[vpsFree.cz: community-list] mnoho spojení SYN_RECV - DDOS botnet?

Michal Halenka michal.halenka at gmail.com
Thu Oct 31 10:33:42 CET 2019


Ahoj,

můžeš prosím přidat i výpis:
iptables -vL

aby bylo vidět které pravidlo to "vyřešilo"?

Díky
MH

Dne 30. 10. 19 v 10:08 Petr Parolek napsal(a):
> Ahoj,
> 
> včera jsem trochu hledal na internetu a pomohlo mi přidat tyto
> pravidla ze článku https://javapipe.com/blog/iptables-ddos-protection/
> a zdá se, že fungují:
> 
> ### 1: Drop invalid packets ###
> /sbin/iptables -t mangle -A PREROUTING -m conntrack --ctstate INVALID -j DROP
> 
> ### 2: Drop TCP packets that are new and are not SYN ###
> /sbin/iptables -t mangle -A PREROUTING -p tcp ! --syn -m conntrack
> --ctstate NEW -j DROP
> 
> ### 3: Drop SYN packets with suspicious MSS value ###
> /sbin/iptables -t mangle -A PREROUTING -p tcp -m conntrack --ctstate
> NEW -m tcpmss ! --mss 536:65535 -j DROP
> 
> ### 4: Block packets with bogus TCP flags ###
> /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags
> FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
> /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags FIN,SYN
> FIN,SYN -j DROP
> /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags SYN,RST
> SYN,RST -j DROP
> /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags FIN,RST
> FIN,RST -j DROP
> /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags FIN,ACK FIN -j DROP
> /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags ACK,URG URG -j DROP
> /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags ACK,FIN FIN -j DROP
> /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags ACK,PSH PSH -j DROP
> /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags ALL ALL -j DROP
> /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags ALL NONE -j DROP
> /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags ALL
> FIN,PSH,URG -j DROP
> /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags ALL
> SYN,FIN,PSH,URG -j DROP
> /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags ALL
> SYN,RST,ACK,FIN,URG -j DROP
> 
> ### 5: Block spoofed packets ###
> /sbin/iptables -t mangle -A PREROUTING -s 224.0.0.0/3 -j DROP
> /sbin/iptables -t mangle -A PREROUTING -s 169.254.0.0/16 -j DROP
> /sbin/iptables -t mangle -A PREROUTING -s 172.16.0.0/12 -j DROP
> /sbin/iptables -t mangle -A PREROUTING -s 192.0.2.0/24 -j DROP
> /sbin/iptables -t mangle -A PREROUTING -s 192.168.0.0/16 -j DROP
> /sbin/iptables -t mangle -A PREROUTING -s 10.0.0.0/8 -j DROP
> /sbin/iptables -t mangle -A PREROUTING -s 0.0.0.0/8 -j DROP
> /sbin/iptables -t mangle -A PREROUTING -s 240.0.0.0/5 -j DROP
> /sbin/iptables -t mangle -A PREROUTING -s 127.0.0.0/8 ! -i lo -j DROP
> 
> ### 6: Drop ICMP (you usually don't need this protocol) ###
> /sbin/iptables -t mangle -A PREROUTING -p icmp -j DROP
> 
> ### 7: Drop fragments in all chains ###
> /sbin/iptables -t mangle -A PREROUTING -f -j DROP
> 
> ### 8: Limit connections per source IP ###
> /sbin/iptables -A INPUT -p tcp -m connlimit --connlimit-above 111 -j
> REJECT --reject-with tcp-reset
> 
> ### 9: Limit RST packets ###
> /sbin/iptables -A INPUT -p tcp --tcp-flags RST RST -m limit --limit
> 2/s --limit-burst 2 -j ACCEPT
> /sbin/iptables -A INPUT -p tcp --tcp-flags RST RST -j DROP
> 
> ### 10: Limit new TCP connections per second per source IP ###
> /sbin/iptables -A INPUT -p tcp -m conntrack --ctstate NEW -m limit
> --limit 60/s --limit-burst 20 -j ACCEPT
> /sbin/iptables -A INPUT -p tcp -m conntrack --ctstate NEW -j DROP
> 
> ### 1: Drop invalid packets ###
> /sbin/iptables -t mangle -A PREROUTING -m conntrack --ctstate INVALID -j DROP
> 
> ### 2: Drop TCP packets that are new and are not SYN ###
