Ключевые слова:flood, dos, security, freebsd, (найти похожие документы)
Date: Sat, 15 Jun 2002 08:34:38 +0000 (UTC)
From: Valentin Nechayev <netch@segfault.kiev.ua>
Newsgroups: fido7.ru.unix.bsd
Subject: Можно ли отслеживать попытки DoS/Flood атак в FreeBSD
AAS>> На предмет выяснения адресов может помочь
AAS>> /sbin/sysctl net.inet.tcp.log_in_vain=1
VN> Я думаю, что она тебе надоест дня через два максимум. ;)
AK> М-да, мусора навалило, но всё-таки хотелось бы как-то отслеживать
AK> подобные попытки. Дело в том, что у меня в файрволе стоит логирование
AK> всего deny к самому роутеру, а там тишина - значит его не сканировали
AK> обычным tcp connect или я чего-то не понимаю?
Сделай net.inet.tcp.log_in_vain=2, посмотри что будет.
Можно включить с момента начала включения RST bandlim / ICMP bandlim,
если есть соответствующее средство (realtime монитор лога с триггерами).
AK> Вот в связи с чем и вопрос - если вдруг кто-нибудь устроит DOS, то я
AK> даже не буду знать с какого адреса(ов) меня пытались уронить.
А почему ты предполагаешь, что это знаешь? По source address?
Так любой, кто овладел рутом на произвольном отдельно взятом тазике,
может слать пакеты с любым source address. Чтобы это было не так,
надо, чтобы все провайдеры мира включили egress filtering, а этого еще
много лет не случится.
Я сталкивался с различными ситуациями DoS'а и взломов по UDP, и единственное,
что можно четко сказать в таком случае без оперативного слежения за каналами -
это на какой адрес шел поток.;(( Элементарно просто найти провайдера, который
не будет делать egress filtering (фильтрацию пакетов от клиента только
с source IP выданных этому клиенту). Элементарно сделать кратковременную -
на практике, до двух часов и выше - генерацию произвольного потока так,
что никто не успеет отследить по всем транзитным каналам и поймать:
NOC'и не успеют сработать оперативнее, если нет технических средств
для этого. (Был случай, что и 12 часов не хватило - потом плюнули и обошли
проблему с другой стороны.) Элементарно найти десяток дырявых прокси,
не числящихся ни в каких списках, и десяток дырявых хостов, через которые
можно делать что угодно - причем ходить по ним можно цепочками. DDoS
еще хуже ловятся, чем все перечисленное - то есть за несколько часов их
вообще не поймать, разве что за несколько дней, как в случае yahoo...
В нынешнем интернете единственное чем можно защититься - предельный уровень
пассивной безопасности. Не реагировать ни на что. Не нервничать.
На любые атаки - писать кляузы и не ждать результата. Не покупать каналы
по трафику. "Не верь, не бойся, не проси", в общем. Если сервис неспособен
на это - под файрволл его. Если операционка неспособна - в десятую сетку.
Если нельзя и так - идти вешаться или увольняться.
P.S. Один из недавних примеров. Приходит хакер, ломает тачку, вешает
UDP слушалку. Слушалка принимает пакеты, расшифровывает по arcfour
с зашитым в нее ключом, если находит в расшифрованном правильную
команду - исполняет. Варианты команд - synflood, finflood, udpflood,
icmpflood, еще парочка каких-то флудов. Адрес на который флудить
тоже присылается. Сниффер показал, что командные пакеты приходили
от основного аплинка (грубо говоря, с american internet backbone),
source IP - 66.66.66.66.
/netch
