PT. Hawk Teknologi Solusi

PT. Hawk Teknologi Solusi

Silahkan Cari Disini

Senin, 21 April 2008

Mendrop ICMP dari luar menggunakan APF

Flooding maning, flooding maning son !

Hari ini dns datautama di flood lagi port udp sudah minta di filter di upstream tetap saja tembus
akhirnya ada ide cemerlang dari mas Priyo Suyono yaitu katanya:

"kalau orang mau ngeflood pasti ngeping dulu, siapa tahu dengan di matiin icmp-nya floodnya berhenti"

bener juga masukkannya , karena biasanya flood + spoofing jadi belum tentu ip tsb yang melakukan flood , oleh karena itu dns baiknya tidak bisa di ping dari luar tetapi dns bisa ngeping ke luar.

yang saya lakukan adalah memblok ping/icmp dari luar jaringan datautama ke dns dengan mengkonfigurasi APF di dns server untuk tidak accept inbound icmp kecuali icmp-type 0 (echo request) dengan demikian dari dns bisa ping keluar dan dari pelanggan datautama bisa ping ke dns tapi dari luar tidak bisa ping ke dns, dengan pertimbangan kalau ada flood dari pelanggan lebih mudah analisa dan filternya.


Edit Konfigurasi APF

nano /etc/apf/conf.apf

dibagian:

# Common ICMP inbound (ingress) types
# 'internals/icmp.types' for type definition; 'all' is wildcard for any
#IG_ICMP_TYPES="3,5,11,0,30,8"
# Semua ICMP di drop kecuali echo-replay dan host2 yang diizinkan di allow_hosts.rules
IG_ICMP_TYPES="11,0"

lalu restart apf hasilnya dns hanya bisa diping dari host yang diizinkan pada /etc/apf/allow_hosts.rules



hasil pengetesan:

1. Dari dalam datautama

C:\Documents and Settings\Harijanto>ping 203.89.24.34

Pinging 203.89.24.34 with 32 bytes of data:

Reply from 203.89.24.34: bytes=32 time=162ms TTL=62
Reply from 203.89.24.34: bytes=32 time=3ms TTL=62
Reply from 203.89.24.34: bytes=32 time=3ms TTL=62
Reply from 203.89.24.34: bytes=32 time=9ms TTL=62

Ping statistics for 203.89.24.34:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 3ms, Maximum = 162ms, Average = 44ms


2. Dari Looking Glass CBN


CBN Looking Glass AS4787 function: ping for target: 203.89.24.34 via: ipv4 (if applicable)
PING 203.89.24.34 (203.89.24.34) 56(84) bytes of data.

--- 203.89.24.34 ping statistics ---
10 packets transmitted, 0 received, 100% packet loss, time 9078ms

3. Dari Global Internet

route-server.phx1>ping 203.89.24.34

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 203.89.24.34, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)
route-server.phx1>
Diposting oleh di

Tidak ada komentar:

Posting Komentar

Langganan: Posting Komentar (Atom)