Использование ALTQ для управления нежелательным трафиком

До сих пор мы фокусировались на очередях, как способе позволяющем убедиться, что

конкретные  виды  трафика  обрабатываются  настолько  эффективно,   насколько  это возможно с учётом условий вашей сетевой среды и вне её.  Теперь мы рассмотрим два

примера  которые  представляют  несколько  другой  подход  к  выявлению  и  обработке

нежелательного трафика. Эти  примеры  демонстрируют некоторые трюки  связанные с использованием    очередей,    которые    можно    использовать    создать    оборону    от злоумышленников.


Перегрузка на крошечные очереди

Вспомните раздел "Отбиваемся  от громил" (стр. 86), где мы использовали  сочетание опций отслеживания  состояний и прегррузку правил  для заполнения  таблицы адресов

подлежащих специальной обработке. Специальная обработка которую мы рассматривали

в  главе  6 состояла в  отключении всех  соединений, однако, вместо  этого,  существует возможность назначить трафик перегрузки на конкретные очереди.

Рассмотрим правило из предыдущих примеров рапредения полосы пропускания на основе классов:

pass log quick on $ext_if proto tcp to port ssh flags S/SA \ keep state queue (ssh_bulk, ssh_interactive)

Мы можем добавить опцию отслеживания состояния подобную следующей:

pass log quick on $ext_if proto tcp to port ssh flags S/SA \ keep state (max-src-conn 15, max-src-conn-rate 5/3, \

overload <bruteforce> flush global) queue (ssh_bulk, ssh_interactive) Теперь мы можем немного уменьшить одну из очередей: queue smallpipe bandwidth 1kb cbq

Затем назначим трафик злоумышленников на очередь с малой пропускной способностью используя следующие правила:

pass inet proto tcp from <bruteforce> to port $tcp_services queue smallpipe

Кроме того, будет полезно дополнить эти правила таблицей истечения записей, как было описано в разделе "Чистка таблиц с помощью pfctl" на странице 89.

Источник: Книга о PF, by Peter N.M. Hansteen, Перевод выполнил Михайлов Алексей aka iboxjo

Похожие посты:

Вы можете оставить комментарий, или ссылку на Ваш сайт.

Оставить комментарий