proste ataki DoS - router 1941
proste ataki DoS - router 1941
dzien dobry
Panowie, czy mozecie mnie nakierowac w jaki sposob (na poziomie routera 1941, a moze postawic jakis oddzielny server ?)
mozna bronic sie przed prostymi atakami DoS ?
teraz co napisze nizej pewnie nie bedzie challangem dla Was, zatem tym bardziej licze ze latwo wskazecie mi rozwiazanie
mam wystawiony port TCP i UDP 25565 (Minecraft) i mlodociani cyberprzestepcy (srednia wieku 13 lat) uzywaja tej strony: https://freeboot.to/booter/stress.php (metoda: "Dominate")
w jaki sposob majac zainstalowany IOS w wersji "securityk9" mozna bronic sie przed takimi atakami ?
zadaje sobie sprawe, ze DoS to temat-rzeka i niedlugo ktos dostanie Nobla za skutecznie przeciwdzialanie, jednak chcialbym abyscie mi podpowiedzieli jaki mechanizm w IOS mozna uzyc ?
Panowie, czy mozecie mnie nakierowac w jaki sposob (na poziomie routera 1941, a moze postawic jakis oddzielny server ?)
mozna bronic sie przed prostymi atakami DoS ?
teraz co napisze nizej pewnie nie bedzie challangem dla Was, zatem tym bardziej licze ze latwo wskazecie mi rozwiazanie
mam wystawiony port TCP i UDP 25565 (Minecraft) i mlodociani cyberprzestepcy (srednia wieku 13 lat) uzywaja tej strony: https://freeboot.to/booter/stress.php (metoda: "Dominate")
w jaki sposob majac zainstalowany IOS w wersji "securityk9" mozna bronic sie przed takimi atakami ?
zadaje sobie sprawe, ze DoS to temat-rzeka i niedlugo ktos dostanie Nobla za skutecznie przeciwdzialanie, jednak chcialbym abyscie mi podpowiedzieli jaki mechanizm w IOS mozna uzyc ?
Re: proste ataki DoS - router 1941
Wiem że to niepopularne na tym forum ale sugeruję wymienić tego 'paździerza' na coś taniego co potrafi obsługiwać / budować dynamic list z przychodzącego ruchu i to po prostu dropować. Na tym modelu tego nie uzyskasz , oczywiście możesz sobie postawić jakiś open source IDS / IPS (np. pakiet Security Onion) i przekierować na niego ruch ale chyba szkoda na to zachodu.
Re: proste ataki DoS - router 1941
Wstawianie IPSa przed wolumetryczny DDoS to wspaniały pomysł RiFF. Polecam serdecznie, ale jak najdalej od sieci z których miałbym korzystać ;)RiFF pisze: ↑04 paź 2019, 12:35 Wiem że to niepopularne na tym forum ;) ale sugeruję wymienić tego 'paździerza' na coś taniego co potrafi obsługiwać / budować dynamic list z przychodzącego ruchu i to po prostu dropować. Na tym modelu tego nie uzyskasz , oczywiście możesz sobie postawić jakiś open source IDS / IPS (np. pakiet Security Onion) i przekierować na niego ruch ale chyba szkoda na to zachodu.
Re: proste ataki DoS - router 1941
Przed atakiem wolumetrycznym się nie obronisz na żadnym urządzeniu. Potrzebujesz pomocy ze strony operatora który dostarcza Ci łącze (bo zakładam, że nie masz serwera i routera w jakiejś kolokacji? wtedy to dostawca kolokacji być może ma jakąś usługę anty-DDoS).
Jedyne realne rozwiązanie to obsługiwanie ruchu do tego portu tylko z zaufanych hostów (znanych IP). Tak czy inaczej, każdy kto zna Twój publiczny IP będzie w stanie zalać Ci łącze ruchem do tego IP i spowodować problem z usługą.and800 pisze: ↑04 paź 2019, 11:06mam wystawiony port TCP i UDP 25565 (Minecraft) i mlodociani cyberprzestepcy (srednia wieku 13 lat) uzywaja tej strony: https://freeboot.to/booter/stress.php (metoda: "Dominate")
Możesz (od biedy) skonfigurować sobie ZBFW tak, żeby ograniczać ilość sesji przychodzących do tego portu per źródłowy IP. Ale to tylko pół-środek. Można też skonfigurować politykę QoS na wejściu z internetu, która będzie dla tego konkretnego portu odpowiednio ustawiała qos-group albo np. znaczniki DSCP. Potem na wyjściu w stronę serwera możesz zrobić na podstawie tej qos-group lub znacznika DSCP dużo kolejek (np. 16k) i w każdej ustawić bardzo krótki limit pakietów. Takie rozwiązanie zakłada jednak, że a) router przeżyje przychodzący ruch i b) ruchu DDoS będzie na tyle nie dużo, że normalny ruch też bez problemu przepcha się przez wejście.and800 pisze: ↑04 paź 2019, 11:06w jaki sposob majac zainstalowany IOS w wersji "securityk9" mozna bronic sie przed takimi atakami ?
