Защита от DDoS-атак
Защита от DoS-атак и SYN-flood присутствует в ядре Linux, используемом в операционной системе интернет-центра. Атаки типа Denial of Service (DoS) и Distributed Denial of Service (DDoS) строятся на использовании открытия большого количества подключений к устройству. DDoS-атаки с точки зрения объекта, на который они направлены, неотличимы от работы в пиринговой сети. В силу своих особенностей, DDoS-атаки, и соответственно защита от них, малоактуальны как для домашних устройств доступа, так и для SOHO-сегмента. DDoS-атаки как правило направлены на корпоративные структуры, публичные сайты, датацентры и т.п. Распределенные атаки на отказ в обслуживании обычно эффективно устраняются на стороне провайдера.
Начиная с версии ОС 4.3 в интернет-центрах Netcraze улучшена сетевая безопасность благодаря автоматической защите от DDoS-атак, с целью предотвращения переполнения таблицы подключений conntrack (активных соединений).
В интерфейсе командной строки (CLI) интернет-центра добавлены команды:
ip conntrack max-entries {max-entries} — установить размер таблицы conntrack.
ip conntrack lockout disable — отключить защиту таблицы conntrack (включено по умолчанию).
ip conntrack lockout threshold public {public} — установить максимальное количество подключений с публичных интерфейсов (процент от размера таблицы conntrack, от 50 до 99, значение по умолчанию: 80).
ip conntrack lockout duration {duration} — установить длительность блокировки в секундах (от 60 до 3600, значение по умолчанию: 600).
ip conntrack sweep threshold {threshold} — установить порог для начала очистки ожидающих сеансов (процент от размера таблицы conntrack, от 50 до 99, значение по умолчанию: 70).
show ip conntrack lockout — просмотреть статус блокировки.
Важно
Указанные в статье команды предназначены для опытных пользователей.
Каждое устройство имеет свои параметры по умолчанию, которые обусловлены производительностью и аппаратными возможностями. Рекомендуется использовать заданные производителем значения и ограничивать количество сессий на клиентском устройстве, которое создает большое количество сессий. Указанные команды применяйте с осторожностью, так как неправильная настройка потенциально может привести к нештатной работе устройства.
По умолчанию в интернет-центре включена защита таблицы подключений conntrack.
При заполнении таблицы на 80% (предустановленное значение по умолчанию) срабатывает защита от переполнения. В логах устройства появятся сообщения вида:
nf_conntrack: lockout threshold reached (16384), public connections locked for 600 s
Обычно в гигабитных моделях размер таблицы составляет 16384 записи, а в старших моделях 32768 записей. Соответственно пределом при 80% заполнении таблицы будут значения ~13000 и ~26000 записей.
Если в логах роутера присутствуют сообщения о переполнении таблицы подключений conntrack, или о срабатывании защиты от переполнения, это может означать, что в локальной сети имеется активность вируса (трояна) или DDoS-атака из интернета (при наличии публичного WAN IP-адреса на роутере).