PF ve FBSD blokovani na zaklade pocitani

[Miroslav Lachman]

Radek Krejča wrote:
> Problem je, ze nemuzu bloknout na me strane prichozi UDP na DNS, protoze hodne uzivatelu tam ty dns servery take maji (toto ale zrovna neni ten pripad). Jestli dobre chapu popis accf_dns, tak na tohle mi nepomuze, to zafunguje tam, kde ten nameserver skutecne bezi, chapu to dobre?

Ano, tady by ten accf_dns opravdu nijak nepomohl. On je to jen filtr, 
ktery nejprve pocka na navazani celeho spojeni a pak to teprve prede ke 
zpracovani aplikaci. U http (accf_http / accf_data) to dokaze zmirnit 
dopad nejakych DDoS utoku typu slowloris, kde se webserver zahltil 
hromadou neuplne navazanych spojeni.

> Ja dle meho potrebuji pocitat prichozi requesty, resp. ip, ze kterych chodi a ty blokovat. Myslel jsem, ze bych to dal v ramci pf, ale pravdou je, ze nechat to uplne na automatice by nebylo fajn, u oblibeneho uzivatele je tech "spravnych" dns requestu taky pekna hromada.

Ono by to tady asi slo i v ramci toho PF (pokud by to teda fungovalo na 
UDP), protoze regulerni dotazy asi nebudou ve velkem z jedne IP.
Na druhou stranu, pokud se u tech dotazu neustale meni zdrojova IP 
adresa, tak se to bude spatne filtrovat jakymkoliv zpusobem.

Pred casem jsem tu resil bruteforce utok na Wordpress web, kde se nejaky 
botnet pokousel uhadnout heslo do administrace. Behem hodiny, nebo dvou, 
se vystridalo pres 2500 zdrojovych IP adres a ze zadne adresy neprislo 
vic nez 5 dotazu (za celou tu dobu, prodleva mezi dotazy byla v radu 
minut, mozna spis desitek minut).
Nakonec to dopadlo tak, ze se (po dohode s klientem) tahaly z access 
logu vsechny IP, co se pokousely pristupovat na URL te administrace a 
vsechny se okamzite blokovaly na firewallu. Takze ten den nikdo nemohl 
legitimne pristupovat do administrace, ale utok po par hodinach presel.

> Uz jsem rozepsal script, ktery vytahne pres pfctl aktualni konexe, a pocet, kolikrat se tam dana ip opakuje, myslim, ze kdyz ty s nejakym velkym cislem budu prubezne cpat do pf table, tak bych mel dosahnout rozumne miry snizeni zateze. Doufam...

Nevim, jaka je domluva s koncovymi uzivateli, ale mozna by bylo nejlepsi 
zjistit, kdo z nich skutecne provozuje DNS, tomu ty pristupy z venku na 
jeho port 53 povolit a u ostatnich uzivatelu to filtrovat.
Ale rozhodne o tom vsem uzivatelum dat predem vedet.
Jednou me takhle muj nejmenovany tripismenny poskytovatel pripojeni 
zacal filtrovat port 53 z venku, aniz bych o tom vedel a ja skoro tyden 
resil "neznamou chybu BINDu" (protoze mi prestala fungovat jedna domena, 
co na tom BINDu mela primarni zaznam)... nez jsem z venku zjistil, ze 
ten problem neni u me, ale u poskytovatele, coz by me ani ve snu nenapadlo.
Po me stiznosti filtraci zrusili a nikdo mi nedokazal vysvetlit, co je 
vedlo k tomu filtrovani portu 53.

Mirek