sysctl net.inet.icmp.icmplim

Dan Lukes dan at obluda.cz
Sun Apr 19 13:48:52 CEST 2015


On 04/19/15 13:22, Zbyněk Burget:
>>> +Limiting icmp unreach response from 252 to 200 packets/sec
>>> +Limiting icmp ping response from 211 to 200 packets/sec
>>> +Limiting closed port RST response from 301 to 200 packets/sec

> Nedokazu odhadnout, jak dalce neco takoveho zatezuje sit.


Prave jsi to udelal. Evidentne ji to zatezuje natolik zanedbatelne, ze 
te to nikdy nevyburcovalo ke zkoumani veci alespon natolik povsechnemu, 
ze bys dopad dokazal odhadnout lip.


> Jsem rad, ze se dozvim, ze se deje neco neobvykleho. Jenze to, co se
> deje, se bojim, ze neobvykle neni :-( Takze by asi bylo nejjednodussi
> proste tu hlasku vypnout (zajistuje jine sysctl). Na druhou stranu bych
> se rad dozvedel, kdyby se nekdo snazil o nejaky DoS utok, kdyby mi
> konkurence skenovala porty (bohuzel dva lidi v mem okoli jsou toho
> schopni) apod.


Ty dve vety si proste protireci. Az se pro jednu rozhodnes, zarid se 
podle toho ;-)

>> Musel byses bliz podivat na to co ty ICMP/RST vyvolava abysis moh'
>> udelat nejakej nazor na aktualni pricinu.
>
> Nad tim prave premyslim, jak ten provoz zanalyzovat.

No zachytis nejaky ten ICMP/RST paket a podivas se do nej. V nem je 
napsano na co to je odpoved ...

Teda, krome pripadu 'ping', kde musis zachytavat uz prichozi paket.

> kdyz se divam na vnejsi iface, vidim, ze (prakticky) vse jde z venkovni verejne

Coz neni az takovy prekvapeni, tak to, s vyjimkou situace, kdy je ovnitr 
site jeden nebo vice zavirovanych stroju, obvykle byva.

> Kdyz se divam na vnitrni iface, tak tam zase samozrejme nevidim utoky
> zvenci. Bohuzel asi jednoduse nejde nastavit tcpdump tak, abych videl
> pouze provoz, ktery je urcen pro muj router a nejedna se o provoz, ktery
> projde NAtem :-(

NATem projde vsechno, co do nej 'divert' pravidlo firewallu zazene. CO 
se tyce prichoziho provozu, tak obvykle uplne vsechno ...

Neco ale projde nezmenene ...

> Takze muj predpoklad byl spravny a tenhle provoz o nejake vyssi
> frekvenci bude prakticky jiste neco, co by v siti byt nemelo - tedy pro
> pripad, ze je to provoz generovany routerem

Nejsem si jisty, jestli si rozumime - ty pakety jsou generovane 
routerem, ale jsou odpovedi na prichozi paket, ktery routerem generovany 
neni.

A s ohledem na NAT to v nekterych pripadech muze byt odpoved na paket, 
ktery prisel v souvislosti s drivejsi komunikaci smerovane na nejaky 
vnitrni stroj - kterazto session uz ale davno zanikla. NAT uz o ni nevi, 
nevi tedy kam "dovnitr" paket poslat, necha ho tedy nezmemeny, takze 
paket dostane ke zpracovani jadro routeru - a to ho zamitne jako paket 
neexistujici session.

>>> Takhle to ale na mě dělá dojem, že to limituje i packety, které skrz
>>> router prochází z vnitřní sítě.
>>
>> Nenaznacil's co tvuj dojem vyvolava, takze tezko ti to rozmlouvat ;-)
>
> Muj dojem vyvolala frekvence tech RST / unreach packetu

Nejdriv musis zjistit na co jsou ty pakety odpovedi. Ztaci si do souboru 
ulozit par minut veskery komunikace a pak se na to podivat off-line. 
Myslim, ze ke kazdemu RST na ktery se podivas najdes o kousek vys paket, 
ktery prisel z venku a odpoved vyvolal.

> Pokud bych dokazal zjistit IP adresy takovych utocicich stroju, asi bych je rovnou
> zarizl na firewallu.

Seznam se pomerne casto meni, v pripade UDP mohou byt zdrojove adresy 
bez problemu padelane, takze si brzo zablokujes i uzitecny stroje, 
fireall ti nakonec nabobtna tak, ze ti bude zpomalovat beznou komunikaci ...

To se muzes rovnou od site uplne odpojit. Podobny vysledek, min prace. ;-)


Dan







More information about the Users-l mailing list