Jump to content
  • 0

DDos блокировка


VirtuoozX

Question

Не вижу функции чтобы блокировались пакеты

Чтобы прошло N пакетов и автоматически добавлялся в чёрный список чтобы трафик не пропускался вообще 

Link to comment
Share on other sites

Recommended Posts

  • 0
16 минут назад, VirtuoozX сказал:

Не вижу функции чтобы блокировались пакеты

Чтобы прошло N пакетов и автоматически добавлялся в чёрный список чтобы трафик не пропускался вообще 

Вы про "lockout-policy"? Если да, то в CLI.

Edited by AndreBA
Link to comment
Share on other sites

  • 0
58 минут назад, AndreBA сказал:

Вы про "lockout-policy"? Если да, то в CLI.

Ничего подобного не нашёл в интернете. Как пользоваться какие команды?

Link to comment
Share on other sites

  • 0
Только что, VirtuoozX сказал:

Как пользоваться какие команды?

ip http lockout-policy 5 60 1
system configuration save

ip telnet lockout-policy 5 60 1
system configuration save

ip ftp lockout-policy 5 60 1
system configuration save


ip ssh lockout-policy 5 60 1
system configuration save

Link to comment
Share on other sites

  • 0
1 минуту назад, AndreBA сказал:

ip http lockout-policy 5 60 1
system configuration save

ip telnet lockout-policy 5 60 1
system configuration save

ip ftp lockout-policy 5 60 1
system configuration save


ip ssh lockout-policy 5 60 1
system configuration save

вместо ip это мне надо ip вводить же?
вместо http я так понял порт
Или просто ввести как ip http lockout-policy 5 60 1 и по достижению он заблокируется автоматически

Link to comment
Share on other sites

  • 0
Только что, VirtuoozX сказал:

вместо ip это мне надо ip вводить же?
вместо http я так понял порт
Или просто ввести как ip http lockout-policy 5 60 1 и по достижению он заблокируется автоматически

Как есть так и вводить.

Link to comment
Share on other sites

  • 0
Только что, VirtuoozX сказал:

А как ввести порт.
Хочу допустим поставить на 27015 порт
 

На порт наверно в правилах надо настраивать.

Link to comment
Share on other sites

  • 0

Так эти команды защита от взлома. А как бороться с Flood которые ддосят сам маршрутизатор и какой нить ресурс либо сервер или сайт. Как сделать чтобы автоматически отправлялся в Банлист

Link to comment
Share on other sites

  • 0
2 минуты назад, AndreBA сказал:

Посмотреть в "Межсетевой экран". Возможно там получится.

Особенно если было. ДДосили ботнетами по 100+ адресов
То сам в ручную замучиешься их вводить 

Link to comment
Share on other sites

  • 0
11 минуту назад, VirtuoozX сказал:

А как бороться с Flood которые ддосят сам маршрутизатор и какой нить ресурс либо сервер или сайт. Как сделать чтобы автоматически отправлялся в Банлист

Сам роутер ддосит?  Тогда извиняюсь, не помогу :-(

Link to comment
Share on other sites

  • 0
32 минуты назад, VirtuoozX сказал:

просто ввести как ip http lockout-policy 5 60 1 и по достижению он заблокируется автоматически

Да. https://help.keenetic.com/hc/ru/articles/115000400185-Функция-защиты-от-перебора-паролей-для-доступа-к-интернет-центру

Link to comment
Share on other sites

  • 0

Неет вы меня не поняли.
За Маршрутизатором стоит Компьютер на котором стоит стоит сервер cs 1.6 примеру на порту 27015

Есть в интернете флудер ( Название не скажу тут если только будет интересно в лс ) Так вот работает так. Отправляет на сервер пакеты и сервер просто пропадает из списка ( Порт просто не отвечает ) А все кто сидит на сервере то всё хорошо работает ICMP зафлудили и сервер не отображает из вне.
Так вот как можно сделать чтобы автоматически банило Те адреса флудеров без моей помощи когда меня нету дома.

Edited by VirtuoozX
Link to comment
Share on other sites

  • 0
5 часов назад, VirtuoozX сказал:

Так вот как можно сделать чтобы автоматически банило Те адреса флудеров без моей помощи когда меня нету дома.

