DoS-Demo mit Suricata auf OPNsense
Version vom 27. August 2025, 17:31 Uhr von Thomas.will (Diskussion | Beiträge) (Die Seite wurde neu angelegt: „== Topologie == Angreifer → OPNsense (WAN mit Suricata) → Webserver == Voraussetzungen == * OPNsense mit WAN/LAN, funktionierendem NAT/Routing * Webserver…“)
Topologie
Angreifer → OPNsense (WAN mit Suricata) → Webserver
Voraussetzungen
- OPNsense mit WAN/LAN, funktionierendem NAT/Routing
- Webserver hinter OPNsense (Port 80 offen)
- Angreifer-Host mit hping3
- In OPNsense: System → Einstellungen → Netzwerk: Hardware-Offloading (TSO/LRO/Checksum) deaktivieren
Baseline ohne IPS
- Erreichbarkeit testen
curl -I http://web.it214.xinmen.de/
- Angriff starten (nur kurz laufen lassen!)
sudo hping3 -S --flood -V -p 80 web.it214.xinmen.de
- Erwartung: Webserver nicht mehr erreichbar
Suricata als IPS aktivieren
- Dienste → Intrusion Detection → Einstellungen
- Enabled → Haken setzen
- IPS Mode → Haken setzen
- Interfaces → WAN auswählen
- Rule Sets
- „ET open“ aktivieren und aktualisieren
- Optional Kategorien: dos, scan, bad-traffic
- Policies
- Neue Policy erstellen
- Action: drop
- Kategorien: DoS/Scan
- Enabled
- Save → Apply
- Neue Policy erstellen
- Suricata starten
Test mit IPS
- Erreichbarkeit prüfen
curl -I http://web.it214.xinmen.de/
- Angriff wiederholen
sudo hping3 -S --flood -V -p 80 web.it214.xinmen.de
- Erwartung: Flood-Pakete werden gedroppt, legitimer Traffic geht durch
- Prüfung: Firewall → Protokolle → IDS/IPS (Alerts)
Feinjustierung
- Falls keine Drops:
- Policy an oberste Position verschieben
- Regeln gezielt auf drop setzen
- Gedrosselten Angriff verwenden:
sudo hping3 -S -i u500 -V -p 80 web.it214.xinmen.de
Troubleshooting
- Keine Drops sichtbar → IPS Mode prüfen, Rule-Updates laden
- OPNsense überlastet → Flood nur kurz, CPU erhöhen, Offloading aus
- Legitimer Traffic blockiert → Alerts prüfen, Ausnahmen oder Kategorien anpassen