sysctl net.inet.icmp.icmplim

[Zbyněk Burget]

Dne 19. 4. 2015 v 12:50 Dan Lukes napsal(a):
> On 04/19/15 11:57, Zbyněk Burget:
>> +Limiting icmp unreach response from 252 to 200 packets/sec
>> +Limiting icmp ping response from 211 to 200 packets/sec
>> +Limiting closed port RST response from 301 to 200 packets/sec
>
>
> Jde ti spis o to limitovani, tedy o zatizeni site a 
> ja-nevim-ceho-jeste-dalsiho ? Pak to zrejme nechas nizko, klidne na 
> tom defaultu nebo jeste niz.

Nedokazu odhadnout, jak dalce neco takoveho zatezuje sit. Pokud se jedna 
o utok, bylo by nejlepsi, kdyby ten stroj neodpovidal vubec. Jenze pro 
bezny provoz je zase dobre, kdyz RST nebo unreach posle. Vzhledem k 
tomu, ze na tom stroji nebezi zadna sluzba, ktera by byla nejak 
extremnej zatizena, myslim si, ze by mel stacit limit i jen treba 
20/sec. Ten pocitac je z 99% router a s tim se prece nema kdo co bavit.

> Nebo jde spis o tu hlasku na konzoli a tedy pozorneni, ze se deje 
> "neco neobvykleho" ? Pak to, zrejme, budes nastavovat spis tak, aby to 
> za bezneho provozu zadny hlasky nepsalo a to muze znamenat. ze 
> nekde/nekdy to dost mozna budes mit nastavene (i o dost) vys.
>

Jsem rad, ze se dozvim, ze se deje neco neobvykleho. Jenze to, co se 
deje, se bojim, ze neobvykle neni :-( Takze by asi bylo nejjednodussi 
proste tu hlasku vypnout (zajistuje jine sysctl). Na druhou stranu bych 
se rad dozvedel, kdyby se nekdo snazil o nejaky DoS utok, kdyby mi 
konkurence skenovala porty (bohuzel dva lidi v mem okoli jsou toho 
schopni) apod.


> Musel byses bliz podivat na to co ty ICMP/RST vyvolava abysis moh' 
> udelat nejakej nazor na aktualni pricinu.

Nad tim prave premyslim, jak ten provoz zanalyzovat. Je to router s 
NATem. Takze kdyz se divam na vnejsi iface, vidim, ze (prakticky) vse 
jde z venkovni verejne (mimo to, co jde z verejnych z vnitrni site). 
Kdyz se divam na vnitrni iface, tak tam zase samozrejme nevidim utoky 
zvenci. Bohuzel asi jednoduse nejde nastavit tcpdump tak, abych videl 
pouze provoz, ktery je urcen pro muj router a nejedna se o provoz, ktery 
projde NAtem :-(
Pokud ma nekdo napad, jak odfiltrovat z vnejsiho provozu tu cast, ktera 
za NATem pokracuje dal, budu vdecny.

>
>> Předpokládal jsem,  že ta sysctl má vliv jen na packety, které 
>> generuje kernel
>
> Pokud vim, tak ano.
>
> 'closed RST response' nastava jedine v ramci tcp_input, tedy v reakci 
> na prichozi TCP komunikaci zpracovavanou kernelem
>
> 'icmp unreach/ping response' je totez, ale pro UDP respektive ICMP ECHO

Takze muj predpoklad byl spravny a tenhle provoz o nejake vyssi 
frekvenci bude prakticky jiste neco, co by v siti byt nemelo - tedy pro 
pripad, ze je to provoz generovany routerem, ktery neposkytuje zadne 
(dramaticky vyuzivane) verejne sluzby.
>
>> Takhle to ale na mě dělá dojem, že to limituje i packety, které skrz 
>> router prochází z
>> vnitřní sítě.
>
> Nenaznacil's co tvuj dojem vyvolava, takze tezko ti to rozmlouvat ;-)

Muj dojem vyvolala frekvence tech RST / unreach packetu (ICMP echo 
nepocitam, protoze to je ve vyssi frekvenci prakticky vzdy neco, co by 
tam byt nemelo).
Necekal jsem, ze je to az tak trvaly a tak vyrazny jev. Pokud bych 
dokazal zjistit IP adresy takovych utocicich stroju, asi bych je rovnou 
zarizl na firewallu. Nevim, jak dalece to ma realyn efekt, vychazim z 
toho, ze pokud moje IP nebude odpovidat, muze se zajem o muj router ze 
strany nejakych botnetu pripadne i snizit. Minimalne ale nebudu svuj 
stroj zatezovat odesilanim neceho, co neni potreba.

Zbynek