Configuração de portas

Letticia
(usa Lubuntu)

Enviado em 04/12/2014 - 11:11h

Olá galera estou em um projeto de pesquisa o qual o objetivo é fazer com que o firewall identifique um ataque de DoS e faça o bloqueio do mesmo! Já tentei todas as regras e não consegui fazer o bloqueio (obs.: estamos utilizando o hping e o smurf). Então optamos por tentar fazer o bloqueio de uma outra maneira! Queria saber se há maneiras (regras) para controlar o fluxo de pacotes syn na minha VM? por exemplo... quero que haja apenas 200 pedidos de ligação, se passar desse número era desejável q o firewall identificasse como um ataque DoS e bloqueasse! há regras para configurar uma porta dessa maneira?? de já agradeço!

andr3ribeiro
(usa Arch Linux)

Enviado em 04/12/2014 - 11:50h

Segundo o documento do nosso Mestre Amigo Elgio Schlemer, palestrante sobre o assunto no VOLDAY:

Ataque de Syn Flood

Baseado na forma como o TCP implementa confiabilidade
Não há correção!
– defesa complicada, mas possível
– defesa impossível com regras de firewall

muito embora alguns tutoriais na Internet digam o contrário exemplo do guia Foca Avançado que prega solução por firewallSyn Flood
Servidor precisa de recursos para cada conexão
– para os buffers de envio e recebimento
– para controle de confirmações, entre outros
Ao receber o Syn (início de conexão), o servidor:
– aloca estes recursos
– define o seu número sequencial
– responde ao cliente com um Syn + Ack (handshake)Syn Flood
Se cliente não completar handshake após certo
tempo:
– desaloca estes recursos
– envia um RST (reset) para o cliente

Importante:
– até que o tempo se esgote, recursos ficam alocados
– E se cliente só fizer SYNs e nunca completar o handshake?Syn Flood
Cliente pode gerar pacotes Syn muito mais rapidamente do que o servidor pode tratá­-los

Flood, inundação de Syns:
– servidor aloca tantos recursos para falsos clientes que fica sem recursos para atender um cliente legítimo
– Negação de serviço no servidor!
– hping3 faz flood


Defesa Syn Flood
Muito complicado!
Bloquear ips dos atacantes?
– FALHO: atacante precisa fazer ip spoofing para que ataque tenha sucesso
– Qual ip bloquear?

Limitar quantidade de Syns no firewall?
– FALHO: firewall vai recusar Syns de clientes legítimos
– O próprio firewall acaba causando o DoS e o atacante pode explorar isto ainda mais fácil.



Leia o arquivo na integra em:
http://gravatai.ulbra.tche.br/~elgio/volday1/VOLDAY-Elgio-Negacao_de_servico_e_formas_de_defesa.pdf

buckminster
(usa Debian)

Enviado em 04/12/2014 - 14:52h

Com esta linha no Iptables

echo 1 > /proc/sys/net/ipv4/tcp_syncookies

ativa o uso de SYN Cookies, o sistema passa a responder ao pacote SYN inicial com um cookie, que identifica o cliente. Com isso, o sistema aloca espaço para a conexão apenas após receber o pacote ACK de resposta, tornando o ataque inefetivo. O atacante ainda pode consumir um pouco de banda, obrigando o servidor a enviar um grande volume de SYN Cookies de resposta, mas o efeito sobre o servidor será mínimo.
É uma forma de minimizar os ataques (uma vez que é impossível evitar DoS), mas é bastante eficiente.

Seguem outras sugestões:

##Proteção contra ping, SYN Cookies, IP Spoofing e proteções do kernel
##########################################################
echo 1 > /proc/sys/net/ipv4/tcp_syncookies # Syn Flood (DoS)
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts # Port scanners
echo 0 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses # Sem resposta remota
for i in /proc/sys/net/ipv4/conf/*; do
echo 0 > $i/accept_redirects # Sem redirecionar rotas
echo 0 > $i/accept_source_route # Sem traceroute
echo 1 > $i/log_martians # Loga pacotes suspeitos no kernel
echo 1 > $i/rp_filter # Ip Spoofing
echo 1 > $i/secure_redirects; done # Redirecionamento seguro de pacotes
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all # Sem ping e tracert
#


O que tu entendes por "pedidos de ligação"?