1

Temat: atak DDoS lub inny:)

cześć,

ostatnio na jednym z laptopów postawiłem kali i wymierzyłem działa w kierunku openwrt, przy pierwszym teście, gdzie router chodził parę tygodni bez restartu - router się zawiesił smile

Po jego restarcie co najwyżej wystąpiła chwilowa utrata pakietów z ping ok 10-15.

patrząc w TOP podczas ataku, wykorzystanie procesora bliskie zeru.

Mem: 201020K used, 308372K free, 108K shrd, 6084K buff, 17172K cached
CPU:   0% usr   0% sys   0% nic  63% idle   0% io   0% irq  36% sirq
Load average: 0.00 0.00 0.00 2/106 6629

i tak się zastanawiam, czy cały atak jest zbyt słaby, czy też router jest silny w obronie lub openwrt odporne na atak? jak to się na np routerów na sofcie producenta np tp-link?

w /etc/firewall.user dałem dodatkowo wg https://javapipe.com/blog/iptables-ddos-protection/

#!/bin/sh

# Blokada nieprawidłowych pakietów
iptables -t mangle -A PREROUTING -m conntrack --ctstate INVALID -j DROP

# Blokada nowych pakietów, które nie są SYN
iptables -t mangle -A PREROUTING -p tcp ! --syn -m conntrack --ctstate NEW -j DROP

# Blokada pakietów z niepowszechnymi wartościami MSS
iptables -t mangle -A PREROUTING -p tcp -m conntrack --ctstate NEW -m tcpmss ! --mss 536:65535 -j DROP

# Blokada pakietów z fałszywymi flagami TCP
iptables -t mangle -A PREROUTING -p tcp --tcp-flags FIN,SYN FIN,SYN -j DROP

# Blokada pakietów z prywatnych podsieci (spoofing)
iptables -t mangle -A PREROUTING -s 224.0.0.0/3 -j DROP

# Blokada wszystkich pakietów ICMP (opcjonalnie)
iptables -t mangle -A PREROUTING -p icmp -j DROP

# Ograniczenie liczby połączeń TCP na host
iptables -A INPUT -p tcp -m connlimit --connlimit-above 80 -j REJECT --reject-with tcp-reset

# Ograniczenie liczby nowych połączeń TCP na sekundę na host
iptables -A INPUT -p tcp -m conntrack --ctstate NEW -m limit --limit 60/s --limit-burst 20 -j ACCEPT
iptables -A INPUT -p tcp -m conntrack --ctstate NEW -j DROP

# SYNPROXY  - i tutaj pytanie czy openwrt wspiera to?
iptables -t raw -A PREROUTING -p tcp -m tcp --syn -j CT --notrack 
iptables -A INPUT -p tcp -m tcp -m conntrack --ctstate INVALID,UNTRACKED -j SYNPROXY --sack-perm --timestamp --wscale 7 --mss 1460 
iptables -A INPUT -m conntrack --ctstate INVALID -j DROP

Z poziomu kali użyłem kilka narzędzi jak: hping3, ping, nmap, t50 i scapy.

Cel mojego działania jest obciążenie procka na maxa, przeprowadzenie ataku ddos lub innego - tak by znaleźć słabe strony i ich zminimalizowanie. Cała zabawa w mojej LAN, więc etycznie i prawnie poprawnie.