DDoS Imparavel [RESOLVIDO]

13. Re: DDoS Imparavel [RESOLVIDO]

Anderson
coranderson

(usa CentOS)

Enviado em 08/08/2013 - 01:09h

renato_pacheco escreveu:

Podem usar Snort, Guardian, Alien Vault, iptables... não vai adiantar. Recado dado!


Fazer oque né... Mas eu vou usar mesmo assim... como diz o cara ali e o tiririca... Pior do que ta não fica!
O maximo que pode acontecer é congestionar o dedicado... Mas por enquanto tem bastante recurso...


  


14. Re: DDoS Imparavel [RESOLVIDO]

Buckminster
Buckminster

(usa Debian)

Enviado em 08/08/2013 - 08:25h

Os ataques DoS (Denial of Service), que podem ser interpretados como "Ataques de Negação de Serviços" atuam na pilha TCP/IP durante a conexão e não existe como pará-los, somente minimizá-los.
O DDoS (Distributed Denial of Service) é um ataque DoS de grandes dimensões, ou seja, que utiliza até milhares de computadores para atacar uma determinada máquina.
Se você já hablitou o tcp_syncookies no firewall isso deveria minimizar o ataque.
Você pode utilizar um IDS (Intrusion Detection System - Sistema de Identificação de Intrusos) para identificar e bloquear através do firewall o IP (ou IPs) que estão atacando.
Pode utilizar filtros também.

http://www.google.com.br/url?sa=t&rct=j&q=ddos%20e%20dos&source=web&cd=3&sqi=2&a...

https://www.rnp.br/newsgen/0003/ddos.html


15. Re: DDoS Imparavel [RESOLVIDO]

Reginaldo de Matias
saitam

(usa Slackware)

Enviado em 08/08/2013 - 08:53h

Faz um teste aplicando as regras iptables abaixo no script firewall


#Proteção contra Synflood
iptables -N syn-flood
iptables -A INPUT -i $ifaceInt -p tcp --syn -j syn-flood
iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETURN
iptables -A syn-flood -j DROP
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
#Proteção contra port-scanners ocultos
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
iptables -N SCANNER
iptables -A SCANNER -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -i $ifaceExt -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL NONE -i $ifaceExt -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL ALL -i $ifaceExt -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL FIN,SYN -i $ifaceExt -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -i $ifaceExt -j DROP
iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -i $ifaceExt -j DROP
iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -i $ifaceExt -j DROP
iptables -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROP
#-m recent --update --hitcount=4 quer dizer se tentar passar pelo ip utilizando o nmap 4x será jogado na lista INVASOR
iptables -A INPUT -m recent --update --hitcount 4 --name INVASOR --seconds 3600 -j DROP
#indica bloqueio por 3600 segundos, ou seja, 1 hora o host que tentou realizar um scan na rede
iptables -A INPUT -m recent --set --name INVASOR
#Proteção contra IP Spoofing
iptables -A INPUT -s $LAN -i $ifaceExt -j DROP
for i in /proc/sys/net/ipv4/conf/*/rp_filter; do
echo 1 > $i
done
#Protecao contra ataques DoS
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A OUTPUT -p tcp ! --tcp-flags SYN,RST,ACK SYN -m state --state NEW -j DROP
#Filtrando pacotes ICMP
echo "Filtrando pacotes contra ICMP Broadcast"
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
echo "Protegendo contra Ping da Morte..."
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
iptables -A INPUT -p icmp -j DROP
#Bloqueando Tracerouters
#Bloqueia pacotes tcp malformados
iptables -A FORWARD -p tcp ! --syn -m state --state NEW -j DROP
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A OUTPUT -m state --state INVALID -j DROP
iptables -A FORWARD -m state --state INVALID -j DROP


Depois retorne o resultado após aplicar as regras acima de forma correta!


16. Re: DDoS Imparavel [RESOLVIDO]

Fernando
phoemur

(usa Debian)

Enviado em 08/08/2013 - 09:18h

Mas não adianta bloquear por IP porque faz spoof... Por exemplo ele disse que utilizou todo o range 189 e se ele bloquear todos os ips iniciados com 189 ele vai bloquear muitos IPs válidos e provavelmente não vai bloquear o IP real de quem está fazendo o ataque.