Посредством самого маршрутизатора, его ПО, это не реализуемо. Я просил в МСЭ добавить списки IP-адресов. Имея такие списки можно было бы реализовать правила блокировки множественных адресов и подсетей, но разработчикам, очевидно, это не нужно. Устанавливайте Entware, там есть функционал IPset. Ну и помните, что от грамотно организованной именно DDOS (то есть распределенной атаки) роутер не спасет.

Link to comment
Share on other sites

  • 0
39 минут назад, vadimbn сказал:

Посредством самого маршрутизатора, его ПО, это не реализуемо. Я просил в МСЭ добавить списки IP-адресов. Имея такие списки можно было бы реализовать правила блокировки множественных адресов и подсетей, но разработчикам, очевидно, это не нужно. Устанавливайте Entware, там есть функционал IPset. Ну и помните, что от грамотно организованной именно DDOS (то есть распределенной атаки) роутер не спасет.

Смотря какая атака. Если ддосили 22 порт и 80 то простая блокировка спасала.
Если UDP Которая атака достигала в 3 гб то нет.

Link to comment
Share on other sites

  • 0
В 28.05.2018 в 11:49, vadimbn сказал:

Посредством самого маршрутизатора, его ПО, это не реализуемо. Я просил в МСЭ добавить списки IP-адресов. Имея такие списки можно было бы реализовать правила блокировки множественных адресов и подсетей, но разработчикам, очевидно, это не нужно. Устанавливайте Entware, там есть функционал IPset. Ну и помните, что от грамотно организованной именно DDOS (то есть распределенной атаки) роутер не спасет.

Дифицит с накопителями этими.

Как его установить как пользоваться.

Или требовать функцию

Link to comment
Share on other sites

  • 0
1 час назад, VirtuoozX сказал:

Или требовать функцию

Голосуйте в той теме, может быть прислушаются.

Link to comment
Share on other sites

  • 0

Вообще не обходимая функция. Особенно столько возможностей сделать прошивку более продвинутой. А такого нету. Я вообще маршрутизатор покупал чтобы ддосы отбивать а не просто раздать wifi 

Edited by VirtuoozX
Link to comment
Share on other sites

  • 0
2 часа назад, VirtuoozX сказал:

Вообще не обходимая функция. Особенно столько возможностей сделать прошивку более продвинутой. А такого нету. Я вообще маршрутизатор покупал чтобы ддосы отбивать а не просто раздать wifi 

В прошивки уже присутствует тот уровень защиты который необходим пользователю, если что-то нужно за данным уровнем, то берем flash размером не менее ну скажем 1GB устанавливаем Entware + необходимые доп.сервисы по защите. Тут уже на сколько фантазии хватит, можно и без IPset.

В интернете много есть примеров один их таких например ловушка TARPIT, тут аккуратней так как ресурсы ограничены это же роутер, как уменьшить в интернете так же есть.

Цитата

TARPIT — «подвесить» TCP-соединение. Используется лишь в самых крайних случаях, например, при борьбе с DoS-атаками. Отвечает на входящее соединение, после чего уменьшает размер фрейма до нуля, блокируя возможность передачи данных. Соединение будет «висеть» таком состоянии, пока не истечет таймаут на атакующей стороне (обычно 20—30 минут). При этом на такое соединение расходуются системные ресурсы атакующей стороны (процессорное время и оперативная память), что может быть весьма ощутимо при значительном количестве соединений. В случае правильного использования действия TARPIT ресурсы атакуемой стороны практически не расходуются. Под правильным применением понимается предотвращение обработки таких соединений подсистемой conntrack, так как в противном случае будут расходоваться системные ресурсы самого атакуемого хоста. Например, перед добавлением правила блокирования порта

Так же простенькие правила например, которые проходят

Цитата

/ # iptables -I INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
/ # iptables -I INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -j DROP
/ # iptables -nvL
Chain INPUT (policy DROP 0 packets, 0 bytes)

   0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp flags:0x17/0x04 limit: avg 1/sec burst 5
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp flags:0x17/0x04

 

/ # iptables -I FORWARD -p tcp --dport 89 -m time --timestart 06:00 --timestop 17:00 --weekdays Mon -j REJECT

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
...
    0     0 REJECT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:89 TIME from 06:00:00 to 17:00:00 on Mon UTC reject-with icmp-port-unreachable

 

/ # iptables -I FORWARD -s 10.0.0.0/8 -p tcp -m string --algo bm --string "baddom.ru" -j DROP

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DROP       tcp  --  *      *       10.0.0.0/8           0.0.0.0/0            STRING match  "baddom.ru" ALGO name bm TO 65535

ну тут нужно учесть спец.прошивки по обработке правил.

