Нас очень часто досят синфлудом, вот под такие правила подпадают часть атак:ipfw 30 deny tcp from any to any in via $oif tcpoptions !mss setup
ipfw 31 deny tcp from any to any in via $oif tcpflags syn tcpoptions !mss
Но к сожалению SYN флуд есть такой, который пролетает эти правила.
17:26:09.412994 IP 201.7.252.191.24116 > 85.39.14.140.22: Flags [S], seq 454842539, win 512, options [mss 1460], length 0
17:26:09.413010 IP 243.223.180.133.24117 > 85.39.14.140.22: Flags [S], seq 1188803702, win 512, options [mss 1460], length 0
17:26:09.413012 IP 63.210.108.80.24118 > 85.39.14.140.22: Flags [S], seq 2124398937, win 512, options [mss 1460], length 0
17:26:09.413024 IP 58.70.168.80.24119 > 85.39.14.140.22: Flags [S], seq 384800345, win 512, options [mss 1460], length 0
17:26:09.413038 IP 172.222.29.109.24120 > 85.39.14.140.22: Flags [S], seq 1200159057, win 512, options [mss 1460], length 0
17:26:09.413047 IP 127.220.63.0.24121 > 85.39.14.140.22: Flags [S], seq 299118694, win 512, options [mss 1460], length 0
17:26:09.413052 IP 85.26.80.237.24122 > 85.39.14.140.22: Flags [S], seq 1668929187, win 512, options [mss 1460], length 0
17:26:09.413062 IP 109.168.89.26.24123 > 85.39.14.140.22: Flags [S], seq 1238532245, win 512, options [mss 1460], length 0
Такую атаку посмотрев tcpdump очень легко баним следующим правиломipfw add 8 deny tcp from any to any in via $oif setup tcpwin 512 tcpdatalen 0-0
Но в последнее время стал прилетать вот такой SYN флуд, банить чисто по 1 критерию datalength 0-0 не вариант так как попадают валидные пакеты.
22:19:14.640202 IP 64.10.157.206.24647 > 85.39.14.140.22: Flags [S], seq 357826560, win 33536, options [mss 1440,nop,wscale 8,nop,nop,sackOK], length 0
22:19:14.640204 IP 114.150.41.38.13033 > 85.39.14.140.22: Flags [S], seq 1207566336, win 26625, options [mss 1440,nop,wscale 8,nop,nop,sackOK], length 0
22:19:14.640205 IP 15.213.92.20.12220 > 85.39.14.140.22: Flags [S], seq 1521418240, win 2115, options [mss 1440,nop,wscale 8,nop,nop,sackOK], length 0
22:19:14.640206 IP 182.153.18.78.30371 > 85.39.14.140.22: Flags [S], seq 61865984, win 32768, options [mss 1440,nop,wscale 8,nop,nop,sackOK], length 0
22:19:14.640207 IP 80.22.219.42.45138 > 85.39.14.140.22: Flags [S], seq 3309371392, win 38494, options [mss 1440,nop,wscale 8,nop,nop,sackOK], length 0
22:19:14.640208 IP 112.143.57.207.28734 > 85.39.14.140.22: Flags [S], seq 86835200, win 38494, options [mss 1440,nop,wscale 8,nop,nop,sackOK], length 0
22:19:14.640209 IP 46.242.136.109.44588 > 85.39.14.140.22: Flags [S], seq 3678339072, win 16384, options [mss 1440,nop,wscale 8,nop,nop,sackOK], length 0
22:19:14.640211 IP 199.22.76.232.516 > 85.39.14.140.22: Flags [S], seq 1997996032, win 56388, options [mss 1440,nop,wscale 8,nop,nop,sackOK], length 0
22:19:14.640213 IP 132.83.125.146.9321 > 85.39.14.140.22: Flags [S], seq 1366949888, win 42527, options [mss 1440,nop,wscale 8,nop,nop,sackOK], length 0
Подскажите, можно ли какими то правилами (может быть можно как то использовать из options [mss 1440,nop,wscale 8,nop,nop,sackOK]) это зарезать? Заранее спасибо! Составлять какие то банлисты нет смысла, адреса спуфят, каждый пакет с рандомного IP прилетает. syncookie то же не вариант так как при 3mpps умирает все, ipfw эти 3mpps держит без проблем если режется правилом.
Вопрос задан
более трёх лет назад
2768 просмотров