dst-limit и защита от DoS

Базовая функциональность RouterOS
Igor
Сообщения: 4
Зарегистрирован: 30 апр 2017, 13:29

dst-limit и защита от DoS

Сообщение Igor » 30 апр 2017, 13:48

Добрый день!
Читал Ваш пост: https://forum.mikrotik.com/viewtopic.php?f=2&t=54607 . Правило работает. Проверял с помощью hping3 и на "живой" технике.
Но возникло недопонимание единицы измерения для параметра dst-limit. Рассмотрю на примере этой строки: add chain=block-ddos dst-limit=50,50,src-and-dst-addresses/10s action=return

Разночтения:
  • Если я правильно, то в темы Вы подразумеваете, что разрешены первые 50 подключений и далее не более + 50 подключений за каждые 10 секунд от источника А к цели Б. Т. е. 50 = 50 подключений. Судя по этому единицей измерения являются подключения.
  • Здесь: https://wiki.mikrotik.com/wiki/Manual:I ... all/Filter говорится другое. Burst - initial number of packets per flow to match: this number gets recharged by one every time/count, up to this number. Если же судить по этому, то будут разрешены первые 50 пакетов + 50 пакетов каждые 10 секунд от источника к цели Б. Т. е. 50 = 50 пакетов. Судя по этому единицей измерения являются пакеты.
Можете разъяснить ситуацию?

Аватара пользователя
Chupaka
Сообщения: 990
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: dst-limit и защита от DoS

Сообщение Chupaka » 30 апр 2017, 15:47

Добрый.

Строго говоря, ни первое, ни второе не правильно :)
Правильно — число обращений к этому правилу файрвола (со скидкой на то, что правило обрабатывает всё же пакеты). Если оно будет обрабатывать все пакеты — то лимит получается в пакетах. У меня же в forward предлагается использовать правило "add chain=forward connection-state=new action=jump jump-target=block-ddos" — т.е. в цепочку block-ddos уйдут на анализ только пакеты, начинающие новое соединение (connection-state=new, каждый первый пакет нового соединения) — поэтому в моём примере получается лимит в количестве соединений.

Igor
Сообщения: 4
Зарегистрирован: 30 апр 2017, 13:29

Re: dst-limit и защита от DoS

Сообщение Igor » 30 апр 2017, 17:50

Понял. Спасибо! Анализировал это правило в отрыве от предыдущего.

Igor
Сообщения: 4
Зарегистрирован: 30 апр 2017, 13:29

Re: dst-limit и защита от DoS

Сообщение Igor » 02 май 2017, 14:13

С началом понедельника правило начало заносить в черный список много доверенных устройств.
Нашел вариант решения: Указать входящий интерфейс = WAN. За счет этого у меня перестали попадать в бан локальные адреса, которые не заражены, а просто имеют много подключений.

Вариант решения с белым списком не подходит, т.к. по мимо серверов начали попадать в бан и произвольные локальные IP-адреса. В моем случае интерфейс в локальной сети является доверенным. Если я правильно понимаю, то Вы работаете в Интернет-провайдере и у Вас оба интерфейса являются недоверенными. Была ли у Вас такая проблема или у Вас все работает в виде dst-limit=50,50?

Аватара пользователя
Chupaka
Сообщения: 990
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: dst-limit и защита от DoS

Сообщение Chupaka » 04 май 2017, 00:00

Как вижу, у нас сейчас где-то dst-limit=24,256,src-and-dst-addresses, где-то вообще dst-limit=16,256,src-and-dst-addresses

Т.е. даём большой (256) burst для всяких серверов с ненастроенным Connection: keep-alive, но если методично и долго долбятся - тогда попадают под блокировку

Igor
Сообщения: 4
Зарегистрирован: 30 апр 2017, 13:29

Re: dst-limit и защита от DoS

Сообщение Igor » 04 май 2017, 13:30

Спасибо.

Antares
Сообщения: 7
Зарегистрирован: 24 май 2017, 21:03

Re: dst-limit и защита от DoS

Сообщение Antares » 24 май 2017, 21:19

Доброго времени.
Примерно с год использую этот метод (слегка заточенный под свои нужды) на шлюзах. На CCR 1036 работает и иногда облегчает жизнь. Сейчас пробую на CHR и ничего не могу понять. dst-limit при любых значениях обрабатывает практически все коннекты, соответственно все адреса благополучно попадают в адресные листы и благополучно блочатся...
Коллеги, никто не сталкивался с таким на каких-нить железках?

Аватара пользователя
Chupaka
Сообщения: 990
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: dst-limit и защита от DoS

Сообщение Chupaka » 24 май 2017, 23:43

Connection Tracking включен?

Antares
Сообщения: 7
Зарегистрирован: 24 май 2017, 21:03

Re: dst-limit и защита от DoS

Сообщение Antares » 25 май 2017, 16:31

Включен. Стоял на auto, попробовал переключить на yes, картина не изменилась.

Аватара пользователя
Chupaka
Сообщения: 990
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: dst-limit и защита от DoS

Сообщение Chupaka » 26 май 2017, 11:49

Т.е. правила те же, но правило с dst-limit не срабатывает, поэтому пакеты идут дальше по правилам? Можно попробовать поставить после него правило для логирования всех соединений, чтобы увидеть, что там в таком количестве лезет...

Ответить