Skocz do zawartości
bischop

DDoS problem with Tomato, iptables, conntrack

Oceń temat:

Rekomendowane odpowiedzi

bischop

Hi

On my router:

Tomato v1.28.0000 MIPSR2-2.4-123 K26 USB AIO
 ========================================================
 Welcome to the Netgear WNR3500L v2 [TomatoUSB]
 
 # uname -a
Linux unknown 2.6.22.19 #4 Wed Oct 29 11:33:28 CET 2014 mips GNU/Linux

got problem with DDoS attack. From time to time - usually every day between 6 p.m. - 01:00 a.m. - somebody is attacking. I`m not sure he is attacking from only one IP address or many.

I got no proper rules for my iptables and i`m not sure exacly how to defend from this kind of attack.

I think this kind of attack is not on TCP but UDP protocol. Why? becouse i think somebody is trying to DDoS my TeamSpeak v3 server behind that router. If TeamSpeak is turned off - there are not DDoS attack at all, my router is alive and not under heavy traffic.

Using iptables && conntrack got a problem, becouse my iptables rules are not accepted becouse i got no conntrack :

# iptables -t mangle -A PREROUTING -m conntrack --ctstate INVALID -j DROP
iptables v1.3.8: Couldn't load match `conntrack':File not found

Try `iptables -h' or 'iptables --help' for more information.

 

 

 

That is weird becouse i think i got it:

# lsmod | grep conntrack
nf_conntrack_h323      37152  0
nf_conntrack_ipv6      14176  3

# modprobe -l | grep conntrack
/lib/modules/2.6.22.19/kernel/net/netfilter/nf_conntrack_h323.ko
/lib/modules/2.6.22.19/kernel/net/netfilter/nf_conntrack_proto_gre.ko
/lib/modules/2.6.22.19/kernel/net/netfilter/nf_conntrack_sip.ko
/lib/modules/2.6.22.19/kernel/net/ipv6/netfilter/nf_conntrack_ipv6.ko
/lib/modules/2.6.22.19/kernel/net/netfilter/nf_conntrack_ftp.ko
/lib/modules/2.6.22.19/kernel/net/netfilter/nf_conntrack_pptp.ko
/lib/modules/2.6.22.19/kernel/net/netfilter/nf_conntrack_rtsp.ko

So if i got it - i dont know how to load this module for IPv4.

# ll -a /lib/modules/2.6.22.19/kernel/net/ipv4/
drwxr-xr-x    3 root     root           191 Oct 29  2014 ./
drwxr-xr-x    9 root     root           105 Oct 29  2014 ../
-rw-r--r--    1 root     root          7704 Oct 29  2014 ah4.ko
-rw-r--r--    1 root     root          9288 Oct 29  2014 esp4.ko
-rw-r--r--    1 root     root          9160 Oct 29  2014 ipcomp.ko
drwxr-xr-x    2 root     root           593 Oct 29  2014 netfilter/
-rw-r--r--    1 root     root          5344 Oct 29  2014 tcp_vegas.ko
-rw-r--r--    1 root     root          5176 Oct 29  2014 tunnel4.ko
-rw-r--r--    1 root     root          3284 Oct 29  2014 xfrm4_mode_beet.ko
-rw-r--r--    1 root     root          2388 Oct 29  2014 xfrm4_mode_transport.ko
-rw-r--r--    1 root     root          3292 Oct 29  2014 xfrm4_mode_tunnel.ko
-rw-r--r--    1 root     root          3956 Oct 29  2014 xfrm4_tunnel.ko

 

 modprobe -a /lib/modules/2.6.22.19/kernel/net/ipv4/  <doesnt exist nf_conntrack_ipv4.ko>

 

 

So my question is how to load conntrack ipv4 to get iptables working with it for udp?

How to set proper rulez for droppig udp traffic by iptables?

How to configure my router to defend that DDoS?

 

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
house
4 godziny temu, bischop napisał:

So my question is how to load conntrack ipv4 to get iptables working with it for udp?

ask here as this is proper place for this issue : 

    Dodaj odpowiedź w tym temacie, aby wyświetlić ukryty link.
. You may also ask here : 
    Dodaj odpowiedź w tym temacie, aby wyświetlić ukryty link.

4 godziny temu, bischop napisał:

How to set proper rulez for droppig udp traffic by iptables?

start here : 

    Dodaj odpowiedź w tym temacie, aby wyświetlić ukryty link.