17. Re: DDoS Imparavel [RESOLVIDO]

Renato Carneiro Pacheco
renato_pacheco

(usa Debian)

Enviado em 08/08/2013 - 09:20h

phoemur escreveu:

Mas não adianta bloquear por IP porque faz spoof... Por exemplo ele disse que utilizou todo o range 189 e se ele bloquear todos os ips iniciados com 189 ele vai bloquear muitos IPs válidos e provavelmente não vai bloquear o IP real de quem está fazendo o ataque.


Foi o q eu disse antes...


18. Re: DDoS Imparavel [RESOLVIDO]

Fernando
phoemur

(usa Debian)

Enviado em 08/08/2013 - 09:22h


#Proteção contra Synflood
iptables -N syn-flood
iptables -A INPUT -i $ifaceInt -p tcp --syn -j syn-flood
iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETURN
iptables -A syn-flood -j DROP
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT


Isso daqui torna infinitamente mais fácil o DoS, pois agora o servidor irá dropar qualquer tentativa de conexão que aconteça mais de 1 vez por segundo

Agora até um modem de 56k discado pelo itelefônica vai conseguir derrubar o servidor, pois vai mandar mais de 4 SYNS por segundo e o firewall vai dropar todo o resto, inclusive o tráfego legítimo...

Veja aqui o excelente artigo do prof elgio sobre isso: http://www.vivaolinux.com.br/artigo/Iptables-protege-contra-SYN-FLOOD/


19. Re: DDoS Imparavel [RESOLVIDO]

Buckminster
Buckminster

(usa Debian)

Enviado em 08/08/2013 - 09:25h

Um IDS identifica o IP (ou IPs) e o filtro bloqueia o IP quando estiver atacando e libera quando não estiver, é para isso que serve o filtro, por isso se chama filtro, porque filtra, ou seja, faz um filtro.


20. Re: DDoS Imparavel [RESOLVIDO]

Renato Carneiro Pacheco
renato_pacheco

(usa Debian)

Enviado em 08/08/2013 - 09:33h

Buckminster escreveu:

Um IDS identifica o IP (ou IPs) e o filtro bloqueia o IP quando estiver atacando e libera quando não estiver, é para isso que serve o filtro, por isso se chama filtro, porque filtra, ou seja, faz um filtro.


Poxa... profunda a sua afirmação. Digno d um poeta!


21. Re: DDoS Imparavel [RESOLVIDO]

Fernando
phoemur

(usa Debian)

Enviado em 08/08/2013 - 09:36h

Buckminster escreveu:

Um IDS identifica o IP (ou IPs) e o filtro bloqueia o IP quando estiver atacando e libera quando não estiver, é para isso que serve o filtro, por isso se chama filtro, porque filtra, ou seja, faz um filtro.


http://www.vivaolinux.com.br/artigo/Iptables-protege-contra-SYN-FLOOD/

Solução FURADA 1: bloquear o IP do atacante
Alguém pode rapidamente pensar: posso simplesmente bloquear o número IP de quem está me atacando e pronto.

Isto não funciona porque o ataque de SYN flood só tem efetivo sucesso se o atacante realizar Ip spoofing de seus pacotes, falsificando o número Ip em cada novo SYN. Isto é desejável até para não atolar o próprio atacante: ele teria que tratar os SYN/ACKs que recebe!

Assim, a cada novo pacote de SYN ele inventa um IP qualquer e o SYN/ACK será devolvido para este IP inventado, que nada sabe a respeito. Qual IP irei bloquear se a cada nova requisição ele muda?

Tem ferramentas prontas que fazem isto, como o hping!


O problema não é bloquear os IPS, pois são falsos de qualquer maneira, o problema é que a cada nova conexão o servidor aloca recursos pra fazer o handshake e se essas conexões forem em número maior do que a capacidade de processamento ou de banda, ocorre o DoS...


22. Re: DDoS Imparavel [RESOLVIDO]

Renato Carneiro Pacheco
renato_pacheco

(usa Debian)

Enviado em 08/08/2013 - 10:02h

phoemur escreveu:

http://www.vivaolinux.com.br/artigo/Iptables-protege-contra-SYN-FLOOD/

Solução FURADA 1: bloquear o IP do atacante
Alguém pode rapidamente pensar: posso simplesmente bloquear o número IP de quem está me atacando e pronto.

