Sonteen
September 19, 2012, 1:46pm
1
ขอสอบถามเกี่ยวกับ iptables การป้องกัน syn-flood หน่อยครับง
คือว่าผมไปค้นข้อมูลมาก็ได้มาแบบนี้ แต่ผมต้องการรู้ว่าถ้าจะทำให้มันช้าลงหรือเบาลงกว่านี้
ควรลดหรือเพิ่ม limit/sec + limit brust ครับต้องการให้มันดอปได้มากๆเลย
[COLOR=#000000][FONT=verdana]iptables -N syn-flood[/FONT][/COLOR]
[COLOR=#000000][FONT=verdana]iptables -A syn-flood -m limit --limit 100/second --limit-burst 150 -j RETURN[/FONT][/COLOR]
[COLOR=#000000][FONT=verdana]iptables -A syn-flood -j LOG --log-prefix "SYN flood: "[/FONT][/COLOR]
[COLOR=#000000][FONT=verdana]iptables -A syn-flood -j DROP[/FONT][/COLOR]
limit module นี่ เวลาโดนถล่มมาจริงๆ มันจะ drop ทุกสิ่งทุกอย่างไปด้วยเลยครับ เพราะส่วนใหญ่จะปลอม ip แล้วมันจะดรอปมั่วเลยทีนี้
ถ้าเอาชัวร์ ก็ drop syn แรก (ปล่อยให้ syn retires 2-3 วิ) แต่จะมีผลกระทบคือจะต่อเข้า server ช้าไปหน่อยนึง แล้วถ้าโดนอัดหนักๆ เป็น 200-300Mbps firewall ก็จะตายเองเพราะ conntrack กับ system interrupts ล้นครับ ถ้าไม่สนใจพวกตปท.ก็หารายการ ip ไทยจาก router แล้วallowเฉพาะ ip ไทยครับ นอกนั้นดรอปให้เรียบ จาก 400Mbps จะเหลืออยู่จึ๋งนึง
พวก ip ที่ไม่มีทางเอามายิงได้แน่ๆ เช่น 0.0.0.0/8 192.168.0.0/16 51.0.0.0/8 169.254.0.0/16 อะไรงี้ก็บล๊อคๆ ไปเลยครับ
ถ้าเอายั่งยืนจริงๆ ต้องแกะ Packet แล้วดูว่ามันมาประมาณไหน แล้ว Block เป็นรายเคสไปครับ อันนี้ยากมาก แต่ยั่งยืนแน่นอน (ผมก็ทำไม่เป็นเหมือนกัน)
zephythor:
limit module นี่ เวลาโดนถล่มมาจริงๆ มันจะ drop ทุกสิ่งทุกอย่างไปด้วยเลยครับ เพราะส่วนใหญ่จะปลอม ip แล้วมันจะดรอปมั่วเลยทีนี้
ถ้าเอาชัวร์ ก็ drop syn แรก (ปล่อยให้ syn retires 2-3 วิ) แต่จะมีผลกระทบคือจะต่อเข้า server ช้าไปหน่อยนึง แล้วถ้าโดนอัดหนักๆ เป็น 200-300Mbps firewall ก็จะตายเองเพราะ conntrack กับ system interrupts ล้นครับ ถ้าไม่สนใจพวกตปท.ก็หารายการ ip ไทยจาก router แล้วallowเฉพาะ ip ไทยครับ นอกนั้นดรอปให้เรียบ จาก 400Mbps จะเหลืออยู่จึ๋งนึง
พวก ip ที่ไม่มีทางเอามายิงได้แน่ๆ เช่น 0.0.0.0/8 192.168.0.0/16 51.0.0.0/8 169.254.0.0/16 อะไรงี้ก็บล๊อคๆ ไปเลยครับ
ถ้าเอายั่งยืนจริงๆ ต้องแกะ Packet แล้วดูว่ามันมาประมาณไหน แล้ว Block เป็นรายเคสไปครับ อันนี้ยากมาก แต่ยั่งยืนแน่นอน (ผมก็ทำไม่เป็นเหมือนกัน)
ใช้ iptables จัดการ syn flood ได้เลยหรือเปล่าครับ หรือ ว่า ต้องใช้ hardware firewall ต่างหากครับ
ที่เคยคุยกับ network security มือฉมังคนนึง เค้าว่ากันว่า iptables จัดการได้หมดครับ ถ้าเข้าใจหลักการจริงๆ ว่า packet ส่งยังไง ทำงานยังไง