sysctl net.inet.icmp.icmplim

Zbyněk Burget zburget at burgnet.cz
Sun Apr 19 15:16:32 CEST 2015
Previous message: sysctl net.inet.icmp.icmplim
Next message: sysctl net.inet.icmp.icmplim
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]
Dne 19. 4. 2015 v 13:48 Dan Lukes napsal(a):
> On 04/19/15 13:22, Zbyněk Burget:
>>>> +Limiting icmp unreach response from 252 to 200 packets/sec
>>>> +Limiting icmp ping response from 211 to 200 packets/sec
>>>> +Limiting closed port RST response from 301 to 200 packets/sec
>> Nedokazu odhadnout, jak dalce neco takoveho zatezuje sit.
>
> Prave jsi to udelal. Evidentne ji to zatezuje natolik zanedbatelne, ze 
> te to nikdy nevyburcovalo ke zkoumani veci alespon natolik 
> povsechnemu, ze bys dopad dokazal odhadnout lip.

No jo, ale to, ze jsem se tim zatim nezabyval neznamena, ze to nejaky 
dopad treba i na vykon routeru mit nebude. Zatim jsem to prechazel s 
tim, ze to tak proste je, jen se mi to nelibi. Dnes jsem si rekl, ze se 
na to zkusim podivat, jen poradne nevim, jak realne zjistit, jestli to 
nejaky dopad muze mit. Proto jsem se nejdriv ptal, jestli to nekdo nejak 
resi (proto, ez to realne vliv na vykon/propustnost ma/muze mit/ma 
obcas/utocnik pozna, ze timhle smerem neco pokazi) a nebo to nikdo 
neresi, protoze je to zanedbatelna cast provozu, resp. snaha o likvidaci 
takoveho provozu by byla nakladnejsi, nez reseni mozne vznikle skody.

>> Jsem rad, ze se dozvim, ze se deje neco neobvykleho. Jenze to, co se
>> deje, se bojim, ze neobvykle neni :-( Takze by asi bylo nejjednodussi
>> proste tu hlasku vypnout (zajistuje jine sysctl). Na druhou stranu bych
>> se rad dozvedel, kdyby se nekdo snazil o nejaky DoS utok, kdyby mi
>> konkurence skenovala porty (bohuzel dva lidi v mem okoli jsou toho
>> schopni) apod.
>
> Ty dve vety si proste protireci. Az se pro jednu rozhodnes, zarid se 
> podle toho ;-)

No prave - a ted, jestli to dilema resit a nebo prijmout stavajici stav, 
jako fakt a neresit...

>> kdyz se divam na vnejsi iface, vidim, ze (prakticky) vse jde z 
>> venkovni verejne
>
> Coz neni az takovy prekvapeni, tak to, s vyjimkou situace, kdy je 
> ovnitr site jeden nebo vice zavirovanych stroju, obvykle byva.

Jj, jasne - ja to myslel tak, ze diky NATu nepoznam, jestli jde o provoz 
z vnitrni site nebo ode mne samotneho.
Pri kontrole vnitrniho provozu ale vidim, ze RST / ICMP unreach packetu 
putuje obousmerne pomerne vysoke mnozstvi. Tedy odpovidaji takto klienti 
na vnitrni siti na pozadavky zvenci = pozadavek prosel NATem a rovnez 
prichazeji takto odpovedi zvenci na pozadavky mych klientu.
Moje otazka se tedy ted otaci smerem, jak dalece regulerni je tento 
provoz. Tedy vim, ze regulerni je, ale jak bezny by mel byt. TCP RST je 
prece "nasilne" ukonceni spojeni, ktere by se asi bezne dit nemelo. TCP 
spojeni by melo spravneji koncit FIN packetem, ne? Dival jsem se, ze 
tyhle RST packety jsou nejcastejsi z/na nejaky facebookovy server (ten 
facebook je opravdu mor). Tech RST packetu je ale nejak moc. Takze bud 
jsem presne nepochopil jejich uplny vyznam nebo nechapu, co se u celkem 
dost vysokeho poctu klientu deje.

>> Kdyz se divam na vnitrni iface, tak tam zase samozrejme nevidim utoky
>> zvenci. Bohuzel asi jednoduse nejde nastavit tcpdump tak, abych videl
>> pouze provoz, ktery je urcen pro muj router a nejedna se o provoz, ktery
>> projde NAtem :-(
>
> NATem projde vsechno, co do nej 'divert' pravidlo firewallu zazene. CO 
> se tyce prichoziho provozu, tak obvykle uplne vsechno ...

