proste ataki DoS - router 1941

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)

Moderatorzy: mikrobi, aron, garfield, gangrena, Seba, Wojtachinho

Wiadomość
Autor
and800
wannabe
wannabe
Posty: 56
Rejestracja: 16 maja 2008, 19:43

proste ataki DoS - router 1941

#1

#1 Post autor: and800 » 04 paź 2019, 11:06

dzien dobry

Panowie, czy mozecie mnie nakierowac w jaki sposob (na poziomie routera 1941, a moze postawic jakis oddzielny server ?)
mozna bronic sie przed prostymi atakami DoS ?

teraz co napisze nizej pewnie nie bedzie challangem dla Was, zatem tym bardziej licze ze latwo wskazecie mi rozwiazanie

mam wystawiony port TCP i UDP 25565 (Minecraft) i mlodociani cyberprzestepcy (srednia wieku 13 lat) uzywaja tej strony: https://freeboot.to/booter/stress.php (metoda: "Dominate")

w jaki sposob majac zainstalowany IOS w wersji "securityk9" mozna bronic sie przed takimi atakami ?
zadaje sobie sprawe, ze DoS to temat-rzeka i niedlugo ktos dostanie Nobla za skutecznie przeciwdzialanie, jednak chcialbym abyscie mi podpowiedzieli jaki mechanizm w IOS mozna uzyc ?

RiFF
member
member
Posty: 30
Rejestracja: 29 paź 2015, 11:58

Re: proste ataki DoS - router 1941

#2

#2 Post autor: RiFF » 04 paź 2019, 12:35

Wiem że to niepopularne na tym forum ;) ale sugeruję wymienić tego 'paździerza' na coś taniego co potrafi obsługiwać / budować dynamic list z przychodzącego ruchu i to po prostu dropować. Na tym modelu tego nie uzyskasz , oczywiście możesz sobie postawić jakiś open source IDS / IPS (np. pakiet Security Onion) i przekierować na niego ruch ale chyba szkoda na to zachodu.

lbromirs
CCIE
CCIE
Posty: 4062
Rejestracja: 30 lis 2006, 08:44

Re: proste ataki DoS - router 1941

#3

#3 Post autor: lbromirs » 04 paź 2019, 12:47

RiFF pisze:
04 paź 2019, 12:35
Wiem że to niepopularne na tym forum ;) ale sugeruję wymienić tego 'paździerza' na coś taniego co potrafi obsługiwać / budować dynamic list z przychodzącego ruchu i to po prostu dropować. Na tym modelu tego nie uzyskasz , oczywiście możesz sobie postawić jakiś open source IDS / IPS (np. pakiet Security Onion) i przekierować na niego ruch ale chyba szkoda na to zachodu.
Wstawianie IPSa przed wolumetryczny DDoS to wspaniały pomysł RiFF. Polecam serdecznie, ale jak najdalej od sieci z których miałbym korzystać ;)

lbromirs
CCIE
CCIE
Posty: 4062
Rejestracja: 30 lis 2006, 08:44

Re: proste ataki DoS - router 1941

#4

#4 Post autor: lbromirs » 04 paź 2019, 12:52

and800 pisze:
04 paź 2019, 11:06
Panowie, czy mozecie mnie nakierowac w jaki sposob (na poziomie routera 1941, a moze postawic jakis oddzielny server ?)
mozna bronic sie przed prostymi atakami DoS ?
Przed atakiem wolumetrycznym się nie obronisz na żadnym urządzeniu. Potrzebujesz pomocy ze strony operatora który dostarcza Ci łącze (bo zakładam, że nie masz serwera i routera w jakiejś kolokacji? wtedy to dostawca kolokacji być może ma jakąś usługę anty-DDoS).
and800 pisze:
04 paź 2019, 11:06
mam wystawiony port TCP i UDP 25565 (Minecraft) i mlodociani cyberprzestepcy (srednia wieku 13 lat) uzywaja tej strony: https://freeboot.to/booter/stress.php (metoda: "Dominate")
Jedyne realne rozwiązanie to obsługiwanie ruchu do tego portu tylko z zaufanych hostów (znanych IP). Tak czy inaczej, każdy kto zna Twój publiczny IP będzie w stanie zalać Ci łącze ruchem do tego IP i spowodować problem z usługą.
and800 pisze:
04 paź 2019, 11:06
w jaki sposob majac zainstalowany IOS w wersji "securityk9" mozna bronic sie przed takimi atakami ?
zadaje sobie sprawe, ze DoS to temat-rzeka i niedlugo ktos dostanie Nobla za skutecznie przeciwdzialanie, jednak chcialbym abyscie mi podpowiedzieli jaki mechanizm w IOS mozna uzyc ?
Możesz (od biedy) skonfigurować sobie ZBFW tak, żeby ograniczać ilość sesji przychodzących do tego portu per źródłowy IP. Ale to tylko pół-środek. Można też skonfigurować politykę QoS na wejściu z internetu, która będzie dla tego konkretnego portu odpowiednio ustawiała qos-group albo np. znaczniki DSCP. Potem na wyjściu w stronę serwera możesz zrobić na podstawie tej qos-group lub znacznika DSCP dużo kolejek (np. 16k) i w każdej ustawić bardzo krótki limit pakietów. Takie rozwiązanie zakłada jednak, że a) router przeżyje przychodzący ruch i b) ruchu DDoS będzie na tyle nie dużo, że normalny ruch też bez problemu przepcha się przez wejście.

