Temat: atak DDoS lub inny:)
cześć,
ostatnio na jednym z laptopów postawiłem kali i wymierzyłem działa w kierunku openwrt, przy pierwszym teście, gdzie router chodził parę tygodni bez restartu - router się zawiesił ![]()
Po jego restarcie co najwyżej wystąpiła chwilowa utrata pakietów z ping ok 10-15.
patrząc w TOP podczas ataku, wykorzystanie procesora bliskie zeru.
Mem: 201020K used, 308372K free, 108K shrd, 6084K buff, 17172K cached
CPU: 0% usr 0% sys 0% nic 63% idle 0% io 0% irq 36% sirq
Load average: 0.00 0.00 0.00 2/106 6629
i tak się zastanawiam, czy cały atak jest zbyt słaby, czy też router jest silny w obronie lub openwrt odporne na atak? jak to się na np routerów na sofcie producenta np tp-link?
w /etc/firewall.user dałem dodatkowo wg https://javapipe.com/blog/iptables-ddos-protection/
#!/bin/sh
# Blokada nieprawidłowych pakietów
iptables -t mangle -A PREROUTING -m conntrack --ctstate INVALID -j DROP
# Blokada nowych pakietów, które nie są SYN
iptables -t mangle -A PREROUTING -p tcp ! --syn -m conntrack --ctstate NEW -j DROP
# Blokada pakietów z niepowszechnymi wartościami MSS
iptables -t mangle -A PREROUTING -p tcp -m conntrack --ctstate NEW -m tcpmss ! --mss 536:65535 -j DROP
# Blokada pakietów z fałszywymi flagami TCP
iptables -t mangle -A PREROUTING -p tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
# Blokada pakietów z prywatnych podsieci (spoofing)
iptables -t mangle -A PREROUTING -s 224.0.0.0/3 -j DROP
# Blokada wszystkich pakietów ICMP (opcjonalnie)
iptables -t mangle -A PREROUTING -p icmp -j DROP
# Ograniczenie liczby połączeń TCP na host
iptables -A INPUT -p tcp -m connlimit --connlimit-above 80 -j REJECT --reject-with tcp-reset
# Ograniczenie liczby nowych połączeń TCP na sekundę na host
iptables -A INPUT -p tcp -m conntrack --ctstate NEW -m limit --limit 60/s --limit-burst 20 -j ACCEPT
iptables -A INPUT -p tcp -m conntrack --ctstate NEW -j DROP
# SYNPROXY - i tutaj pytanie czy openwrt wspiera to?
iptables -t raw -A PREROUTING -p tcp -m tcp --syn -j CT --notrack
iptables -A INPUT -p tcp -m tcp -m conntrack --ctstate INVALID,UNTRACKED -j SYNPROXY --sack-perm --timestamp --wscale 7 --mss 1460
iptables -A INPUT -m conntrack --ctstate INVALID -j DROPZ poziomu kali użyłem kilka narzędzi jak: hping3, ping, nmap, t50 i scapy.
Cel mojego działania jest obciążenie procka na maxa, przeprowadzenie ataku ddos lub innego - tak by znaleźć słabe strony i ich zminimalizowanie. Cała zabawa w mojej LAN, więc etycznie i prawnie poprawnie.