PF ve FBSD blokovani na zaklade pocitani

Radek Krejča radek.krejca at starnet.cz
Thu May 15 00:52:07 CEST 2014


> 
> Nepadla tu zminka o jaky konkretni utok se jedna, tak jen od boku
> nahodim, jestli by treba nepomohl kernelovy modul accf_dns, viz man
> accf_dns.

Jedna se o utok, kdy z mnoha adres prichazi UDP DNS pozadavky na vsechny adresy v nasem AS. Hlavnim problemem jsou klientske domaci routery uzivatelu, majicich verejnou ip adresu, ktere na tyto zadosti reaguji tim, ze se ptaji DNS serveru, ktere maji v sobe nastaveny.

15:23:35.508466 IP 198.27.108.18.59066 > 192.168.1.5.53: 6640+ A? yxqtmx.www.uc488.com. (38)
15:23:35.524104 IP 198.27.108.18.58546 > 192.168.1.5.53: 45982+ A? kxsxwrijqdiv.www.500sf.com. (44)
15:23:36.270896 IP 198.27.108.18.40089 > 192.168.1.5.53: 4335+ A? ezyfercb.www.500sf.com. (40) 
15:23:36.429460 IP 198.27.108.18.4090 > 192.168.1.5.53: 13118+ A? gnanqnydqb.www.game918.com. (44)
15:23:37.388332 IP 198.27.108.18.46244 > 192.168.1.5.53: 8523+ A? stwngrenax.www.500sf.com. (42)

No a router 192.168.1.5 se zase vyptava na uvedeny A zaznam svych dns serveru...

Problem je, ze nemuzu bloknout na me strane prichozi UDP na DNS, protoze hodne uzivatelu tam ty dns servery take maji (toto ale zrovna neni ten pripad). Jestli dobre chapu popis accf_dns, tak na tohle mi nepomuze, to zafunguje tam, kde ten nameserver skutecne bezi, chapu to dobre? 

Ja dle meho potrebuji pocitat prichozi requesty, resp. ip, ze kterych chodi a ty blokovat. Myslel jsem, ze bych to dal v ramci pf, ale pravdou je, ze nechat to uplne na automatice by nebylo fajn, u oblibeneho uzivatele je tech "spravnych" dns requestu taky pekna hromada.

Uz jsem rozepsal script, ktery vytahne pres pfctl aktualni konexe, a pocet, kolikrat se tam dana ip opakuje, myslim, ze kdyz ty s nejakym velkym cislem budu prubezne cpat do pf table, tak bych mel dosahnout rozumne miry snizeni zateze. Doufam...

Lepsi reseni v tuto chvili nevidim.

Radek



More information about the Users-l mailing list