[GTER] monitorar quantidade PPS host/port
willian pires
willian_pires at hotmail.com
Tue Aug 27 22:51:02 -03 2013
Não, não e aplica, neste caso você tem que aplicar uma logica por host de origem.
Porem temos uma questão:Você pode limitar o numero de conexões por ip de origem, o que resolve o seu problema em si, ou aindamapear novas conexões e adicionar elas em uma tabela e a partir dela limitar pacotes por cliente.
Porem devo avisar:Exceto se o serviço que você esta rodando ser alguma coisa da linha UDP, Voip, FTP ou DNS você vai comprometera funcionalidade fazendo controle de PPS, mesmo aplicações UDP são sensíveis a controle de pacotes.
Exceto ser você tiver 100^2% de certeza que é um ataque, perca seu tempo com isso senão sinto em dizer que vaiter dor de cabeça de sobra.
Recomendo que pegue 1 endereço ip remoto que voce tenha acesso facil por fora da sua rede e faça o controle dele com os comandos que eu havia enviado anteriormente.
Outro ponto é que 1 mesmo host pode gerar múltiplas requisições uma vez que hoje em dia diversas redes de empresar ou mesmoresidencias possuem nat, aqui em casa mesmo temos 8 computadores então é normal fazer 200,300 pps para o google ou youtube.
Portanto antes de limitar melhor passar mais detalhes.
Att
> Date: Tue, 27 Aug 2013 13:22:03 -0300
> From: marcelo at mginformatica.com
> To: gter at eng.registro.br
> Subject: Re: [GTER] monitorar quantidade PPS host/port
>
> Ola Willian.
>
> rodo uma aplicacao nesta porta.
> e volta e meia tenho pequenos ataques de negacao de servico.
> pelo torch do routerOS observei que as conexoes normais na minha
> aplicacao
> chegam no maximo a 60 PPS, quer bloquear qualquer coisa que passar
> disso..
>
> estas regras que vc me passou, contabiliza o total de pacotes
> que chega na porta da minha aplicacao ou ela faz por ip de origem ???
>
> intaum supondo que eu nao sei que é o CLIENTE01 nem quem é o CLIENTE02
> esta mesma regra se aplica ?
>
> ABracosss
>
>
> Em 2013-08-26 23:53, willian pires escreveu:
> > Vamos lá começando bem simples e deixando mais complexo.
> > iptables -N CLIENTE01 iptables -A CLIENTE01 -m limit --limit 100/s -j
> > RETURNiptables -A CLIENTE01 -j DROP
> > iptables -N CLIENTE02iptables -A CLIENTE02 -m limit --limit 300/s -j
> > RETURNiptables -A CLIENTE02 -j DROP
> >
> >
> > #-- CLIENTE PASSANDO PELO FILTRO INDO DE UMA INTERFACE A OUTRAiptables
> > -A FORWARD -i eth1 -o eth0 -s 192.168.0.1/32 -j CLIENTE01iptables -A
> > FORWARD -i eth1 -o eth0 -s 192.168.99.2/32 -j CLIENTE01
> >
> > E por ai vai !
> > Testando de forma bem simples no seu local host
> > iptables -A INPUT -p icmp -m limit --limit 10/s -j RETURN
> > iptables -A INPUT -p icmp -j DROP
> >
> >
> > ping -c 10 127.0.0.1
> > pinga normal
> > root at desktop01:~# ping -c 10 127.0.0.1PING 127.0.0.1 (127.0.0.1)
> > 56(84) bytes of data.64 bytes from 127.0.0.1: icmp_seq=1 ttl=64
> > time=0.023 ms64 bytes from 127.0.0.1: icmp_seq=2 ttl=64 time=0.024
> > ms64 bytes from 127.0.0.1: icmp_seq=3 ttl=64 time=0.025 ms64 bytes
> > from 127.0.0.1: icmp_seq=4 ttl=64 time=0.026 ms64 bytes from
> > 127.0.0.1: icmp_seq=5 ttl=64 time=0.025 ms64 bytes from 127.0.0.1:
> > icmp_seq=6 ttl=64 time=0.024 ms64 bytes from 127.0.0.1: icmp_seq=7
> > ttl=64 time=0.026 ms64 bytes from 127.0.0.1: icmp_seq=8 ttl=64
> > time=0.025 ms64 bytes from 127.0.0.1: icmp_seq=9 ttl=64 time=0.025
> > ms64 bytes from 127.0.0.1: icmp_seq=10 ttl=64 time=0.030 ms
> > --- 127.0.0.1 ping statistics ---10 packets transmitted, 10 received,
> > 0% packet loss, time 9000msrtt min/avg/max/mdev =
> > 0.023/0.025/0.030/0.004 msroot at desktop01:~#
> >
> >
> > agora
> > ping -f -c 100 127.0.0.1
> > vai pinga 2 pacotes e perder o resto
> > root at desktop01:~# ping -f -c 10 127.0.0.1PING 127.0.0.1 (127.0.0.1)
> > 56(84) bytes of data.........--- 127.0.0.1 ping statistics ---10
> > packets transmitted, 2 received, 80% packet loss, time 100msrtt
> > min/avg/max/mdev = 0.006/0.014/0.023/0.009 ms, ipg/ewma 11.126/0.020
> > ms
> > Se precisar de ajuda posta ai !
> >
> > Abraço.
> >
> >
> >> Date: Mon, 26 Aug 2013 14:09:16 -0300
> >> From: marcelo at mginformatica.com
> >> To: gter at eng.registro.br
> >> Subject: Re: [GTER] monitorar quantidade PPS host/port
> >>
> >> isso rate-limit de pacotes, mas tem que funcionar para um ip/port
> >> especifico e bloquear o que nao satisfaca uma condicao...
> >>
> >> Em 2013-08-26 08:10, willian pires escreveu:
> >> > Posso te ajudar o que voce precisa é um "rate limit" de pacotes ?
> >> > Att
> >> >
> >> >> Date: Sat, 24 Aug 2013 11:38:31 -0300
> >> >> From: marcelo at mginformatica.com
> >> >> To: gter at eng.registro.br
> >> >> Subject: [GTER] monitorar quantidade PPS host/port
> >> >>
> >> >> Ola....
> >> >>
> >> >> Preciso monitorar/bloquear em tempo real a quantidade de PPS para um
> >> >> ip / port ( linux )
> >> >>
> >> >> estou pesquisando no google mas acho que nao estou fazendo a pergunta
> >> >> certa..
> >> >>
> >> >> Alguem tem alguma ideia...
> >> >> --
> >> >> gter list https://eng.registro.br/mailman/listinfo/gter
> >> >
> >> > --
> >> > gter list https://eng.registro.br/mailman/listinfo/gter
> >> --
> >> gter list https://eng.registro.br/mailman/listinfo/gter
> >
> > --
> > gter list https://eng.registro.br/mailman/listinfo/gter
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
More information about the gter
mailing list