Skocz do zawartości
P_A

przepływ pakietow

Polecane posty

chcialbym poruszyc temat, ktory ostatni czasy mocno mnie zastanawia, mianowicie co właściwie się dzieje w momencie gdy w serwer uderza pakiet UDP lub też TCP?

generalnie kilka dni temu mialem przyjemnosc na wlasnej skorze w OVH walczyc z UDP Floodem i co mnie zaskoczylo - pomimo tego, iz OVH oferuje 1gbitowe lacze dla serwera a sam atak nie przekraczal 300mbps i byl wyciety w pien na firewallu - maszyna i tak utracila swoja stabilnosc, zalogowanie sie do shella stanowilo cud i ogolnie jedna wielka kaszanka :)

 

pomyslalem cos jest nie tak.. OVH co prawda limituje polaczenia tranzytowe do 100mbitow (w serii Business spodziewam sie ze reszta jest podobnie limitowana jednak nie doszukalem sie informacji) jednak ja lacze sie ze swoim serwerem wykorzystujac nielimitowany w OVH punkt wymiany ruchu PLIX (http://www.ovh.pl/jednostki/zastosowanie/rozbudowane_projekty.xml?gm=pop) - co oznacza ze limitem 100mbitow nie jestem objety

 

pierwszy moj strzal - co moze powodowac niedostepnosc systemu - w jakis magiczny sposob IPTables sie "przeciazyl"? Pomyslalem ze skoro bombardowany jestem milionami pakietow UDP a firewall odrzuca je wykorzystujac moduł "recent" czy tez modul mlimit ktore gdzies w pamieci musza trzymac informacje o odebranych pakietach to byc moze one sa sprawca problemu. Dodalem tuz na poczatku lancucha INPUT regulki blokujace trzy dzialajace mi na nerwach adresy IP i niczym James Bond usmiechnalem sie pod nosem myslac ze to koniec problemow. Bzdura. Maszyna dalej sie dlawila i praktycznie nie odpowiadała. Tutaj pomocny okazal sie abuse ktory o dziwo zareagowal bardzo szybko. Udalo sie zablokowac dwie maszyny (z trzech) w przeciagu godziny. Atak odparty - niedosyt z braku wiedzy pozostal :)

 

Doszedlem do konkluzji, ze skoro juz wczesniej serwer floodowany byl przepustowoscia rzedu 900mbit a tym razem zadlawil sie przy 250mbitach (co oznacza ze dalej mialem kilkaset mbitow w zanadrzu) problem nie polega na braku dostepnej przepustowosci tylko na przepelnieniu byc moze jakiegos modulu ktory odpowiada za przyjmowanie pakietow w systemie. Stad moje pytanie dla osob bardziej interesujacych sie tematyka bezpieczenstwa i samymi serwerami linuxowymi.. Jak to wyglada w praktyce? Jakie moduly/czesci jadra wykorzystywane sa w momencie odbierania pakietu przez serwer i ktore sa newralgiczne dla odbioru pakietow? Czy jest mozliwe ze w jakis magiczny sposob przepelnila sie tablica ip_conntrack pomimo tego, iz mam ustawiony limit wpisow na 65k a w momencie ataku tablica dochodzila do maksymalnie 400-500 wpisow (nie otrzymywalem zadnych informacji o dropowaniu pakietów). Oraz pytanie dla osób majacych do czynienia z bardzo wysokimi trafficami. Czy piszac regulki do firewalla staracie sie unikac wlasnie modulow recent/mlimit szczegolnie dopasowujacych spore klasy adresowe za jednym zamachem?

 

z gory wielkie dzieki za jakiekolwiek informacje - nakierowanie na zrodlo :)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Tutaj sie liczy raczej ilosc pakietow na sekunde. I to, ze na firewallu odrzucisz takie czy inne polaczenia nic nie da. Pakiet i tak dojdzie i serwer wysle odpowiedz czy to rst czy inna. Procesor najnormalniej w swiecie nie wyrabia (wraz z karta siecowa).

 

http://tools.ietf.org/html/rfc4732

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Może to rozwiązanie połowiczne, ale można spróbować dać najniższy priorytet rzeczom odpowiedzialnym za odrzucanie pakietów - iptables itp.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się


×