Nie wstawiaj IDSa/IPSa pomiędzy siebie a internet dla ochrony przed takim przypadkiem, bo prosisz się o w ogóle odcięcie od internetu przez przeciążenie tego pudełka.

and800
wannabe
wannabe
Posty: 56
Rejestracja: 16 maja 2008, 19:43

Re: proste ataki DoS - router 1941

#5

#5 Post autor: and800 » 04 paź 2019, 13:26

lbromirs pisze:
04 paź 2019, 12:52

....
Możesz (od biedy) skonfigurować sobie ZBFW tak, żeby ograniczać ilość sesji przychodzących do tego portu per źródłowy IP. Ale to tylko pół-środek.
a czy moglbys prosze, jesli to mozliwe, napisac mi prosta konfiguracje ogranicznia ilosci sesji przychodzacych per zrodlowy IP ?
mam juz skonfigurowany zone-base-fw
lbromirs pisze:
04 paź 2019, 12:52
...
Można też skonfigurować politykę QoS na wejściu z internetu, która będzie dla tego konkretnego portu odpowiednio ustawiała qos-group albo np. znaczniki DSCP. Potem na wyjściu w stronę serwera możesz zrobić na podstawie tej qos-group lub znacznika DSCP dużo kolejek (np. 16k) i w każdej ustawić bardzo krótki limit pakietów.
podobnie jak wyzej...
moglbys prosze wskazac prosta konfiguracje qos-group ze znacznikami DSCP ?

lbromirs
CCIE
CCIE
Posty: 4062
Rejestracja: 30 lis 2006, 08:44

Re: proste ataki DoS - router 1941

#6

#6 Post autor: lbromirs » 04 paź 2019, 13:42

Nie mam nic pod ręką. Zacznij czytać i kombinować używając tych linków:

https://www.cisco.com/c/en/us/td/docs/i ... ookie.html
https://www.cisco.com/c/en/us/td/docs/i ... prevn.html
https://www.cisco.com/c/en/us/td/docs/i ... g-aic.html

Ponieważ jak rozumiem robisz NAT, każdy rodzaj ochrony routera będzie równocześnie mechanizmem ochrony usługi - router robiąć NAT musi i tak logicznie obsłużyć połączenie via ZBFW. Nawet limity ogólne będą zatem dotyczyć konkretnych funkcji ochronnych.

Pomyśl też o CoPP i skróceniu domyślnych timeoutów dla NAT - zalanie routera ruchem może spowodować wyczepanie się bardzo szybko pamięci na trzymanie poszczególnych stanów.

and800
wannabe
wannabe
Posty: 56
Rejestracja: 16 maja 2008, 19:43

Re: proste ataki DoS - router 1941

#7

#7 Post autor: and800 » 04 paź 2019, 14:27

Ibromirs
bardzo dziekuje za linki.
dwa z nich juz wczesniej przejrzalem i nawet staralem sie zaimplementowac. jednak chyba moj IOS (securityk9) jest zubozony. czesc komend nie wystepuje w moim IOS-ie
np:

Kod: Zaznacz cały

Router(config-profile)# tcp syn-flood rate per-destination 400
i kilka innych podobnych :-)
tak czy siak ciesze sie ze przekazujesz to z czym sie spotkalem

dodatkowo, piszesz o NAT-cie
oczywscie mam zaimplementowane. jednak nie do konca rozumiem
lbromirs pisze:
04 paź 2019, 13:42
...robiąć NAT musi i tak logicznie obsłużyć połączenie via ZBFW. Nawet limity ogólne będą zatem dotyczyć konkretnych funkcji ochronnych.
czy to oznacza, ze NAT mozna dodatkowo sparametryzowac ?


i jeszcze jedno: czy mozesz rozwinac (tzn podac jakis przyklad, manual):
lbromirs pisze:
04 paź 2019, 13:42
Pomyśl też o CoPP i skróceniu domyślnych timeoutów dla NAT - zalanie routera ruchem może spowodować wyczepanie się bardzo szybko pamięci na trzymanie poszczególnych stanów.

