DoS-Demo mit Suricata auf OPNsense: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
(Die Seite wurde neu angelegt: „== Topologie == Angreifer → OPNsense (WAN mit Suricata) → Webserver == Voraussetzungen == * OPNsense mit WAN/LAN, funktionierendem NAT/Routing * Webserver…“) |
|||
| (3 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 1: | Zeile 1: | ||
| + | = DoS-Demo mit Suricata auf OPNsense = | ||
| + | |||
== Topologie == | == Topologie == | ||
| − | Angreifer → OPNsense (WAN mit Suricata) → Webserver | + | Angreifer → OPNsense (WAN mit Suricata IPS) → Webserver |
== Voraussetzungen == | == Voraussetzungen == | ||
| − | * OPNsense mit WAN/LAN, funktionierendem | + | * OPNsense mit WAN/LAN, NAT und funktionierendem Routing |
* Webserver hinter OPNsense (Port 80 offen) | * Webserver hinter OPNsense (Port 80 offen) | ||
* Angreifer-Host mit hping3 | * Angreifer-Host mit hping3 | ||
| − | * In OPNsense: System → | + | * In OPNsense: System → Settings → Networking → Hardware offloading deaktivieren (Checksum, TSO, LRO) |
| − | == | + | == Test ohne IPS == |
| − | * Erreichbarkeit | + | * Erreichbarkeit prüfen: |
<pre> | <pre> | ||
curl -I http://web.it214.xinmen.de/ | curl -I http://web.it214.xinmen.de/ | ||
</pre> | </pre> | ||
| − | * Angriff starten ( | + | * Angriff starten (kurz laufen lassen): |
<pre> | <pre> | ||
sudo hping3 -S --flood -V -p 80 web.it214.xinmen.de | sudo hping3 -S --flood -V -p 80 web.it214.xinmen.de | ||
| Zeile 21: | Zeile 23: | ||
* Erwartung: Webserver nicht mehr erreichbar | * Erwartung: Webserver nicht mehr erreichbar | ||
| − | == Suricata | + | == Suricata IPS aktivieren == |
| − | * | + | * Services → Intrusion Detection → Administration |
| − | ** | + | ** Enable IDS → Haken setzen |
| − | ** IPS | + | ** IPS mode → Haken setzen |
| − | ** | + | ** Interface: WAN auswählen |
| − | * | + | ** Save → Start |
| − | ** | + | |
| − | ** | + | * Services → Intrusion Detection → Download |
| − | * Policies | + | ** Folgende Rulesets aktivieren: |
| − | ** | + | *** ET open/emerging-dos |
| − | *** | + | *** ET open/emerging-scan (optional, für Portscan-Demo) |
| − | *** | + | ** Download & Update Rules ausführen |
| − | *** | + | |
| − | *** Save | + | * Services → Intrusion Detection → Policies |
| − | * | + | ** Add new policy |
| + | *** Enabled: Haken setzen | ||
| + | *** Priority: 0 | ||
| + | *** Rulesets: emerging-dos.rules, emerging-scan.rules (falls aktiviert) | ||
| + | *** Action: Drop | ||
| + | *** Alle weiteren Felder leer lassen | ||
| + | ** Save und Apply | ||
| + | ** Policy an oberste Position verschieben | ||
== Test mit IPS == | == Test mit IPS == | ||
| − | * | + | * Normale Verbindung prüfen: |
<pre> | <pre> | ||
curl -I http://web.it214.xinmen.de/ | curl -I http://web.it214.xinmen.de/ | ||
</pre> | </pre> | ||
| − | * Angriff wiederholen | + | * Angriff wiederholen: |
<pre> | <pre> | ||
sudo hping3 -S --flood -V -p 80 web.it214.xinmen.de | sudo hping3 -S --flood -V -p 80 web.it214.xinmen.de | ||
</pre> | </pre> | ||