zadaje sobie sprawe, ze DoS to temat-rzeka i niedlugo ktos dostanie Nobla za skutecznie przeciwdzialanie, jednak chcialbym abyscie mi podpowiedzieli jaki mechanizm w IOS mozna uzyc ?
Nie wstawiaj IDSa/IPSa pomiędzy siebie a internet dla ochrony przed takim przypadkiem, bo prosisz się o w ogóle odcięcie od internetu przez przeciążenie tego pudełka.
Re: proste ataki DoS - router 1941
a czy moglbys prosze, jesli to mozliwe, napisac mi prosta konfiguracje ogranicznia ilosci sesji przychodzacych per zrodlowy IP ?
mam juz skonfigurowany zone-base-fw
podobnie jak wyzej...lbromirs pisze: ↑04 paź 2019, 12:52 ...
Można też skonfigurować politykę QoS na wejściu z internetu, która będzie dla tego konkretnego portu odpowiednio ustawiała qos-group albo np. znaczniki DSCP. Potem na wyjściu w stronę serwera możesz zrobić na podstawie tej qos-group lub znacznika DSCP dużo kolejek (np. 16k) i w każdej ustawić bardzo krótki limit pakietów.
moglbys prosze wskazac prosta konfiguracje qos-group ze znacznikami DSCP ?
Re: proste ataki DoS - router 1941
Nie mam nic pod ręką. Zacznij czytać i kombinować używając tych linków:
https://www.cisco.com/c/en/us/td/docs/i ... ookie.html
https://www.cisco.com/c/en/us/td/docs/i ... prevn.html
https://www.cisco.com/c/en/us/td/docs/i ... g-aic.html
Ponieważ jak rozumiem robisz NAT, każdy rodzaj ochrony routera będzie równocześnie mechanizmem ochrony usługi - router robiąć NAT musi i tak logicznie obsłużyć połączenie via ZBFW. Nawet limity ogólne będą zatem dotyczyć konkretnych funkcji ochronnych.
Pomyśl też o CoPP i skróceniu domyślnych timeoutów dla NAT - zalanie routera ruchem może spowodować wyczepanie się bardzo szybko pamięci na trzymanie poszczególnych stanów.
https://www.cisco.com/c/en/us/td/docs/i ... ookie.html
https://www.cisco.com/c/en/us/td/docs/i ... prevn.html
https://www.cisco.com/c/en/us/td/docs/i ... g-aic.html
Ponieważ jak rozumiem robisz NAT, każdy rodzaj ochrony routera będzie równocześnie mechanizmem ochrony usługi - router robiąć NAT musi i tak logicznie obsłużyć połączenie via ZBFW. Nawet limity ogólne będą zatem dotyczyć konkretnych funkcji ochronnych.
Pomyśl też o CoPP i skróceniu domyślnych timeoutów dla NAT - zalanie routera ruchem może spowodować wyczepanie się bardzo szybko pamięci na trzymanie poszczególnych stanów.
Re: proste ataki DoS - router 1941
Ibromirs
bardzo dziekuje za linki.
dwa z nich juz wczesniej przejrzalem i nawet staralem sie zaimplementowac. jednak chyba moj IOS (securityk9) jest zubozony. czesc komend nie wystepuje w moim IOS-ie
np: i kilka innych podobnych
tak czy siak ciesze sie ze przekazujesz to z czym sie spotkalem
dodatkowo, piszesz o NAT-cie
oczywscie mam zaimplementowane. jednak nie do konca rozumiem
i jeszcze jedno: czy mozesz rozwinac (tzn podac jakis przyklad, manual):
bardzo dziekuje za linki.
