PF ve FBSD blokovani na zaklade pocitani

[Zbyněk Burget]

Dne 14. 5. 2014 20:03, Radek Krejča napsal(a):

> mam posledni dobou problem, ze mi utoci na me dns servery. Pouzivam jako firewall pf, ale potreboval bych, zda lze v nem udelat pravidlo, ktery zni nasledovne:
>
> pokud je pocet paketu odpovidajici pravidlu za urcitou dobu roven urcitemu poctu, potom block

Jo, tohle jsem resil pred nedavnou dobou - jeden z mikrotiku u klienta 
byl navic nakonfigurovany tak blbe, ze na ty dotazy byl ochoten 
odpovidat. Jak jsem na to prisel, okamzite jsem to na firewallu 
zablokoval, ale i tak ty dotazy stale chodi, uz asi mesic a nevypada to, 
ze by nekdo ten utok chtel odvolat :-(

>
> Nejakou dobu nazad jsem videl v linuxu neco takoveho, tusim, ze to byl modul recent, nebo tak nejak.

Ke sve plne spokojenosti proti utokum na ssh a ftp spolecne s IPFW 
pouzivam utilitku bruteblock - z IPFW si nechavam logovat "zavadne" 
packety a syslog je cpe do bruteblocku a pokud za urcity casovy interval 
prijde urcite mnozstvi zavadnych packetu, prida zaznam do IPFW tabulky. 
jak je to u PF, netusim.

Ale ohledne DNS te nepotesim. Zjistil jsem, ze tyhle utoky na DNS jsou 
dvojiho typu. Prvni varianta je, to, co popisujes, ze chodi kvanta 
dotazu z ruznych IP. Pruser je, ze se ty IP neopakuji v rozumnem case, 
aby se to dalo odchytit. A druha varianta je, ze prijde hromada doztazu 
z jedne IP - tohle se da odchytit velice snadno. Ale...

Nastavil jsem si bruteblock, IPFW tabulka se hezky zacala plnit 
zablokovanymi IP (odchycenymi z druhe varianty utoku) a pak to zacalo... 
Zakaznici se zacali hlasit, ze: nefunguje prihlaseni do banky... 
nefunguje facebook... nefunguje objednani dovolene... nefunguje...

Pricemz mi docvaklo (a stydim se, ze jsem si to neuvedomil hned na 
zacatku), ze se jedna o UDP provoz = utocnik posle dotaz s podvrzenou IP 
adresou - takze klidne muze utocit jeden jediny stroj a vygeneruje 
tisice jedinecnych IP adres. Takze jsem zase pro tenhle ucel rychle 
bruteblock odstavil a tise trpim pri koukani na countery zablokovanych 
packetu. A je jasne, ze tady nema smysl ani ten UDP provoz ukoncovat 
"slusne" vracenim nejakeho ICMP.

Pokud nekdo z vas najde ucinne reseni, tak prosim dejte vedet. Jsem 
schopen na firewallu takovy provoz zahazovat, ale nejsem schopen se ho 
ucinne zbavit.


Zbyněk Burget
Mlýnská 397
798 26 Nezamyslice

tel: 588 580 000, 739 930 931
http://www.burgnet.cz
IČ:  606 88 220; DIČ: CZ7210184674