pravidla DROP za toto:

chain=SYN-Protect action=add-dst-to-address-list tcp-flags=syn

connection-state=new protocol=tcp address-list=TCP-SYN-PROTECT

address-list-timeout=1d

len to mi tam hadze desiatky IP z vonku...zeby z tolkych prebiehal pokus o utok? alebo sa jedna o falosne pozitivne?

rado3105

ved ano...zle som sa vyjadril ked dam pridavanie do adreslistu dst ci src...ide to obojstranne...a obrovske mnozstvo ip....

ked dam src to adress list - hadze mi tam ip lokalnej siete...a semtam aj nieco zvonku...

je to cele nejake zvlastne ... nemyslim ze by z tolkych ip prebiehal utok...resp. neviem ako zistit z ktorych ip zistenych tymto pravidlom ide a nejde utok....

rado3105

zacal som blokovat niektore rozsahy co nepouzivam lokalne...a ked to dam lovovat...tak napr. nepouzivajuca ip lokalne: 192.168.1.9..robi spojenia na web....pise pri nich: proto tcp (ack,fin), alebo pri dalsich spojeniach (ack, rst), (ack,fin, psh)....zistit povod odkial to ide sa mi nedari....pravdepodobne to budu packety s prepisanymi hlavickami z nejakeho stroja na internete...a ten asi meni pakety a dava tam rozne lokalne ip adresy a rozne verejne.....a router chce poslat odpoved na ne...ale kedze to nie su skutocne ip utocnika...tak sa to vytazuje branu....

nevyzna sa niekto do tychto veci ze by mi to pozrel? aj by som mu zaplatil...

pepulis

zacal som blokovat niektore rozsahy co nepouzivam lokalne...a ked to dam lovovat...tak napr. nepouzivajuca ip lokalne: 192.168.1.9..robi spojenia na web....pise pri nich: proto tcp (ack,fin), alebo pri dalsich spojeniach (ack, rst), (ack,fin, psh)....zistit povod odkial to ide sa mi nedari....pravdepodobne to budu packety s prepisanymi hlavickami z nejakeho stroja na internete...a ten asi meni pakety a dava tam rozne lokalne ip adresy a rozne verejne.....a router chce poslat odpoved na ne...ale kedze to nie su skutocne ip utocnika...tak sa to vytazuje branu....

nevyzna sa niekto do tychto veci ze by mi to pozrel? aj by som mu zaplatil...

A nemuze to byt rozsah z tve site, tj. od klienta. Mikrotik bezne propousti vnitrni IP, i kdyz je na MK aktivovany NAT (maskarada). Bezne mi na sektoru, kde povoluju jen IP WAN rozhrani klientova SXT, naskakuji jako nepovolene IP jejich domaci adresy z DHCP serveru, ktery je nastaveny na tom danem SXT.

rado3105

zacal som blokovat niektore rozsahy co nepouzivam lokalne...a ked to dam lovovat...tak napr. nepouzivajuca ip lokalne: 192.168.1.9..robi spojenia na web....pise pri nich: proto tcp (ack,fin), alebo pri dalsich spojeniach (ack, rst), (ack,fin, psh)....zistit povod odkial to ide sa mi nedari....pravdepodobne to budu packety s prepisanymi hlavickami z nejakeho stroja na internete...a ten asi meni pakety a dava tam rozne lokalne ip adresy a rozne verejne.....a router chce poslat odpoved na ne...ale kedze to nie su skutocne ip utocnika...tak sa to vytazuje branu....

nevyzna sa niekto do tychto veci ze by mi to pozrel? aj by som mu zaplatil...

ak to tak funguje tak by to mohlo byt...neviem ake rozsahy maju klienti....ale nemalo by to robit? cize zacal som vsetky rozsahy okrem tych ktore pouzivam blokovat. NAT robim tak, ze rozsah mikrotikov, ubnt ktore su pripojene cez wlan do mojej siete su natovane v hlavnej brane cez masqueradu a dalsi NAT robi klientske ubnt alebo mikrotik. Cize to ide cez dva NATy a to by nemalo prechadzat?