dwa z nich juz wczesniej przejrzalem i nawet staralem sie zaimplementowac. jednak chyba moj IOS (securityk9) jest zubozony. czesc komend nie wystepuje w moim IOS-ie
np:
Kod: Zaznacz cały
Router(config-profile)# tcp syn-flood rate per-destination 400
tak czy siak ciesze sie ze przekazujesz to z czym sie spotkalem
dodatkowo, piszesz o NAT-cie
oczywscie mam zaimplementowane. jednak nie do konca rozumiem
czy to oznacza, ze NAT mozna dodatkowo sparametryzowac ?
i jeszcze jedno: czy mozesz rozwinac (tzn podac jakis przyklad, manual):
Re: proste ataki DoS - router 1941
Tak jak napisałem wcześniej sugerowanie czegokolwiek innego tutaj jest niepopularne i zdawałem sobie sprawę że zaraz dostanę za to po głowie. Nigdzie nie napisałem ze taki IPS na wolumetryczny DDoS to wspaniały pomysł więc proszę nie nadinterpretowywać mojej wypowiedzi . Czasem tak półśrodek może wystarczyć , nie wiemy jak duży ruch jest generowany przy tym DoS - należałoby to zweryfikować . I jasne jest że w miarę sensownym rozwiązaniem byłoby wykupienie ochrony DDoS u operatora ( przy założeniu że zakładający wątek chce ponosić jakiekolwiek dodatkowe koszty )
Re: proste ataki DoS - router 1941
Nie jest. Kocham open source. W szczególności BSD.
Nie dostałeś. Zwróciłem uwagę, że stawianie IPSa na drodze DDoSa jest bez sensu technologicznie, a nie że coś źle napisałeś.
Ależ napisałeś:
Po co sugerować rozwiązanie, skoro jednocześnie milcząco zakładasz, że go nie wykorzystasz?
No właśnie. Weryfikowanie "skali DDoSa" za pomocą IPSa to kolejny przykład tego, czego się po prostu nie robi.
Re: proste ataki DoS - router 1941
dzien dobry koledzy raz jeszcze
chciałbym odswiezyc temat.
czy Waszym zdaniem kupno ISR 4351 może w znaczący sposób ograniczyć potencjalne ataki DDOS (SYN, DOMINATE) wobec obecnie posiadanego 1941 ?
innymi słowy czy przesiadka na ISR 4351 ma "zauważalny" sens?
chciałbym odswiezyc temat.
czy Waszym zdaniem kupno ISR 4351 może w znaczący sposób ograniczyć potencjalne ataki DDOS (SYN, DOMINATE) wobec obecnie posiadanego 1941 ?
innymi słowy czy przesiadka na ISR 4351 ma "zauważalny" sens?
Re: proste ataki DoS - router 1941
Oczywiście, że 4351 ma silniejszy procesor i zniesie więcej pps'ów. Natomiast nie ochroni Cię przed większym DDoSem, dokładnie tak jak nie zrobi tego inne pudełko. W najlepszym wypadku atak będzie po prostu za mały żeby wyscić CPU i "da radę", w najgorszym po prostu umrze ciągnąc za sobą usługę internet dla chronionych zasobów.
A skoro o ISRach mówisz - zainteresuj się odpaleniem CoPP. Robiłem testy parę lat temu i przy zastosowaniu tego mechanizmu, dawało się przyjąć o jakieś 20-30% więcej ruchu zanim router docierał do 100% obciążenia. IOS-XE radzi sobie trochę lepiej niż IOS - ma lepszy scheduler no i niejako "przy okazji" w 4k są już procesory x86.
A skoro o ISRach mówisz - zainteresuj się odpaleniem CoPP. Robiłem testy parę lat temu i przy zastosowaniu tego mechanizmu, dawało się przyjąć o jakieś 20-30% więcej ruchu zanim router docierał do 100% obciążenia. IOS-XE radzi sobie trochę lepiej niż IOS - ma lepszy scheduler no i niejako "przy okazji" w 4k są już procesory x86.
Re: proste ataki DoS - router 1941
dzięki za odpowiedz. zaczynam studiować CoPP.
przy okazji zupełnie nie znam wlasciwosci ASA. czy ASA obok firewallowania posiada mechanizmy anty-DDOS ?
przy okazji zupełnie nie znam wlasciwosci ASA. czy ASA obok firewallowania posiada mechanizmy anty-DDOS ?
Re: proste ataki DoS - router 1941
OMG, wiedziałem że to się tak skończy.
