DDoS Imparavel [RESOLVIDO]

coranderson
(usa CentOS)

Enviado em 07/08/2013 - 21:44h

Olá pessoal, eu estou com uns problemas de dos no meu game sever, e ontem um jogador começou a fazer um escândalo que ia derrubar meu servidor, então eu comecei a conversar com ele(ele é até gente boa)... Ai eu comecei trocar idéia com ele, e pedi para ele me ajudar fazer alguns testes de proteção...
Agora vem a bomba... Como eu tenho varias maquinas, eu configurei uma outra maquia(4 gb ram, 100mb uplink), configurei o csf para não aceitar NENHUMA PORTA, nem TCP, nem UDP, nem ICMP, nada! a unica conexão possivel era a do meu computador, pois estava na white list do csf... Então eu pedi para ele disparar contra o dedicado, e cabum! Caiu no mesmo instante! No netstat não apareceu nenhuma conexão... Eu até formatei esse dedicado, e caiu do mesmo geito usando ubuntu ou debian, ambos atualizados...



Ele me atacou com g3m, protocolo UDP, portas random e com IP Spoofing da classe 189...

No servidor principal, estou usando CSF, SQUAD e habilitei o syn cookie, ambos com configurações que estudei e revisei mais de 10 vezes na ultima semana....
Os recursos do meu dedicado principal são 8gb ram e 100 mb uplink...


Agora eis a questão...
Como eu paro esses ataques, se mesmo não conectando o servidor cai? Se tiverem sugestões de firewall, tecnica, ou quiserem ver minha configuração, ou qualquer coisa... só falar '-'

Se vocês não intenderem posta ai que eu tento explicar melhor :D

px
(usa Debian)

Enviado em 07/08/2013 - 23:08h

Usa o Snort pra te ajudar como o guardian http://www.chaotic.org/guardian/






---
Atenciosamente, Pedro.

Já leu meu último artigo?
LINK:
http://www.vivaolinux.com.br/artigos/userview.php?login=px

Dúvidas?! pergunte pra caixinha... ali em cima ---------------------------------------------------------------------------------------------------------------------------------------^

E seja feliz!

madrugada
(usa Gentoo)

Enviado em 07/08/2013 - 23:40h

Você já pensou em pagar uma consultoria pra este jogador? Ou ao menos pedir que ele informasse como conseguiu a façanha?

coranderson
(usa CentOS)

Enviado em 07/08/2013 - 23:59h

@px
Eu vo usar o snort aqui estuda um pouco sobre ele, obrigado ! se meu server fica estavel eu volto para agradecer novamente :D
Não tem conflito de uso com csf e psad? Ou alguma condição?


@madrugada
Eu ja conversei com o jogador, ele falou que usa o g3m normal, me passou a linha de comando e tudo...
"Ele me atacou com g3m, protocolo UDP, portas random e com IP Spoofing da classe 189..."
o comando eu não tenho salvo...
Um pequeno detalhe, esse jogador é newbie, ele não tem nenhum conhecimento em programação, iptables, etc... Ele simplesmente achou no youtube como derrubar otserver com g3m e pagou 4 dedicados... E não é só ele que ta acabando com os servidores de porte medio... Ja bloquiei o acesso de outros 2...

renato_pacheco
(usa Debian)

Enviado em 08/08/2013 - 00:14h

Cara, se o DDoS vem diretamente a vc, não tem como pará-lo. Vc só impede d ele penetrar na sua rede adentro. O q t aconselho é entrar em contato com o seu ISP e pedir para eles bloquearem. Ae, sim, as requisições não chegam até vc. Porém, se ele tiver forjando IP, fica bem mais difícil, pois o ISP pode bloquear IPs válidos.

coranderson
(usa CentOS)

Enviado em 08/08/2013 - 00:45h

Aah então nada de proteção for me?

Nem por black hole?

renato_pacheco
(usa Debian)

Enviado em 08/08/2013 - 00:52h

OK, vamos usar a analogia, então. Vc está na sua casa e a enchente tá em direção à sua casa. É possível pará-la? Só fechando a porta da sua casa evita q ela entre na sua casa? É a msm coisa pra DDoS. Infelizmente, se vc virou alvo, o jeito é impedindo q o tráfego seja bloqueado antes d chegar na sua rede.

coranderson
(usa CentOS)

Enviado em 08/08/2013 - 00:54h

É realmente faz sentido...

px
(usa Debian)

Enviado em 08/08/2013 - 00:55h

Não, o psda é compativel com o snort olha neste:
http://www.vivaolinux.com.br/artigo/PSAD-Port-Scan-Attack-Detector?pagina=2

já o outro (csf) "nunca vi nem ouvi eu só ouço falar..." mas deve dar ruim não, afinal "pior que tá não fica" alias post seu script de iptables ai pra verificarmos! e qual é a banda de rede do seu servidor (up/down) ??



---
Atenciosamente, Pedro.

Já leu meu último artigo?
LINK:
http://www.vivaolinux.com.br/artigos/userview.php?login=px

Dúvidas?! pergunte pra caixinha... ali em cima ---------------------------------------------------------------------------------------------------------------------------------------^

E seja feliz!

renato_pacheco
(usa Debian)

Enviado em 08/08/2013 - 00:59h

Podem usar Snort, Guardian, Alien Vault, iptables... não vai adiantar. Recado dado!

MarceloTheodoro
(usa Debian)

Enviado em 08/08/2013 - 01:02h

Só uma curiosidade... Você tem certeza que é um DDoS e não um DoS?
Note que são coisas diferentes e são tratadas de maneiras diferentes. rs






___________________________
Att, Marcelo Theodoro.
I'm not anti-social; I'm just not user friendly.

coranderson
(usa CentOS)

Enviado em 08/08/2013 - 01:07h

No caso desse player, ele faz um syn flood com 4 maquinas, e o servidor ja cai a conexão...

Eu sou meio leigo.... pelo que eu sei DDoS é mais de um DoS ao mesmo tempo de diferentes maquinas... Então é um mini DDoS... que me quebra :S