Isto não funciona porque o ataque de SYN flood só tem efetivo sucesso se o atacante realizar Ip spoofing de seus pacotes, falsificando o número Ip em cada novo SYN. Isto é desejável até para não atolar o próprio atacante: ele teria que tratar os SYN/ACKs que recebe!

Assim, a cada novo pacote de SYN ele inventa um IP qualquer e o SYN/ACK será devolvido para este IP inventado, que nada sabe a respeito. Qual IP irei bloquear se a cada nova requisição ele muda?

Tem ferramentas prontas que fazem isto, como o hping!


O problema não é bloquear os IPS, pois são falsos de qualquer maneira, o problema é que a cada nova conexão o servidor aloca recursos pra fazer o handshake e se essas conexões forem em número maior do que a capacidade de processamento ou de banda, ocorre o DoS...


Agora, sim, uma boa explicação para tudo q eu disse antes...


23. Re: DDoS Imparavel [RESOLVIDO]

Buckminster
Buckminster

(usa Debian)

Enviado em 08/08/2013 - 10:12h

Meus filhos, como falei antes, dá para minimizar o ataque DoS e dá para evitar ip_sooping:

http://www.brainwork.com.br/blog/2008/11/24/evitando-o-ip-spoofing/

Ou então assim:
http://jogoscomputadorr.blogspot.com.br/2012/11/ip-spoofing-e-protecao-ips-com-um-cisco.html

http://blog.corujadeti.com.br/empresas-brasileiras-comecaram-a-receber-ataques-ddos-com-ip-spoofing-...

Existem várias formas, crianças. De cabeça lembrei dessas, mas tenho outras guardadas na manga.

E repetindo, tudo isso são filtros que filtram, mas acredito que os meninos não sabem o significado de filtro.
Além desses filtros, existem outras formas de filtros que filtram porque eles foram feitos para serem filtros que filtram, senão não seriam filtros, seriam outra coisa, mas como são filtros, eles filtram, pois servem para filtrar uma vez que foram criados para erem filtros.

Acrescentando, faz-se quase um ip_spoofing ao contrário, essa é a técnica.

O que o meu conterrâneo Elgio (o qual admiro muito) escreveu está correto, porém, talvez por esquecimento na época, faltaram alguma informações.

E as crianças devem entender que ip_spooging é uma coisa e DoS é outra coisa.


24. Re: DDoS Imparavel [RESOLVIDO]

Renato Carneiro Pacheco
renato_pacheco

(usa Debian)

Enviado em 08/08/2013 - 10:17h

Buckminster escreveu:

Meus filhos, como falei antes, dá para minimizar o ataque DoS e dá para evitar ip_sooping:

http://www.brainwork.com.br/blog/2008/11/24/evitando-o-ip-spoofing/

Ou então assim:
http://jogoscomputadorr.blogspot.com.br/2012/11/ip-spoofing-e-protecao-ips-com-um-cisco.html

http://blog.corujadeti.com.br/empresas-brasileiras-comecaram-a-receber-ataques-ddos-com-ip-spoofing-...

Existem várias formas, crianças. De cabeça lembrei dessas, mas tenho outras guardadas na manga.

E repetindo, tudo isso são filtros que filtram, mas acredito que os meninos não sabem o significado de filtro.
Além desses filtros, existem outras formas de filtros que filtram porque eles foram feitos para serem filtros que filtram, senão não seriam filtros, seriam outra coisa, mas como são filtros, eles filtram, pois servem para filtrar uma vez que foram criados para erem filtros.


Então, foi algo q eu disse antes tb, só q dei exemplo do IPS. Se vc utiliza um ativo antes do seu servidor (no caso um Cisco), vc até consegue fazer com q o seu servidor não caia, mas a porta específica q está recebendo o ataque vai ficar inacessível tb, além do seu IP público ficar congestionado. D qq forma, vai chegar a um certo ponto q nem o Cisco segura mais... DDoS é complicado!






Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts