Перейти к содержанию
Как правильно добавить self-test и прочую отладку в тему
Где взять тестовые сборки
Официальное хранилище ПО в виде файлов
  • 0

DDos блокировка

VirtuoozX

Ответ от VirtuoozX,

 Поделиться

Вопрос

VirtuoozX Продвинутый пользователь

VirtuoozX

Опубликовано
Опубликовано

Не вижу функции чтобы блокировались пакеты

Чтобы прошло N пакетов и автоматически добавлялся в чёрный список чтобы трафик не пропускался вообще 

35 ответов на этот вопрос

Рекомендуемые сообщения

  • 0
AndreBA Старожил

AndreBA

Опубликовано
Опубликовано (изменено)
  В 27.05.2018 в 15:36, VirtuoozX сказал:

Не вижу функции чтобы блокировались пакеты

Чтобы прошло N пакетов и автоматически добавлялся в чёрный список чтобы трафик не пропускался вообще 

Показать  

Вы про "lockout-policy"? Если да, то в CLI.

Изменено пользователем AndreBA
  • 0
AndreBA Старожил

AndreBA

Опубликовано
Опубликовано
  В 27.05.2018 в 16:45, VirtuoozX сказал:

Как пользоваться какие команды?

Показать  

ip http lockout-policy 5 60 1
system configuration save

ip telnet lockout-policy 5 60 1
system configuration save

ip ftp lockout-policy 5 60 1
system configuration save


ip ssh lockout-policy 5 60 1
system configuration save

  • 0
VirtuoozX Продвинутый пользователь

VirtuoozX

Опубликовано
  • Автор
Опубликовано
  В 27.05.2018 в 16:46, AndreBA сказал:

ip http lockout-policy 5 60 1
system configuration save

ip telnet lockout-policy 5 60 1
system configuration save

ip ftp lockout-policy 5 60 1
system configuration save


ip ssh lockout-policy 5 60 1
system configuration save

Показать  

вместо ip это мне надо ip вводить же?
вместо http я так понял порт
Или просто ввести как ip http lockout-policy 5 60 1 и по достижению он заблокируется автоматически

  • 0
AndreBA Старожил

AndreBA

Опубликовано
Опубликовано
  В 27.05.2018 в 16:49, VirtuoozX сказал:

вместо ip это мне надо ip вводить же?
вместо http я так понял порт
Или просто ввести как ip http lockout-policy 5 60 1 и по достижению он заблокируется автоматически

Показать  

Как есть так и вводить.

  • 0
VirtuoozX Продвинутый пользователь

VirtuoozX

Опубликовано
  • Автор
Опубликовано

Так эти команды защита от взлома. А как бороться с Flood которые ддосят сам маршрутизатор и какой нить ресурс либо сервер или сайт. Как сделать чтобы автоматически отправлялся в Банлист

  • 0
VirtuoozX Продвинутый пользователь

VirtuoozX

Опубликовано
  • Автор
Опубликовано
  В 27.05.2018 в 17:07, AndreBA сказал:

Посмотреть в "Межсетевой экран". Возможно там получится.

Показать  

Особенно если было. ДДосили ботнетами по 100+ адресов
То сам в ручную замучиешься их вводить 

  • 0
AndreBA Старожил

AndreBA

Опубликовано
Опубликовано
  В 27.05.2018 в 17:09, VirtuoozX сказал:

А как бороться с Flood которые ддосят сам маршрутизатор и какой нить ресурс либо сервер или сайт. Как сделать чтобы автоматически отправлялся в Банлист

Показать  

Сам роутер ддосит?  Тогда извиняюсь, не помогу :-(

  • 0
Rootdiv Старожил

Rootdiv

Опубликовано
Опубликовано
  В 27.05.2018 в 16:49, VirtuoozX сказал:

просто ввести как ip http lockout-policy 5 60 1 и по достижению он заблокируется автоматически

Показать  

Да. https://help.keenetic.com/hc/ru/articles/115000400185-Функция-защиты-от-перебора-паролей-для-доступа-к-интернет-центру

  • 0
VirtuoozX Продвинутый пользователь

VirtuoozX

Опубликовано
  • Автор
Опубликовано (изменено)

