DoS-Demo mit Suricata auf OPNsense

Topologie

Angreifer → OPNsense (WAN mit Suricata IPS) → Webserver

Voraussetzungen

• OPNsense mit WAN/LAN, NAT und funktionierendem Routing
• Webserver hinter OPNsense (Port 80 offen)
• Angreifer-Host mit hping3
• In OPNsense: System → Settings → Networking → Hardware offloading deaktivieren (Checksum, TSO, LRO)

Test ohne IPS

• Erreichbarkeit prüfen:

curl -I http://web.it214.xinmen.de/

• Angriff starten (kurz laufen lassen):

sudo hping3 -S --flood -V -p 80 web.it214.xinmen.de

• Erwartung: Webserver nicht mehr erreichbar

Suricata IPS aktivieren

• Services → Intrusion Detection → Administration
  • Enable IDS → Haken setzen
  • IPS mode → Haken setzen
  • Interface: WAN auswählen
  • Save → Start

• Services → Intrusion Detection → Download
  • Folgende Rulesets aktivieren:
    • ET open/emerging-dos
    • ET open/emerging-scan (optional, für Portscan-Demo)
  • Download & Update Rules ausführen

• Services → Intrusion Detection → Policies
  • Add new policy
    • Enabled: Haken setzen
    • Priority: 0
    • Rulesets: emerging-dos.rules, emerging-scan.rules (falls aktiviert)
    • Action: Drop
    • Alle weiteren Felder leer lassen
  • Save und Apply
  • Policy an oberste Position verschieben

Test mit IPS

• Normale Verbindung prüfen:

curl -I http://web.it214.xinmen.de/

• Angriff wiederholen:

sudo hping3 -S --flood -V -p 80 web.it214.xinmen.de

• Erwartung: Suricata verwirft Flood-Pakete, Webserver bleibt erreichbar
• Kontrolle: Services → Intrusion Detection → Alerts → Einträge mit "drop"

Anpassungen

• Falls keine Drops sichtbar: prüfen ob Policy aktiv ist, auf Drop steht und ganz oben steht
• Für nachvollziehbare Demo Angriff drosseln:

sudo hping3 -S -i u500 -V -p 80 web.it214.xinmen.de

Fehlerbehebung

• Keine Drops: Administration prüfen (IPS mode aktiv), Rules unter Download aktuell
• OPNsense überlastet: Flood nur kurz fahren, vCPU/RAM erhöhen
• Legitime Verbindungen blockiert: im Tab Alerts die SID prüfen und gezielt deaktivieren oder Policy anpassen