RiFF
member
member
Posty: 30
Rejestracja: 29 paź 2015, 11:58

Re: proste ataki DoS - router 1941

#8

#8 Post autor: RiFF » 07 paź 2019, 12:33

Tak jak napisałem wcześniej sugerowanie czegokolwiek innego tutaj jest niepopularne i zdawałem sobie sprawę że zaraz dostanę za to po głowie. Nigdzie nie napisałem ze taki IPS na wolumetryczny DDoS to wspaniały pomysł więc proszę nie nadinterpretowywać mojej wypowiedzi . Czasem tak półśrodek może wystarczyć , nie wiemy jak duży ruch jest generowany przy tym DoS - należałoby to zweryfikować . I jasne jest że w miarę sensownym rozwiązaniem byłoby wykupienie ochrony DDoS u operatora ( przy założeniu że zakładający wątek chce ponosić jakiekolwiek dodatkowe koszty )

lbromirs
CCIE
CCIE
Posty: 4062
Rejestracja: 30 lis 2006, 08:44

Re: proste ataki DoS - router 1941

#9

#9 Post autor: lbromirs » 07 paź 2019, 16:30

RiFF pisze:
07 paź 2019, 12:33
Tak jak napisałem wcześniej sugerowanie czegokolwiek innego tutaj jest niepopularne
Nie jest. Kocham open source. W szczególności BSD.
RiFF pisze:
07 paź 2019, 12:33
i zdawałem sobie sprawę że zaraz dostanę za to po głowie.
Nie dostałeś. Zwróciłem uwagę, że stawianie IPSa na drodze DDoSa jest bez sensu technologicznie, a nie że coś źle napisałeś.
RiFF pisze:
07 paź 2019, 12:33
Nigdzie nie napisałem ze taki IPS na wolumetryczny DDoS to wspaniały pomysł więc proszę nie nadinterpretowywać mojej wypowiedzi.
Ależ napisałeś:
RiFF pisze:
04 paź 2019, 12:35
[...] Na tym modelu tego nie uzyskasz , oczywiście możesz sobie postawić jakiś open source IDS / IPS (np. pakiet Security Onion) i przekierować na niego ruch ale chyba szkoda na to zachodu.
Po co sugerować rozwiązanie, skoro jednocześnie milcząco zakładasz, że go nie wykorzystasz?
RiFF pisze:
04 paź 2019, 12:35
Czasem tak półśrodek może wystarczyć , nie wiemy jak duży ruch jest generowany przy tym DoS - należałoby to zweryfikować.
No właśnie. Weryfikowanie "skali DDoSa" za pomocą IPSa to kolejny przykład tego, czego się po prostu nie robi.

and800
wannabe
wannabe
Posty: 56
Rejestracja: 16 maja 2008, 19:43

Re: proste ataki DoS - router 1941

#10

#10 Post autor: and800 » 05 kwie 2020, 13:42

dzien dobry koledzy raz jeszcze

chciałbym odswiezyc temat.

czy Waszym zdaniem kupno ISR 4351 może w znaczący sposób ograniczyć potencjalne ataki DDOS (SYN, DOMINATE) wobec obecnie posiadanego 1941 ?
innymi słowy czy przesiadka na ISR 4351 ma "zauważalny" sens?

lbromirs
CCIE
CCIE
Posty: 4062
Rejestracja: 30 lis 2006, 08:44

Re: proste ataki DoS - router 1941

#11

#11 Post autor: lbromirs » 05 kwie 2020, 16:36

Oczywiście, że 4351 ma silniejszy procesor i zniesie więcej pps'ów. Natomiast nie ochroni Cię przed większym DDoSem, dokładnie tak jak nie zrobi tego inne pudełko. W najlepszym wypadku atak będzie po prostu za mały żeby wyscić CPU i "da radę", w najgorszym po prostu umrze ciągnąc za sobą usługę internet dla chronionych zasobów.