4 godziny temu, bischop napisał:

How to configure my router to defend that DDoS?

This is like asking how you stop the idiot from calling you over and over and hanging up. There is nothing you can do.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się


  • Przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników, przeglądających tę stronę.

  • Podobna zawartość

    • house
      Przez house
      no właśnie, dokąd ? mniemam ,że poniższy cytaty są zapowiedzią "nowej jakości"
      autor "Tomato by Shibby":
      info od Victeka (tomato raf):
      no cóż, idzie nowe
      a to coś zgoła odmiennego - modyfikacja interfejsu tomato o technologie "web 2.0" wykonana przez jednego z użytkowników ze Słowenii:

      Dodaj odpowiedź w tym temacie, aby wyświetlić ukryty link. Zmiany, zmiany, zmiany
    • Hictis1935
      Przez Hictis1935
      Witam,
      posiadam router ASUS RT-AC68U, firmware Merlin 380.68_4 i światłowód 600 Mbit/s.
      Przy podłączeniu kabla WAN bezpośrednio do karty sieciowej uzyskuję gwarantowaną prędkość.
      W momencie poprowadzenie sieci przez router, maksymalne osiągi oscylują w granicach 500 Mbit/s.
      CPU Core 1 osiąga 100%, Core 2 jest prawie nie używany.
      QoS, Bandwitch Monitor, Air Control i inne dodatki są off.  W zakładce info WAN i Lan 1 Gbps.
      Próbowałem różne ustawienia w zakłade Switch Control (Enable Jumbo Frame, Spanning-Tree Protocol, NAT Acceleration ON/OFF) ale to nic nie pomaga.
       
      Udało mi się znaleźć informacje, że niektórzy na tym routerze wyciągają prędkości > 900 Mbit/s.
      Proszę  pomoc, lub sugestie co jeszcze mógł bym sprawdzić aby w pełni wykorzystać możliwości ISP.
    • house
      Przez house
      Dzięki uprzejmości kolegi Shibby z OL miałem możliwość przetestowania jego modyfikacji Tomato która obsługuje tryb FastNat. Rozwiązanie to pozwala na sprzętowe zwiększenie przepustowości interfejsu WAN-LAN i w związku z tym na rozwinięcie skrzydeł alternatywnego FW jakim jest Tomato na łączach szybszych niż 80Mbit/s.
      W praktyce szybki router jak Asus RT-N66U radzi sobie z obsługą takiego łącza ze względu na szybki procesor (600MHz) ale pełne wysycenie łącza powoduje w tym czasie brak możliwości korzystania równocześnie z innych usług a zwykłe przeglądanie stron powoduje lekką czkawkę przeglądatki. Dzięki FastNat (przynajmniej w moim przypadku) korzystanie z klienta torrent Transmission i równoczesne przeglądanie Flickr lub FB było normalnie możliwe i komfortowe (domownicy nawet nie byli w stanie zauważyć, że serwer NAS utylizuje całą przepustowość). Wkompilowany moduł "bcm_nat" jest właśnie za to odpowiedzialny w Tomato. Przekazana mi kompilacja posiadała go domyślnie wyłączonego ale szybkie polecenie wydane w konsoli uaktywnia ten tryb:
      root@unknown:/tmp/home/root# modprobe bcm_nat  Włączenie oczywiście zostanie zasygnalizowane w syslogu : 
      Sep 13 18:11:23 unknown user.warn kernel: BCM fast NAT: INIT  Test przepustowości łącza 100Mbit/s (8Mbit/s upload) : 


       
      Niestety klient Transmission jakby tego nie zauważył i nadal działał tak jak na normalnym wydaniu tomato :

