DOS Attack - zabezpieczenie rutera

[cooleq]

Witam.
Temat nieszczególnie związany z Debianem ale kto mi pomoże jak nie Wy.
Mam ruter netgear podłączony niestety do neostrady jeszcze ponad pół roku. Tu przedstawiam log z rutera:

Kod: Zaznacz cały

[Admin login] from source 192.168.0.13, Friday, Dec 10,2010 13:12:52
[Admin login] from source 192.168.0.13, Friday, Dec 10,2010 13:06:03
[Admin login] from source 192.168.0.13, Friday, Dec 10,2010 12:52:39
[Admin login failure] from source 192.168.0.13, Friday, Dec 10,2010 12:52:22
[DOS Attack] : 1 [ACK Scan] packets detected in last 20 seconds, source ip [193.0.242.13]
 Friday, Dec 10,2010 06:53:17
[DOS Attack] : 1 [FIN Scan] packets detected in last 20 seconds, source ip [212.244.48.50]
 Wednesday, Dec 08,2010 10:10:42
[DOS Attack] : 1 [FIN Scan] packets detected in last 20 seconds, source ip [195.187.86.13]
 Wednesday, Dec 08,2010 09:05:00
[DOS Attack] : 1 [FIN Scan] packets detected in last 20 seconds, source ip [212.244.48.50]
 Monday, Dec 06,2010 07:55:46
[DOS Attack] : 1 [FIN Scan] packets detected in last 20 seconds, source ip [217.74.64.166]
 Monday, Dec 06,2010 07:26:53
[DOS Attack] : 1 [FIN Scan] packets detected in last 20 seconds, source ip [212.244.48.50]
 Friday, Dec 03,2010 11:22:16
[DOS Attack] : 11 [FIN Scan] packets detected in last 20 seconds, source ip [74.125.39.132]
 Thursday, Dec 02,2010 12:10:23
[DOS Attack] : 22 [FIN Scan] packets detected in last 20 seconds, source ip [74.125.39.132]
 Thursday, Dec 02,2010 12:10:00
[DOS Attack] : 1 [FIN Scan] packets detected in last 20 seconds, source ip [74.125.39.132]
 Thursday, Dec 02,2010 12:09:38
[DOS Attack] : 1 [FIN Scan] packets detected in last 20 seconds, source ip [195.187.86.17]
 Monday, Nov 29,2010 13:34:47

Ja wiem, że to jest nieszczególnie groźne, tylko ten ruter się rozłącza podczas ataku, co bardzo denerwuje pracujących tu ludzi. Niemożliwe jest żeby atak był celowy bo jest zmienne IP, a nie mam żadnych usług typu DYN-DNS. Rozmowy z pomocą techniczną nie skomentuję.
Chciałbym wiedzieć, czy jest jakaś możliwość konfiguracji rutera bądź też inne rozwiązanie, które może mi pomóc.
I jeszcze takie pytanie, czy TPSA w jakiś sposób blokuje VOIP, tak jak przekierowuje port 25?

[Bastian]

Nie wiem jak wygląda konfig tego rutera ale poszukaj w opcjach "Security" czegoś na kształt:

Kod: Zaznacz cały

ICMP-FLOOD Packets Threshold Filtering
UDP-FLOOD Packets Threshold Filtering
TCP-SYN-FLOOD Packets Threshold

Inną metodą jest wyłączenie wystawiania rutera zza NAT.

[cooleq]

No więc ten router nie ma sekcji security... w sumie na początku powinienem napisać co to jest: Netgear DG834G
Za to w sekcji Wan Setup jest:

Kod: Zaznacz cały

Connect Automatically, as Required
Enable PPPoE Relay
Disable Port Scan and DOS Protection
Default DMZ Server 	...
Respond to Ping on Internet Port
MTU Size (in bytes) 	
Disable SIP ALG

Więc teoretycznie mogę wyłączyć Dos Protection ale chyba nie o to chodzi.

[Bastian]

Kod: Zaznacz cały

Disable Port Scan and DOS Protection

Respond to Ping on Internet Port

Te 2 opcje masz wyłączone czy włączone ?

[cooleq]

Oczywiście wyłączone, inaczej nie raportowałby ataków DOS.

[Bastian]

Kod: Zaznacz cały

Disable Port Scan and DOS Protection

Oczywiście wyłączone, inaczej nie raportowałby ataków DOS.

Masz 100% racje. Jakbyś miał włączone to by nie było czego raportować.

[grzesiek]

Nie wiem czy jest coś takiego w tym routerze, ale flagi ACK i FIN

Kod: Zaznacz cały

[DOS Attack] : 1 [ACK Scan] packets detected in last 20 seconds, source ip [193.0.242.13]
 Friday, Dec 10,2010 06:53:17
[DOS Attack] : 1 [FIN Scan] packets detected in last 20 seconds, source ip [212.244.48.50]
 Wednesday, Dec 08,2010 10:10:42

nie są poprawną sekwencją sesji TCP/IP, Linuksowy netfilter takie pakiety by zakwalifikował jako INVALID, a co z takimi pakietami się robi w zaporze to wszyscy wiedzą.

[Bastian]

grzesiek: ale on ma wyłączoną ochronę przed DOS na ruterze i to cała przyczyna problemu.

[Pacek]

Analizując Twojego loga, to to wcale nie powinno mieć wpływu na pracę Twojego routera. Przecież to (te niby ataki DoS) nie dzieje się non stop. Przerwy między skanami portów są bardzo duże. Zacząłbym się martwić, gdyby takie logi były generowane nieprzerwanie w bardzo krótkich odstępach czasu. Znając producentów routera, to nawet niewinne skanowanie portów przez torrent'a, skype'a i innego tego typu aplikację może być odebrane jako atak DoS. Także tym akurat bym się za bardzo nie sugerował.
Ja bym mimo wszystko szukał problemu w samym sprzęcie. Miałem nawet Linksysa (które ponoć są "debeściackie"), który po paru dniach pracy się zapychał a na nim były tylko dwie bramki VoIP i nic poza tym (żadnych użytkowników). Możliwe, że podobnie jest u Ciebie. Ile osób pracuje na tym routerze? Może zacznij najpierw od wgrania nowszego firmware. Patrzyłem na stronę Netgear, ale jest 5 wersji tego routera i do każdego jest nowy firmware. Tak więc zacznij od tego, bo znając życie mają coś za uszami

jeszcze takie pytanie, czy TPSA w jakiś sposób blokuje VOIP, tak jak przekierowuje port 25?

Port 25 w Neostradzie jest faktycznie zablokowany. Jeżeli chodzi o VoIP, to teoretycznie nie powinno być w żaden sposób zablokowane. Nawet, jeżeli blokują, to się nie przyznają do tego. Przecież Pani z Błękitnej Linii TP nic Ci nie powie Oni są jak szpiedzy - nic z nich nie wyciągniesz A tak poważnie, to VoIP powinien chodzić bez problemu.

[tmy123]

grzesiek: ale on ma wyłączoną ochronę przed DOS na ruterze i to cała przyczyna problemu.

Coś pokręciłeś. Ma wyłączoną opcję "Disable". Gdyby miał włączoną to "Disable" byłoby aktywne i wtedy ochrona by nie działała.