| − | * Erwartung: Flood-Pakete | + | * Erwartung: Suricata verwirft Flood-Pakete, Webserver bleibt erreichbar |
| − | * | + | * Kontrolle: Services → Intrusion Detection → Alerts → Einträge mit "drop" |
| − | == | + | == Anpassungen == |
| − | * Falls keine Drops: | + | * Falls keine Drops sichtbar: prüfen ob Policy aktiv ist, auf Drop steht und ganz oben steht |
| − | + | * Für nachvollziehbare Demo Angriff drosseln: | |
| − | |||
| − | * | ||
<pre> | <pre> | ||
sudo hping3 -S -i u500 -V -p 80 web.it214.xinmen.de | sudo hping3 -S -i u500 -V -p 80 web.it214.xinmen.de | ||
</pre> | </pre> | ||
| − | == | + | == Fehlerbehebung == |
| − | * Keine Drops | + | * Keine Drops: Administration prüfen (IPS mode aktiv), Rules unter Download aktuell |
| − | * OPNsense überlastet | + | * OPNsense überlastet: Flood nur kurz fahren, vCPU/RAM erhöhen |
| − | * | + | * Legitime Verbindungen blockiert: im Tab Alerts die SID prüfen und gezielt deaktivieren oder Policy anpassen |
Aktuelle Version vom 27. August 2025, 17:48 Uhr
DoS-Demo mit Suricata auf OPNsense
Topologie
Angreifer → OPNsense (WAN mit Suricata IPS) → Webserver
Voraussetzungen
- OPNsense mit WAN/LAN, NAT und funktionierendem Routing
- Webserver hinter OPNsense (Port 80 offen)
- Angreifer-Host mit hping3
- In OPNsense: System → Settings → Networking → Hardware offloading deaktivieren (Checksum, TSO, LRO)
Test ohne IPS
- Erreichbarkeit prüfen:
curl -I http://web.it214.xinmen.de/
- Angriff starten (kurz laufen lassen):
sudo hping3 -S --flood -V -p 80 web.it214.xinmen.de
- Erwartung: Webserver nicht mehr erreichbar
Suricata IPS aktivieren
- Services → Intrusion Detection → Administration
- Enable IDS → Haken setzen
- IPS mode → Haken setzen
- Interface: WAN auswählen
- Save → Start
- Services → Intrusion Detection → Download
- Folgende Rulesets aktivieren:
- ET open/emerging-dos
- ET open/emerging-scan (optional, für Portscan-Demo)
- Download & Update Rules ausführen
- Folgende Rulesets aktivieren:
- Services → Intrusion Detection → Policies
- Add new policy
- Enabled: Haken setzen
- Priority: 0
- Rulesets: emerging-dos.rules, emerging-scan.rules (falls aktiviert)
- Action: Drop
- Alle weiteren Felder leer lassen
- Save und Apply
- Policy an oberste Position verschieben
- Add new policy
Test mit IPS
- Normale Verbindung prüfen:
curl -I http://web.it214.xinmen.de/
- Angriff wiederholen:
sudo hping3 -S --flood -V -p 80 web.it214.xinmen.de
- Erwartung: Suricata verwirft Flood-Pakete, Webserver bleibt erreichbar
- Kontrolle: Services → Intrusion Detection → Alerts → Einträge mit "drop"
Anpassungen
- Falls keine Drops sichtbar: prüfen ob Policy aktiv ist, auf Drop steht und ganz oben steht
- Für nachvollziehbare Demo Angriff drosseln:
sudo hping3 -S -i u500 -V -p 80 web.it214.xinmen.de
Fehlerbehebung
- Keine Drops: Administration prüfen (IPS mode aktiv), Rules unter Download aktuell
- OPNsense überlastet: Flood nur kurz fahren, vCPU/RAM erhöhen
- Legitime Verbindungen blockiert: im Tab Alerts die SID prüfen und gezielt deaktivieren oder Policy anpassen