sysctl net.inet.icmp.icmplim
Zbyněk Burget
zburget at burgnet.cz
Sun Apr 19 13:22:37 CEST 2015
Dne 19. 4. 2015 v 12:50 Dan Lukes napsal(a):
> On 04/19/15 11:57, Zbyněk Burget:
>> +Limiting icmp unreach response from 252 to 200 packets/sec
>> +Limiting icmp ping response from 211 to 200 packets/sec
>> +Limiting closed port RST response from 301 to 200 packets/sec
>
>
> Jde ti spis o to limitovani, tedy o zatizeni site a
> ja-nevim-ceho-jeste-dalsiho ? Pak to zrejme nechas nizko, klidne na
> tom defaultu nebo jeste niz.
Nedokazu odhadnout, jak dalce neco takoveho zatezuje sit. Pokud se jedna
o utok, bylo by nejlepsi, kdyby ten stroj neodpovidal vubec. Jenze pro
bezny provoz je zase dobre, kdyz RST nebo unreach posle. Vzhledem k
tomu, ze na tom stroji nebezi zadna sluzba, ktera by byla nejak
extremnej zatizena, myslim si, ze by mel stacit limit i jen treba
20/sec. Ten pocitac je z 99% router a s tim se prece nema kdo co bavit.
> Nebo jde spis o tu hlasku na konzoli a tedy pozorneni, ze se deje
> "neco neobvykleho" ? Pak to, zrejme, budes nastavovat spis tak, aby to
> za bezneho provozu zadny hlasky nepsalo a to muze znamenat. ze
> nekde/nekdy to dost mozna budes mit nastavene (i o dost) vys.
>
Jsem rad, ze se dozvim, ze se deje neco neobvykleho. Jenze to, co se
deje, se bojim, ze neobvykle neni :-( Takze by asi bylo nejjednodussi
proste tu hlasku vypnout (zajistuje jine sysctl). Na druhou stranu bych
se rad dozvedel, kdyby se nekdo snazil o nejaky DoS utok, kdyby mi
konkurence skenovala porty (bohuzel dva lidi v mem okoli jsou toho
schopni) apod.
> Musel byses bliz podivat na to co ty ICMP/RST vyvolava abysis moh'
> udelat nejakej nazor na aktualni pricinu.
Nad tim prave premyslim, jak ten provoz zanalyzovat. Je to router s
NATem. Takze kdyz se divam na vnejsi iface, vidim, ze (prakticky) vse
jde z venkovni verejne (mimo to, co jde z verejnych z vnitrni site).
Kdyz se divam na vnitrni iface, tak tam zase samozrejme nevidim utoky
zvenci. Bohuzel asi jednoduse nejde nastavit tcpdump tak, abych videl
pouze provoz, ktery je urcen pro muj router a nejedna se o provoz, ktery
projde NAtem :-(
Pokud ma nekdo napad, jak odfiltrovat z vnejsiho provozu tu cast, ktera
za NATem pokracuje dal, budu vdecny.
>
>> Předpokládal jsem, že ta sysctl má vliv jen na packety, které
>> generuje kernel
>
> Pokud vim, tak ano.
>
> 'closed RST response' nastava jedine v ramci tcp_input, tedy v reakci
> na prichozi TCP komunikaci zpracovavanou kernelem
>
> 'icmp unreach/ping response' je totez, ale pro UDP respektive ICMP ECHO
Takze muj predpoklad byl spravny a tenhle provoz o nejake vyssi
frekvenci bude prakticky jiste neco, co by v siti byt nemelo - tedy pro
pripad, ze je to provoz generovany routerem, ktery neposkytuje zadne
(dramaticky vyuzivane) verejne sluzby.
>
>> Takhle to ale na mě dělá dojem, že to limituje i packety, které skrz
>> router prochází z
>> vnitřní sítě.
>
> Nenaznacil's co tvuj dojem vyvolava, takze tezko ti to rozmlouvat ;-)
Muj dojem vyvolala frekvence tech RST / unreach packetu (ICMP echo
nepocitam, protoze to je ve vyssi frekvenci prakticky vzdy neco, co by
tam byt nemelo).
Necekal jsem, ze je to az tak trvaly a tak vyrazny jev. Pokud bych
dokazal zjistit IP adresy takovych utocicich stroju, asi bych je rovnou
zarizl na firewallu. Nevim, jak dalece to ma realyn efekt, vychazim z
toho, ze pokud moje IP nebude odpovidat, muze se zajem o muj router ze
strany nejakych botnetu pripadne i snizit. Minimalne ale nebudu svuj
stroj zatezovat odesilanim neceho, co neni potreba.
Zbynek
More information about the Users-l
mailing list