DoS na router/stanici malymi datagramy (2.4.21-15.0.3.EL aka RHEL3)

Čtvrtek Červenec 8 15:10:18 CEST 2004

On Thu, Jul 08, 2004 at 03:00:03PM +0200, Peter Surda wrote:
> > mam router, ktery je pripojen 100Mbps linkoui (FD). Pokud nekdo zacne delat
> > DoS malymi datagramy na stanici schovanou za routerem, system po dobu utoku
> > zmrzne tak, ze skrz prochazi asi 5% datagramu a nelze se prihlasit ani nic
> > delat na konzoli.
> Napis skript, ktory toto detekuje, a pri detekcii zablokuje cez snmp na
> switchi port "zlej" masine.

To nelze, protoze masina odumre drive, nez se staci cokoliv udelat. Je
to otazka nekolika vterin. Po odezneni utoku se zase normalne vsechno
rozjede (Athlon 1.1GHz, 256MB RAM).

Krome toho me pres SNMP na centralni router providera nepusti :(

> Inac, mam s podobnymi problemami skusenosti, a vyvijam projekt Automatic
> Security Policy Enforcement, ktory bude okrem ineho presne toto robit.

Dovedu si takovou berlicku predstavit do 1Mbps linky...

> Yo a este by som si skontroloval, ci problem nemoze byt sposobeny
> suboptimalnym iptables (napriklad kazdy paket musi prechadzat stovky
> pravidiel).

Jak jsem psal, nezavisi to na pritomnosti iptables ani modulu. Takze ani
zmenseni conntrack tabulky nema vyznam (i kdyz jsem to jiz udelal).

Spise je to systemovy problem. Bud proste ty preruseni to PC nezvladne
nebo je to chyba designu obsluhy preruseni.

-- 
                        Milan Kerslager
                        E-mail: milan.kerslager na pslib.cz
                        WWW:    http://www.pslib.cz/~kerslage/