      Te same pliki torrent pobierane w Transmission na FW Asusa zmodyfikowanym przez RMerlin pokazywały płaski wykres na poziomie 11,2 MB/s.
      Nie był to problem związany z cache dysku w Synology, ilością sesji peerów itp rzeczy. Zmiana FW i wszystko jest ok...
      Muszę jednak dodać, że pomimo działającego klienta torrent inne usługi sieciowe jak i wszyscy podłączeni klienci w mojej sieci nie mieli problemów z połączeniem i jego jakością a wszystko działało bardzo szybko i prawidłowo. To sugeruje, że moduł działa We wcześniejszych wydaniach Tomato nie było to możliwe i dało się zauważyć widoczne "czkawki"
      Tak jak Belliash zasugerował - potrzebne są surowe wyniki więc proszę bardzo
      Router Asus RT-N66U wgrane FW tomato 112-AIO EN wraz modułem bcm_nat. Najpierw wykluczyłem różnice pomiędzy regularnym wydaniem Tomato a otrzymanym testowym. Domyślnie wyłączony moduł sprawia, że zachowuje się identycznie jak wydana w lipcu wersja Tomato by Shibby v112-EN-AIO.
      Do routera podłączyłem od strony WAN komputer HTPC a do portu LAN laptopa. Oba posiadają procesory Intel Core I 3/5, 8GB ram oraz dyski SSD. Karta sieciowa w laptopie (Lenovo Y580) to Atheros Gigabit AR8161 a w HTPC Intel Gigabit 82579V (Intel DH61AG). Następnie za pomocą jperf oraz klienta FTP obadałem czy jakiekolwiek różnice są w stanie potwierdzić moją subiektywną opinię
      JPERF: regularne wydanie Tomato: bin/iperf.exe -c 192.168.1.15 -P 1 -i 1 -p 5001 -f m -t 10 ------------------------------------------------------------ Client connecting to 192.168.1.15, TCP port 5001 TCP window size: 0.06 MByte (default) ------------------------------------------------------------ [152] local 192.168.2.2 port 49450 connected with 192.168.1.15 port 5001 [ ID] Interval       Transfer     Bandwidth [152]  0.0- 1.0 sec  24.5 MBytes   206 Mbits/sec [152]  1.0- 2.0 sec  24.4 MBytes   205 Mbits/sec [152]  2.0- 3.0 sec  24.5 MBytes   205 Mbits/sec [152]  3.0- 4.0 sec  24.4 MBytes   205 Mbits/sec [152]  4.0- 5.0 sec  24.4 MBytes   205 Mbits/sec [152]  5.0- 6.0 sec  24.5 MBytes   206 Mbits/sec [152]  6.0- 7.0 sec  24.3 MBytes   204 Mbits/sec [152]  7.0- 8.0 sec  24.3 MBytes   204 Mbits/sec [152]  8.0- 9.0 sec  24.4 MBytes   204 Mbits/sec [152]  9.0-10.0 sec  24.4 MBytes   205 Mbits/sec [152]  0.0-10.0 sec   244 MBytes   205 Mbits/sec Done.
      Tomato z włączonym modułem fastnat:
      bin/iperf.exe -c 192.168.1.15 -P 1 -i 1 -p 5001 -f m -t 10 ------------------------------------------------------------ Client connecting to 192.168.1.15, TCP port 5001 TCP window size: 0.06 MByte (default) ------------------------------------------------------------ [148] local 192.168.2.2 port 50849 connected with 192.168.1.15 port 5001 [ ID] Interval       Transfer     Bandwidth [148]  0.0- 1.0 sec  43.0 MBytes   361 Mbits/sec [148]  1.0- 2.0 sec  43.3 MBytes   363 Mbits/sec [148]  2.0- 3.0 sec  43.3 MBytes   363 Mbits/sec [148]  3.0- 4.0 sec  43.1 MBytes   361 Mbits/sec [148]  4.0- 5.0 sec  43.0 MBytes   361 Mbits/sec [148]  5.0- 6.0 sec  43.3 MBytes   364 Mbits/sec [148]  6.0- 7.0 sec  43.4 MBytes   364 Mbits/sec [148]  7.0- 8.0 sec  43.3 MBytes   363 Mbits/sec [148]  8.0- 9.0 sec  42.7 MBytes   358 Mbits/sec [148]  9.0-10.0 sec  43.5 MBytes   365 Mbits/sec [148]  0.0-10.0 sec   432 MBytes   362 Mbits/sec Done.
      FTP: regularne wydanie Tomato:

      Tomato z włączonym modułem fastnat:
      Różnice i interpretację wyników pozostawiam Wam
      Widać postęp i należy mieć nadzieję, że wkrótce ten moduł zawita na stale w wydaniach Tomato by Shibby - aczkolwiek to co Shibby sprawdził to :
       

openitforum.pl

Forum poświęcone przesyłaniu i przechowywaniu danych w małej sieci. Prezentujemy testy urządzeń oraz pomagamy w ich obsłudze i konfiguracji.
×

Powiadomienie o plikach cookie

Kontynuując przeglądanie strony, wyrażasz zgodę na używanie przez nas plików cookies. Więcej informacji zawiera nasza Polityka prywatności