Блокировать флуд ICMP от определенного IP с помощью pf
712
owenfi
Я получаю много сообщений ICMP о дросселе в моем system.log:
Apr 11 20:45:28 kernel[0]: Limiting icmp unreach response from 1054 to 250 packets per second Apr 11 20:45:29 kernel[0]: Limiting icmp unreach response from 529 to 250 packets per second
Я обнаружил, что трафик исходит от одного хоста, запустив sudo tcpdump -ni en0 "icmp[0]=3 and icmp[1]=3"
20:48:32.614241 IP 64.........125 > 185.......98: ICMP 64.......125 udp port 27960 unreachable, length 36 20:48:32.616923 IP 64.......125 > 185.......98: ICMP 64.......125 udp port 27960 unreachable, length 36
Где 64.......125находится IP-адрес моего сервера, и я предполагаю, 185.......98что это запрашивающая сторона (это единственный IP-адрес, видимый в тысячах строк журнала)
Я пытался использовать pfэтот черный список, блокировать ICMP-доступ к этому порту (или вообще, так как кажется, что ICMP не основан на портах?), И попытался использовать пользовательское правило для блокировки:
block drop on en0 inet proto icmp from 64.......125 to 185.......98 block drop on en0 inet proto icmp from 185.......98 to 64.......125
Независимо от всех моих попыток pf я все еще вижу активность system.log и tcpdump.
Правильно ли я истолковал tcpdumpстроки? (Направление в каратах выглядит так, будто это только исходящие пакеты?)
Насколько я понимаю, pf заблокировал пакеты для доступа к ядру, поэтому, если он был настроен правильно, эти сообщения исчезли бы. Это верно?
Если это не правильно, нужно ли мне предпринимать действия на основе запросов, или я должен просто следовать инструкциям для обнуления строк журнала?
Я использую IceFloor для настройки pfна OS X 10.8.5, если это актуально.
1 ответ на вопрос
0
owenfi
Возможно, все сообщения «udp port 27960 unreachable» были из-за ранее открытого соединения, которое не было закрыто должным образом?
Я заметил, что к данному порту было открыто соединение с данного IP.
После перезагрузки и повторного просмотра с помощью tcpdump трафик выглядит намного более нормальным (несколько разных IP-адресов, смотрящих на разные порты в течение часа).
Рад слышать возможные объяснения того, почему pf изначально не блокировал эту деятельность, но сейчас все выглядит хорошо.