Неет вы меня не поняли.
За Маршрутизатором стоит Компьютер на котором стоит стоит сервер cs 1.6 примеру на порту 27015

Есть в интернете флудер ( Название не скажу тут если только будет интересно в лс ) Так вот работает так. Отправляет на сервер пакеты и сервер просто пропадает из списка ( Порт просто не отвечает ) А все кто сидит на сервере то всё хорошо работает ICMP зафлудили и сервер не отображает из вне.
Так вот как можно сделать чтобы автоматически банило Те адреса флудеров без моей помощи когда меня нету дома.

Изменено пользователем VirtuoozX
  • 0
vadimbn Старожил

vadimbn

Опубликовано
Опубликовано
  В 27.05.2018 в 20:35, VirtuoozX сказал:

Так вот как можно сделать чтобы автоматически банило Те адреса флудеров без моей помощи когда меня нету дома.

Показать  

Посредством самого маршрутизатора, его ПО, это не реализуемо. Я просил в МСЭ добавить списки IP-адресов. Имея такие списки можно было бы реализовать правила блокировки множественных адресов и подсетей, но разработчикам, очевидно, это не нужно. Устанавливайте Entware, там есть функционал IPset. Ну и помните, что от грамотно организованной именно DDOS (то есть распределенной атаки) роутер не спасет.

  • 0
VirtuoozX Продвинутый пользователь

VirtuoozX

Опубликовано
  • Автор
Опубликовано
  В 28.05.2018 в 01:49, vadimbn сказал:

Посредством самого маршрутизатора, его ПО, это не реализуемо. Я просил в МСЭ добавить списки IP-адресов. Имея такие списки можно было бы реализовать правила блокировки множественных адресов и подсетей, но разработчикам, очевидно, это не нужно. Устанавливайте Entware, там есть функционал IPset. Ну и помните, что от грамотно организованной именно DDOS (то есть распределенной атаки) роутер не спасет.

Показать  

Смотря какая атака. Если ддосили 22 порт и 80 то простая блокировка спасала.
Если UDP Которая атака достигала в 3 гб то нет.

  • 0
VirtuoozX Продвинутый пользователь

VirtuoozX

Опубликовано
  • Автор
Опубликовано
  В 28.05.2018 в 01:49, vadimbn сказал:

Посредством самого маршрутизатора, его ПО, это не реализуемо. Я просил в МСЭ добавить списки IP-адресов. Имея такие списки можно было бы реализовать правила блокировки множественных адресов и подсетей, но разработчикам, очевидно, это не нужно. Устанавливайте Entware, там есть функционал IPset. Ну и помните, что от грамотно организованной именно DDOS (то есть распределенной атаки) роутер не спасет.

Показать  

Дифицит с накопителями этими.

Как его установить как пользоваться.

Или требовать функцию

  • 0
VirtuoozX Продвинутый пользователь

VirtuoozX

Опубликовано
  • Автор
Опубликовано (изменено)

Вообще не обходимая функция. Особенно столько возможностей сделать прошивку более продвинутой. А такого нету. Я вообще маршрутизатор покупал чтобы ддосы отбивать а не просто раздать wifi 

Изменено пользователем VirtuoozX
  • 0
vasek00 Старожил

vasek00

Опубликовано
Опубликовано (изменено)
  В 29.05.2018 в 11:55, VirtuoozX сказал:

Вообще не обходимая функция. Особенно столько возможностей сделать прошивку более продвинутой. А такого нету. Я вообще маршрутизатор покупал чтобы ддосы отбивать а не просто раздать wifi 

Показать  

В прошивки уже присутствует тот уровень защиты который необходим пользователю, если что-то нужно за данным уровнем, то берем flash размером не менее ну скажем 1GB устанавливаем Entware + необходимые доп.сервисы по защите. Тут уже на сколько фантазии хватит, можно и без IPset.

В интернете много есть примеров один их таких например ловушка TARPIT, тут аккуратней так как ресурсы ограничены это же роутер, как уменьшить в интернете так же есть.