A skoro o ISRach mówisz - zainteresuj się odpaleniem CoPP. Robiłem testy parę lat temu i przy zastosowaniu tego mechanizmu, dawało się przyjąć o jakieś 20-30% więcej ruchu zanim router docierał do 100% obciążenia. IOS-XE radzi sobie trochę lepiej niż IOS - ma lepszy scheduler no i niejako "przy okazji" w 4k są już procesory x86.

and800
wannabe
wannabe
Posty: 56
Rejestracja: 16 maja 2008, 19:43

Re: proste ataki DoS - router 1941

#12

#12 Post autor: and800 » 06 kwie 2020, 11:46

dzięki za odpowiedz. zaczynam studiować CoPP.

przy okazji zupełnie nie znam wlasciwosci ASA. czy ASA obok firewallowania posiada mechanizmy anty-DDOS ?

lbromirs
CCIE
CCIE
Posty: 4062
Rejestracja: 30 lis 2006, 08:44

Re: proste ataki DoS - router 1941

#13

#13 Post autor: lbromirs » 06 kwie 2020, 15:01

OMG, wiedziałem że to się tak skończy.

Nie wstawia się żadnego urządzenia stanowego przed DDoSa. W szczególności firewalla stanowego a już na pewno nie NGFW. Prosisz się tylko o problemy *zanim* w ogóle coś zobaczysz.

ASA posiada proste mechanizmy na poziomie TCP i limitowania połączeń nawiązywanych (embrionicznych). W FTD mechanizmów jest więcej + możliwość odpalenia jako VMki softu Radware który logicznie staje "przed" FTD.

Kyniu
wannabe
wannabe
Posty: 3526
Rejestracja: 04 lis 2006, 16:23
Kontakt:

Re: proste ataki DoS - router 1941

#14

#14 Post autor: Kyniu » 06 kwie 2020, 18:39

Ech, chyba trzeba łopatologicznie. Wyobraź sobie bramkę wyjazdową na autostradzie. Twój router to ta bramka wyjazdowa. Na początku autostrady jest bramka wjazdowa, na której pobierane są bilety. To router Twojego dostawcy Internetu. Jak długo bramka wyjazdowa pracuje z wydajnością >= bramki wjazdowej i przepustowości autostrady, to jest wszystko OK. Ale jak na wjeździe wpuszczą wszystkich i zapchają autostradę "po korek" to choćbyś się dwoił, troił, podwoił ilość bramek, to i tak autostrada stanie w korku. Na tym polega istota DoS, DDoS - zawalić Cię ruchem. Jeśli operator ten ruch do Ciebie wypuści to choćbyś stawał na głowie to jesteś "ugotowany" bo w tej powodzi ataku ruch klientów i tak będzie stanowił marny ułamek. Co z tego, że odseparujesz ziarno od plew, jak łącze będzie wysycone i z punktu widzenia klienta usługa i tak będzie niedostępna. Jeszcze inaczej - wyobraź sobie, że ktoś puścił plotkę, że w Twoim sklepie będą za darmo rozdawać powiedzmy telewizory albo smartfony, chociaż prowadzisz mały spożywczak. I że sklep zaszturmuje w momencie otwarcia 10 tysięcy osób. Wśród nich może 10 osób to stali klienci, co przyszli po zakupy spożywcze. Uda się im wejść? Uda się im zrobić zakupy, chociaż ich znasz i chciałbyś ich obsłużyć? Może fartem jednemu. Reszta widząc tłum i kolejkę odpuści i pójdzie do konkurencji. Przy okazji dowiedziałaś się po co się robi DoS, DDoS i czemu są osobniki skłonne za to zapłacić.
Always start with why do you need this?, not how will we do it?.
CCNA: R&S, Security, Wireless, Collaboration. MCSE: Cloud Platform and Infrastructure, Server Infrastructure. ITIL: Foundation. PPL(A)

and800
wannabe
wannabe
Posty: 56
Rejestracja: 16 maja 2008, 19:43

Re: proste ataki DoS - router 1941

#15

#15 Post autor: and800 » 06 kwie 2020, 21:41

Ibromirs, dzięki za info. zatem mój pomysł dot.ASA jest "niedojrzaly", tak naprawdę nie znam zupełnie funkcjonalnosci ASA i wolałem nie zapytać, zanim wykonam jakiekolwiek ruchy.
Kyniu, dzięki za łopatologię. jest potrzebna, zawodowo zajmuje nie zupełnie czymś innym, zatem takie wyjaśnienia pomagają zobrazować przedmiot sprawy.

zatem najsensowniejszym rozwiązaniem jest:
a) poglebienie Wspolpracy z moim ISP w celu separacji/ubijanie ataków DDos
b) dodatkowo (opcjonalnie) wymiana mydelniczki (1941) na cos lepszego

ODPOWIEDZ