Edited by vasek00
Link to comment
Share on other sites

  • 0

При попытке установить Entware происходит такое.

А флешка наколилась как горячая сковородка. И чуть ли не жгёт пальцы 
Скрытый текст

 

kernel: sd 2:0:0:0: [sda] Attached SCSI removable disk
Май 30 01:44:29
 
ndm
FileSystem::Ext: "/dev/sda" has an unknown partition type, ignored.
Май 30 01:44:29
 
ndm
FileSystem::Ext: vfat "422D-4409:": filesystem initialized.
Май 30 01:44:29
 
ndm
kernel: tfat: fail_safe is enabled
Май 30 01:44:29
 
ndm
kernel: tfat: cluster_heap_lbo 0x400000
Май 30 01:44:29
 
ndm
kernel: tfat: 12 blkbits for normal inodes
Май 30 01:44:29
 
ndm
kernel: tfat: fat start lbo 0x58400
Май 30 01:44:29
 
ndm
kernel: tfat: 9 blkbits for main FAT32 inode
Май 30 01:44:29
 
ndm
kernel: tfat: cluster size 4096
Май 30 01:44:30
 
ndm
kernel: tfat info: FAT32 volume name 'ENTWARE', version 0.0.
Май 30 01:44:30
 
ndm
FileSystem::Repository: "422D-4409:" registered.
Май 30 01:44:30
 
ndm
Opkg::Manager: /tmp/mnt/ENTWARE mounted to /tmp/mnt/ENTWARE.
Май 30 01:44:30
 
ndm
Opkg::Manager: /tmp/mnt/ENTWARE mounted to /opt/.
Май 30 01:44:30
 
npkg
inflating "mipsel-installer.tar.gz".
Май 30 01:44:30
 
npkg
failed to inflate "mipsel-installer.tar.gz": bin/renice: operation not permitted.
Май 30 01:44:30
 
ndm
Opkg::Manager: system failed [0xcffd01a5], exit code 147.
Май 30 01:44:30
 
ndm
Opkg::Manager: invalid initrc "/opt/etc/initrc": no such file or directory, trying /opt/etc/init.d/.
Май 29 18:44:31
 
installer
Critical error: Используйте накопитель с файловой системой ext2/ext3/ext4. Отменяем...
Май 30 01:44:31
 
ndm
Opkg::Manager: /opt/etc/init.d/doinstall: exit code 1.

 

 
Edited by VirtuoozX
Link to comment
Share on other sites

  • 0
7 часов назад, VirtuoozX сказал:

На NTFS завелось. 

Все последующие проблемы "кривой" работы или неработоспособности демонов entware, может адресовать самому себе, из-за вашего нежелания использования ext2/3/4...

Link to comment
Share on other sites

  • 0
10 часов назад, Mamay сказал:

Все последующие проблемы "кривой" работы или неработоспособности демонов entware, может адресовать самому себе, из-за вашего нежелания использования ext2/3/4...

А я не знаю как форматировать в эти форматы.

В офф топике была программа EaseUS Partition Master Home Edition 

https://help.keenetic.com/hc/ru/articles/214471145-Использование-файловой-системы-EXT3-на-USB-накопителях

Но она требует регистрацию продукта

Link to comment
Share on other sites

  • 0

Установил OPKG

Установил Entware

Потом установил iptables  (  opkg install iptables )

Теперь такое

~ # iptables -A INPUT -p icmp --icmp-type echo-request -m 30 --40 1/s -j ACCEPT
iptables v1.4.21: Couldn't load match `30':No such file or directory
 

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...