Nie wstawia się żadnego urządzenia stanowego przed DDoSa. W szczególności firewalla stanowego a już na pewno nie NGFW. Prosisz się tylko o problemy *zanim* w ogóle coś zobaczysz.
ASA posiada proste mechanizmy na poziomie TCP i limitowania połączeń nawiązywanych (embrionicznych). W FTD mechanizmów jest więcej + możliwość odpalenia jako VMki softu Radware który logicznie staje "przed" FTD.
Nie wstawia się żadnego urządzenia stanowego przed DDoSa. W szczególności firewalla stanowego a już na pewno nie NGFW. Prosisz się tylko o problemy *zanim* w ogóle coś zobaczysz.
ASA posiada proste mechanizmy na poziomie TCP i limitowania połączeń nawiązywanych (embrionicznych). W FTD mechanizmów jest więcej + możliwość odpalenia jako VMki softu Radware który logicznie staje "przed" FTD.
Re: proste ataki DoS - router 1941
Ech, chyba trzeba łopatologicznie. Wyobraź sobie bramkę wyjazdową na autostradzie. Twój router to ta bramka wyjazdowa. Na początku autostrady jest bramka wjazdowa, na której pobierane są bilety. To router Twojego dostawcy Internetu. Jak długo bramka wyjazdowa pracuje z wydajnością >= bramki wjazdowej i przepustowości autostrady, to jest wszystko OK. Ale jak na wjeździe wpuszczą wszystkich i zapchają autostradę "po korek" to choćbyś się dwoił, troił, podwoił ilość bramek, to i tak autostrada stanie w korku. Na tym polega istota DoS, DDoS - zawalić Cię ruchem. Jeśli operator ten ruch do Ciebie wypuści to choćbyś stawał na głowie to jesteś "ugotowany" bo w tej powodzi ataku ruch klientów i tak będzie stanowił marny ułamek. Co z tego, że odseparujesz ziarno od plew, jak łącze będzie wysycone i z punktu widzenia klienta usługa i tak będzie niedostępna. Jeszcze inaczej - wyobraź sobie, że ktoś puścił plotkę, że w Twoim sklepie będą za darmo rozdawać powiedzmy telewizory albo smartfony, chociaż prowadzisz mały spożywczak. I że sklep zaszturmuje w momencie otwarcia 10 tysięcy osób. Wśród nich może 10 osób to stali klienci, co przyszli po zakupy spożywcze. Uda się im wejść? Uda się im zrobić zakupy, chociaż ich znasz i chciałbyś ich obsłużyć? Może fartem jednemu. Reszta widząc tłum i kolejkę odpuści i pójdzie do konkurencji. Przy okazji dowiedziałaś się po co się robi DoS, DDoS i czemu są osobniki skłonne za to zapłacić.
CCNA: R&S, Security, Wireless, Collaboration. MCSE: Cloud Platform and Infrastructure, Server Infrastructure. ITIL: Foundation. PPL(A)
https://www.facebook.com/itserviceskielce/ :: https://www.linkedin.com/company/itservicespoland :: https://www.linkedin.com/in/krzysztofkania/
https://www.facebook.com/itserviceskielce/ :: https://www.linkedin.com/company/itservicespoland :: https://www.linkedin.com/in/krzysztofkania/
Re: proste ataki DoS - router 1941
Ibromirs, dzięki za info. zatem mój pomysł dot.ASA jest "niedojrzaly", tak naprawdę nie znam zupełnie funkcjonalnosci ASA i wolałem nie zapytać, zanim wykonam jakiekolwiek ruchy.
Kyniu, dzięki za łopatologię. jest potrzebna, zawodowo zajmuje nie zupełnie czymś innym, zatem takie wyjaśnienia pomagają zobrazować przedmiot sprawy.
zatem najsensowniejszym rozwiązaniem jest:
a) poglebienie Wspolpracy z moim ISP w celu separacji/ubijanie ataków DDos
b) dodatkowo (opcjonalnie) wymiana mydelniczki (1941) na cos lepszego
Kyniu, dzięki za łopatologię. jest potrzebna, zawodowo zajmuje nie zupełnie czymś innym, zatem takie wyjaśnienia pomagają zobrazować przedmiot sprawy.
zatem najsensowniejszym rozwiązaniem jest:
a) poglebienie Wspolpracy z moim ISP w celu separacji/ubijanie ataków DDos
b) dodatkowo (opcjonalnie) wymiana mydelniczki (1941) na cos lepszego