Ja do natu nestrkam jen provoz pro verejne adresy. Jinak tam jde opravdu 
vsechno.

> Takze muj predpoklad byl spravny a tenhle provoz o nejake vyssi
>> frekvenci bude prakticky jiste neco, co by v siti byt nemelo - tedy pro
>> pripad, ze je to provoz generovany routerem
>
> Nejsem si jisty, jestli si rozumime - ty pakety jsou generovane 
> routerem, ale jsou odpovedi na prichozi paket, ktery routerem 
> generovany neni.

Podstata, jak to funguje, je mi známa :-) Jen nektere podrobnosti mi 
obcas unikaji, resp. mi trva dyl, nez si je uvedomim. V sitarine jsem 
samouk, i kdyz nejakych 15 let celkem a 11 let vlastni site uz nejake ty 
vedomosti prineslo :-)

> A s ohledem na NAT to v nekterych pripadech muze byt odpoved na paket, 
> ktery prisel v souvislosti s drivejsi komunikaci smerovane na nejaky 
> vnitrni stroj - kterazto session uz ale davno zanikla. NAT uz o ni 
> nevi, nevi tedy kam "dovnitr" paket poslat, necha ho tedy nezmemeny, 
> takze paket dostane ke zpracovani jadro routeru - a to ho zamitne jako 
> paket neexistujici session.

Jo - a tohle je presne to, co mi v prvnim okamziku nedocvaklo. Vypada 
to, ze drtiva vetsina tech ICMP unreach je odpoved na nejaky UDP provoz, 
ktery uz neni v NATu a proto na nej odpovi kernel (a nebo se opravdu 
jedna o nejaky utok) a nebo v NATu je, ale uz na nej neodpovida klient 
uvnitr site a pak ty ICMP posila az klient. Bohuzel jsem se v nekolik 
apripadech, kdy jsem to prohlizel, setkal s tim, ze prichazely packety, 
odchazely ICMP unreach a zdroj packetu to evidentne nezajimalo a provoz 
posilal stale dal. V pripade vyse zmineneho facebookoveho serveru to 
bylo dokonce tak, ze od facebooku prisel TCP (https) packet, za 3sec. 
(neni to moc pozde?) klient odeslal ICMP unreach odpoved a facebook za 
dalsich cca 10 sec. poslal dalsi podobny (nebo stejny, obsah jsem 
nezkoumal) TCP (https) packet a opet dostal unreach odpoved. A tohle 
trvalo nekolik minut. Kdyz tech lidi u mne na siti na facebooku sedi 
soucasne 200, tak verim tomu, ze uz to dokaze vygenerovat provoz, ktery 
jsem povazoval za neobvykly.

>> Pokud bych dokazal zjistit IP adresy takovych utocicich stroju, asi 
>> bych je rovnou
>> zarizl na firewallu.
>
> Seznam se pomerne casto meni, v pripade UDP mohou byt zdrojove adresy 
> bez problemu padelane, takze si brzo zablokujes i uzitecny stroje, 
> fireall ti nakonec nabobtna tak, ze ti bude zpomalovat beznou 
> komunikaci ...

Delal jsem to tak, ze se utocici stroje davaly do IPFW tabulky, ktera je 
na firewallu zariznuta a z tabulky se po cca mesici mazou. Takovy seznam 
mel drive kolem 250 polozek, nedavno jich tam bylo kolem 2000 a dnes se 
opet smrskl na 500. Kdyz jich bylo 2000, tak jsem pravidlo z firewallu 
odstranil, aby to pripadne nezpomalovalo, ted nedavno jsem ho tam vratil 
zpet. Zda se, ze to na provoz zadny zasadni vliv nema. Ale tohle jeste 
musim dukladne proverit.

> To se muzes rovnou od site uplne odpojit. Podobny vysledek, min prace. 
> ;-)

Mas recht! Porad rikam, ze se na to vykaslu - cesky lidi jsou vecne 
nespokojeny uz z principu, porad se neco kazi, porad to chce investice, 
porad se ucit neco noveho... Furt si rikam, jak jednoduchy zivot maji 
treba zemedelci nebo popelari - makaj na cerstvym vzduchu, nenici si oci 
u monitoru, nekrivi si zada sezenim... ;-)


Zbyněk Burget
Mlýnská 397
798 26 Nezamyslice

tel: 588 580 000, 739 930 931
http://www.burgnet.cz
IČ:  606 88 220; DIČ: CZ7210184674
Previous message: sysctl net.inet.icmp.icmplim
Next message: sysctl net.inet.icmp.icmplim
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]
More information about the Users-l mailing list