> /sbin/iptables -t mangle -A PREROUTING -p tcp ! --syn -m conntrack
> --ctstate NEW -j DROP
> 
> ### 3: Drop SYN packets with suspicious MSS value ###
> /sbin/iptables -t mangle -A PREROUTING -p tcp -m conntrack --ctstate
> NEW -m tcpmss ! --mss 536:65535 -j DROP
> 
> ### 4: Block packets with bogus TCP flags ###
> /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags
> FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
> /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags FIN,SYN
> FIN,SYN -j DROP
> /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags SYN,RST
> SYN,RST -j DROP
> /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags FIN,RST
> FIN,RST -j DROP
> /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags FIN,ACK FIN -j DROP
> /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags ACK,URG URG -j DROP
> /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags ACK,FIN FIN -j DROP
> /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags ACK,PSH PSH -j DROP
> /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags ALL ALL -j DROP
> /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags ALL NONE -j DROP
> /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags ALL
> FIN,PSH,URG -j DROP
> /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags ALL
> SYN,FIN,PSH,URG -j DROP
> /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags ALL
> SYN,RST,ACK,FIN,URG -j DROP
> 
> ### 5: Block spoofed packets ###
> /sbin/iptables -t mangle -A PREROUTING -s 224.0.0.0/3 -j DROP
> /sbin/iptables -t mangle -A PREROUTING -s 169.254.0.0/16 -j DROP
> /sbin/iptables -t mangle -A PREROUTING -s 172.16.0.0/12 -j DROP
> /sbin/iptables -t mangle -A PREROUTING -s 192.0.2.0/24 -j DROP
> /sbin/iptables -t mangle -A PREROUTING -s 192.168.0.0/16 -j DROP
> /sbin/iptables -t mangle -A PREROUTING -s 10.0.0.0/8 -j DROP
> /sbin/iptables -t mangle -A PREROUTING -s 0.0.0.0/8 -j DROP
> /sbin/iptables -t mangle -A PREROUTING -s 240.0.0.0/5 -j DROP
> /sbin/iptables -t mangle -A PREROUTING -s 127.0.0.0/8 ! -i lo -j DROP
> 
> ### 6: Drop ICMP (you usually don't need this protocol) ###
> /sbin/iptables -t mangle -A PREROUTING -p icmp -j DROP
> 
> ### 7: Drop fragments in all chains ###
> /sbin/iptables -t mangle -A PREROUTING -f -j DROP
> 
> ### 8: Limit connections per source IP ###
> /sbin/iptables -A INPUT -p tcp -m connlimit --connlimit-above 111 -j
> REJECT --reject-with tcp-reset
> 
> ### 9: Limit RST packets ###
> /sbin/iptables -A INPUT -p tcp --tcp-flags RST RST -m limit --limit
> 2/s --limit-burst 2 -j ACCEPT
> /sbin/iptables -A INPUT -p tcp --tcp-flags RST RST -j DROP
> 
> ### 10: Limit new TCP connections per second per source IP ###
> /sbin/iptables -A INPUT -p tcp -m conntrack --ctstate NEW -m limit
> --limit 60/s --limit-burst 20 -j ACCEPT
> /sbin/iptables -A INPUT -p tcp -m conntrack --ctstate NEW -j DROP
> 
> 
> Petr
> 
> st 30. 10. 2019 v 10:02 odesílatel Pavel Snajdr <snajpa at snajpa.net> napsal:
>>
>> Nejlip bude to na Internet nevystavovat v takovym pripade vubec ;)
>>
>> Nebo jaky je toho duvod? Ja to nechapu. Je smyslem zamezit jakemukoliv dalsimu vyhledavaci, co neni Google, aby vubec vzniknul?
>>
>> Nebo proc proboha?
>>
>> Vzdyt byt videt je podstatou toho byt na Internetu...
>>
>> /snajpa
>>
>> On 30 Oct 2019, at 09:59, V.K. <vencour at gmail.com> wrote:
>>
>> Je něco proti něčemu dropovat obecně celý provoz z AS patřícího k oné IP adrese? Plus nějaké porty povoluju.
>>
>> To podle toho, jak se to u mne vyskytuje v logu a podle četnosti.
>>
>>
>> Vencour
>>
>>
>> On 30. 10. 19 9:52, zd nex wrote:
>>
