Как поправить правила nftables при syn flood атаке?

Question

[Станислав]

Нужна помощь с настройкой nftables и может ли вообще в данном случае что то дельное получится?
Ежедневно на протяжении долго времени идет ддос на сервер (syn flood) на сколько я понимаю.

Частично удалось побороть установкой в sysctl.conf
net.ipv4.tcp_syncookies = 1
При этом заметно все смягчилось, но во время атаки сервер отвечал на запросы долго.

Так как все IP с Китая, решил блокнуть страну целиком, теперь с Сингапура, его тоже заблочил, но вместе с этим всплыли и проблемы.

Баню страны вот таким методом https://gist.github.com/bocan/ff82cbcbdc848aa34ff0...

Во время атаки сервере колом встает, при этом нагрузок нету, канал забивается или что?
Ранее до блокировки по логам видел кучу обращений на сервер, теперь как заблокировал страны обращений нет, а проблема по сути осталась =(

Answer 1

[alkeksy]

Я бы отправил через транслятор iptables->nftables что-то вроде
iptables -A INPUT -p tcp --syn -m connlimit --connlimit-above 3 --connlimit-mask 24 -j DROP
либо с матчем на limit,
iptables -A INPUT -p tcp --syn -m limit --limit 1/s --limit-burst 5 -j ACCEPT
connlimit ограничивает одновременное количество соединений, connlimit-mask говорит подключения из какого CIDR считать в один каунтер, /24 в примере выше,
а limit ограничивает количество открывающехся соединений в единицу времени

Comments

[Станислав]

С разных фековых IP атакуют к сожалению =(

[alkeksy]

Станислав, ну, connlimit выше ограничивает 3 коннектами с /24 сети, её не нужно указывать самому,
он посчитает сам, а при превышении произойдёт DROP

[alkeksy]

Станислав, в качестве экстренной меры, можно nftables-geoip использовать, если известно что полезного трафика из конкретной страны мизерное количество, а вредоносного - значительное

[Станислав]

alkeksy, Получается что с connlimit и полезный трафик тоже дропать будет? У меня просто суточный объем больше 20к трафика, онлайн бывает и 100-200 человек.
А вот по nftables-geoip, это же по сути что же самое что я использую для блока айпишников из определенной страны, просто я когда страны блокнул то особо не помогло, ну в смысле они похоже забивают conntrack, а после их nftables дропает, и получается так что они вроде как дропаются, но сервер забивают один фиг.
Я вот думаю о том, можно ли как то дропать целую страну до того как они забьют conntrack.
С nftables, да и с iptables у меня не очень, но вот как я понял в iptables таблица raw c PREROUTING, оно же фильтрует до conntrack?
А если это так, то как адаптировать эту блокировку под nftables для блокировки всей страны?! =)

[alkeksy]

Получается что с connlimit и полезный трафик тоже дропать будет?

connlimit выше стоит с --syn, то есть считает только одновременно открытые SYN-коннекты,
а когда соединение перешло в ESTABLISHED - оно выходит из каунтера SYN-ов

похоже забивают conntrack

можно увеличивать в разумных пределах

оно же фильтрует до conntrack

да, -t raw PREROUTING идёт до контрека

как адаптировать эту блокировку под nftables

я бы не упирался в nft, а создал ipset, загрузил в него "зловредные" IP, а потом прописал DROP в PREROUTING в -t raw

[alkeksy]

Станислав,

забивают conntrack

а ваш оператор не фильтрует L3-L4 совсем?

[Станислав]

alkeksy, это reg.ru, я думаю они фильтруют но не сразу, так как сервер успевают забить, а дальше отпускает, атака по продолжительности не длительная, 1-2 минуту, дальше видимо фильтровать начинают. Спустя промежуток времени все повторяется, такие атаки бывало 10 раз на дню.
Прям чтобы критичного ничего нет, но тем не менее сервер колом встает и это не хорошо.

[Станислав]

alkeksy, у меня уже были мысли перенести все на ddos-guard, но цены кусаются, если начнется что то более жесткое приходить, вот тогда и попробую перебраться к ним и посмотреть что да как.

[Евгений Хлебников]

Станислав, а спрятаться за клаудфлейром не вариант?

[Станислав]

Евгений Хлебников, пользовался им, были проблемы другие =) Да и не хочу чем то зарубежных пользоваться, к тому же с оплатой проблемы в случае чего.

[alkeksy]

Станислав, не фильтруют, если будет достаточно волюмная атака, они вас отключат просто))

[alkeksy]

Станислав, ну, ддг у ресселеров начинается от 300 рублей в месяц за 1 мбит/с средней полосы,
если у вас серьёзный проект, я бы не смотрел на ддг, а скорее на кратор, сервиспайп, штормволл, рт-солар

[Станислав]

alkeksy, ну печально значит это, но я посматриваю в сторону ddos-guard, в случае чего туда перенесу все.