  Цитата

TARPIT — «подвесить» TCP-соединение. Используется лишь в самых крайних случаях, например, при борьбе с DoS-атаками. Отвечает на входящее соединение, после чего уменьшает размер фрейма до нуля, блокируя возможность передачи данных. Соединение будет «висеть» таком состоянии, пока не истечет таймаут на атакующей стороне (обычно 20—30 минут). При этом на такое соединение расходуются системные ресурсы атакующей стороны (процессорное время и оперативная память), что может быть весьма ощутимо при значительном количестве соединений. В случае правильного использования действия TARPIT ресурсы атакуемой стороны практически не расходуются. Под правильным применением понимается предотвращение обработки таких соединений подсистемой conntrack, так как в противном случае будут расходоваться системные ресурсы самого атакуемого хоста. Например, перед добавлением правила блокирования порта

Показать  

Так же простенькие правила например, которые проходят

  Цитата

/ # iptables -I INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
/ # iptables -I INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -j DROP
/ # iptables -nvL
Chain INPUT (policy DROP 0 packets, 0 bytes)

   0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp flags:0x17/0x04 limit: avg 1/sec burst 5
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp flags:0x17/0x04

 

/ # iptables -I FORWARD -p tcp --dport 89 -m time --timestart 06:00 --timestop 17:00 --weekdays Mon -j REJECT

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
...
    0     0 REJECT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:89 TIME from 06:00:00 to 17:00:00 on Mon UTC reject-with icmp-port-unreachable

 

/ # iptables -I FORWARD -s 10.0.0.0/8 -p tcp -m string --algo bm --string "baddom.ru" -j DROP

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DROP       tcp  --  *      *       10.0.0.0/8           0.0.0.0/0            STRING match  "baddom.ru" ALGO name bm TO 65535

Показать  

ну тут нужно учесть спец.прошивки по обработке правил.

Изменено пользователем vasek00
  • 0
VirtuoozX Продвинутый пользователь

VirtuoozX

Опубликовано
  • Автор
Опубликовано (изменено)

При попытке установить Entware происходит такое.

А флешка наколилась как горячая сковородка. И чуть ли не жгёт пальцы 
  Показать контент
 
Изменено пользователем VirtuoozX
  • 0
Mamay Старожил

Mamay

Опубликовано
Опубликовано
  В 30.05.2018 в 05:35, VirtuoozX сказал:

На NTFS завелось. 

Показать  

Все последующие проблемы "кривой" работы или неработоспособности демонов entware, может адресовать самому себе, из-за вашего нежелания использования ext2/3/4...

  • 0
VirtuoozX Продвинутый пользователь

VirtuoozX

Опубликовано
  • Автор
Опубликовано
  В 30.05.2018 в 13:05, Mamay сказал:

Все последующие проблемы "кривой" работы или неработоспособности демонов entware, может адресовать самому себе, из-за вашего нежелания использования ext2/3/4...

Показать  

А я не знаю как форматировать в эти форматы.

В офф топике была программа EaseUS Partition Master Home Edition 

https://help.keenetic.com/hc/ru/articles/214471145-Использование-файловой-системы-EXT3-на-USB-накопителях

Но она требует регистрацию продукта

  • 0
VirtuoozX Продвинутый пользователь

VirtuoozX

Опубликовано
  • Автор
Опубликовано

Установил OPKG

Установил Entware

Потом установил iptables  (  opkg install iptables )

Теперь такое

~ # iptables -A INPUT -p icmp --icmp-type echo-request -m 30 --40 1/s -j ACCEPT
iptables v1.4.21: Couldn't load match `30':No such file or directory
 

  • 0
VirtuoozX Продвинутый пользователь

VirtuoozX

Опубликовано
  • Автор
Опубликовано (изменено)

Всё форматировал в  ext3

Поставил Entware

Дальше какие действия

Изменено пользователем VirtuoozX

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.

Гость
Ответить на вопрос...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Поделиться
Перейти к списку вопросов

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...

Важная информация

На этом сайте используются файлы cookie. Нажимая "Я принимаю" или продолжая просмотр сайта, вы разрешаете их использование: Политика конфиденциальности.

  Я принимаю