>> Tak jsem to trochu prozkoumal více, vypadá to že je to nějaký scanner. Nyní je neaktivní (na žádném serveru to není)  a vypadá to, že přistupuje z  více obdobných adres např.  - každá z nich je z jiné části Amazonu (routing, compute) apod.. Vše je ale AWS Soul.
>> 54.180.139.105
>> 54.180.138.177
>> 54.180.163.44
>> 54.180.139.105
>>
>> 13.124.8.54
>> 13.125.235.121
>> 13.125.197.34 - tato dokonce je živá a jede tam nějaký mail server
>>
>> https://www.abuseipdb.com/check/54.180.139.105
>> https://www.abuseipdb.com/check/13.125.197.34
>>
>> podle komentářů to opravdu vypadá na nějaký scanner / SYN flood?
>>
>> st 30. 10. 2019 v 9:26 odesílatel Pavel Snajdr <snajpa at snajpa.net> napsal:
>>>
>>> ... tak to prozkoumej, kdyz to rikas ;)
>>>
>>> /snajpa
>>>
>>> On 30 Oct 2019, at 07:04, zd nex <zdnexnet at gmail.com> wrote:
>>>
>>> Ahojte,
>>>
>>> popravdě jsem si toho také všiml, je to > vše na 443 nebo 80 portu. Většina adress je Amazon south asia (seoul) + nějaký provider Leaseweb NL, je to na všech serverech.  Trochu by to asi stálo za prozkoumání. Není toho moc cca 50 -200. V minulosti to bylo víc, pak to ustálo a asi se to oživuje?
>>>
>>> Zdenek
>>> út 29. 10 2019 v 19:48 odesílatel Pavel Snajdr <snajpa at snajpa.net> napsal:
>>>>
>>>> Ahoj,
>>>>
>>>> co myslis tim resit na infrastrukture? My Ti do trafficu sahat nebudeme,
>>>> pokud to nebude prusvih velikosti, jako byl ten prusvih s memcached udp
>>>> amplification utokama - nic takovyho nepozorujeme; kazdopadne je mozny,
>>>> ze se zase neco rozmaha (ale podle toho, ze se zatim nezvedla vlna abuse
>>>> notices, to nevypada).
>>>>
>>>> Kazdopadne se ujisti, ze mas vsechno aktualni - z poslednich dni hlavne
>>>> napr. PHP-FPM, ktere ma remote code execution diru v urcitych setupech
>>>> uz od PHP5... a na PHP7 je venku proof of concept exploit.
>>>>
>>>> /snajpa
>>>>
>>>> On 2019-10-29 15:28, Petr Parolek wrote:
>>>>> Ahoj,
>>>>>
>>>>> už několik dnů na mé VPS pozoruju mnoho spojení se stavem SYN_RECV
>>>>>
>>>>> viz: netstat -anp |grep 'SYN_RECV' | awk '{print $5}' | cut -d: -f1 |
>>>>> sort | uniq -c | sort -n
>>>>>      23 xxx.xxx.xxx.xxx
>>>>>      23 xxx.xxx.xxx.xxx
>>>>> ...
>>>>>
>>>>> okolo 20 IP adres.
>>>>>
>>>>> Mám se tím znepokojovat nebo je vše ok a vše by se mělo řešit na
>>>>> infrastruktuře?
>>>>>
>>>>> Díky moc za postřehy a rady
>>>>>
>>>>>
>>>>> Petr
>>>>> _______________________________________________
>>>>> Community-list mailing list
>>>>> Community-list at lists.vpsfree.cz
>>>>> http://lists.vpsfree.cz/listinfo/community-list
>>>> _______________________________________________
>>>> Community-list mailing list
>>>> Community-list at lists.vpsfree.cz
>>>> http://lists.vpsfree.cz/listinfo/community-list
>>>
>>>
>>> _______________________________________________
>>> Community-list mailing list
>>> Community-list at lists.vpsfree.cz
>>> http://lists.vpsfree.cz/listinfo/community-list
>>>
>>> _______________________________________________
>>> Community-list mailing list
>>> Community-list at lists.vpsfree.cz
>>> http://lists.vpsfree.cz/listinfo/community-list
>>
>>
>>
>> _______________________________________________
>> Community-list mailing list
>> Community-list at lists.vpsfree.cz
>> http://lists.vpsfree.cz/listinfo/community-list
>>
>> _______________________________________________
>> Community-list mailing list
>> Community-list at lists.vpsfree.cz
>> http://lists.vpsfree.cz/listinfo/community-list
>>
>> _______________________________________________
>> Community-list mailing list
>> Community-list at lists.vpsfree.cz
>> http://lists.vpsfree.cz/listinfo/community-list
> _______________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list
> 


More information about the Community-list mailing list