DDoS Imparavel [RESOLVIDO]

25. Re: DDoS Imparavel [RESOLVIDO]

Pedro
px

(usa Debian)

Enviado em 08/08/2013 - 10:41h

O ideal seria usar um proxy de ponte (túnel) para o servidor "principal" ou subdividir em mais servidores... mas é bem complexo configurar, pois qualquer errinho vaza o DDos dnv. De cara o aconselhável seria usar um tcpdump para ver o "conteúdo" do pacotes SYN invalido, ai seria fácil criar um filtro pro snort ou o próprio iptables bloquear tais conexões, em conjunto com esta regra poderia-se aplicar o TOS, priorizando o tráfego de quem já esta online!

Ou de uma lista "legitima" (pois o syn flood só manda SYN lembram?! isto com ips randômicos) também fazendo uso de recursos avançados do sistema, podemos compilar o kernel com módulos e paths no iptables, mais ai é outra história hehe

Eu já consegui bloquear DDos em servidor (somente funciona em games/email ou programas que fazem uso rígido da pilha tcp/ip com bons databasers é sem BUGS!) seria o caso de usar uma "assinatura de pacote" aliada ao port-knock e black-lists. Ou seja a conexão (com o proxy) só ira ser legítima se o cliente usar este aplicativo com esta assinatura (devem ser feitos logs periódicos dos ataques) é o servidor só pode aceitar conexões que passem pelo proxy, antes que falem sobre spoof, teria-se um banco de assinaturas randômicas sincronizadas nos dois pontos, ahh se ficar falando vai dar um livro hehe, bom já deixei minha ajuda novamente, tente implementar primeiro as coisas mais fáceis... e de nada adianta um firewall ser bom se seu database é uma droga atente-se nisto!

Boa sorte!






---
Atenciosamente, Pedro.

Já leu meu último artigo?
LINK:
http://www.vivaolinux.com.br/artigos/userview.php?login=px

Dúvidas?! pergunte pra caixinha... ali em cima ---------------------------------------------------------------------------------------------------------------------------------------^

E seja feliz!


  


26. Re: DDoS Imparavel [RESOLVIDO]

João Victor
vikitor566

(usa Fedora)

Enviado em 08/08/2013 - 11:12h

Possível solução a nível de kernel. http://www.vivaolinux.com.br/artigo/Um-dia-depois-da-inundacao?pagina=2


27. Re: DDoS Imparavel [RESOLVIDO]

Pedro
px

(usa Debian)

Enviado em 08/08/2013 - 11:35h

Buckminster escreveu:

Um IDS identifica o IP (ou IPs) e o filtro bloqueia o IP quando estiver atacando e libera quando não estiver, é para isso que serve o filtro, por isso se chama filtro, porque filtra, ou seja, faz um filtro.



Exatamente! ele mantém uma lista volátil para uso nesses casos... mas teria de parar pelo menos o ip spoof antes!

Da uma lida aqui também colega:
http://www.cyberciti.biz/faq/linux-kernel-etcsysctl-conf-security-hardening/
http://www.cyberciti.biz/tips/top-linux-monitoring-tools.html

Eles tem ótimas informações para você! por exemplo já monitorou estes ataques ou esta só olhando!!! já viu se é Dos ou DDos? Dos pode ser feito com várias ferramentas (negação de serviço) DDos é feito em sua maioria por Floods idiotas na rede, da uma estudada neste tcp/ip ... pois não tem muita receita de bolo pra isso não! infelizmente hehe

Já passou o nmap na sua rede pelo menos? pode ter algo por ai...





---
Atenciosamente, Pedro.

Já leu meu último artigo?
LINK:
http://www.vivaolinux.com.br/artigos/userview.php?login=px

Dúvidas?! pergunte pra caixinha... ali em cima ---------------------------------------------------------------------------------------------------------------------------------------^

E seja feliz!


28. Re: DDoS Imparavel [RESOLVIDO]

Anderson
coranderson

(usa CentOS)

Enviado em 08/08/2013 - 12:59h

Eu vou testar todas sugestões... Ele me ataca por UDP, mas todas as portas UDP ja estão invisiveis, pois não uso nenhuma porta udp, não tem problema em bloquear... Obrigado a todos...


29. Re: DDoS Imparavel [RESOLVIDO]

Renato Carneiro Pacheco
renato_pacheco

(usa Debian)

Enviado em 08/08/2013 - 13:14h

O ideal seria usar um proxy de ponte (túnel) para o servidor "principal" ou subdividir em mais servidores...

Isso é uma grande ideia q pode minimizar o DDoS.
Eu já consegui bloquear DDos em servidor (somente funciona em games/email ou programas que fazem uso rígido da pilha tcp/ip com bons databasers é sem BUGS!) seria o caso de usar uma "assinatura de pacote" aliada ao port-knock e black-lists.

A solução port-knocking e blacklists é uma outra solução legal a pensar, mas e se estivéssemos usando UDP? Por não ser orientado à conexão, acho q esse lance não funcionaria muito bem. Posso estar errado...
e de nada adianta um firewall ser bom se seu database é uma droga atente-se nisto!

Desculpe, mas não entendi o lance do database. Vc tá se referindo às regras ou outra coisa?


30. Re: DDoS Imparavel [RESOLVIDO]

Pedro
px

(usa Debian)

Enviado em 08/08/2013 - 13:35h

renato_pacheco escreveu:

Eu já consegui bloquear DDos em servidor (somente funciona em games/email ou programas que fazem uso rígido da pilha tcp/ip com bons databasers é sem BUGS!) seria o caso de usar uma "assinatura de pacote" aliada ao port-knock e black-lists.

A solução port-knocking e blacklists é uma outra solução legal a pensar, mas e se estivéssemos usando UDP? Por não ser orientado à conexão, acho q esse lance não funcionaria muito bem. Posso estar errado...


1-Não é orientado a conexão mais tem a opção de selecionar as portas, ou seja, fecha tudo que não usar, e se usar use resolução de mac e port-knock nele também, validação de checksum ou algo assim... aliado a regras --dport e --sport isso tudo no port-knock, de preferência com um delay de 5s pra passar por cada fase, a temos o UID e GUID mas não tenho certeza se se aplica a UDP... ou a redes externas, mas podemos utiliza-lo no nó servidor > proxy e proxy > servidor! tornando o DDos bem mais improvável...

e de nada adianta um firewall ser bom se seu database é uma droga atente-se nisto!
Desculpe, mas não entendi o lance do database. Vc tá se referindo às regras ou outra coisa?


2-Database seria o "programa" que gerência os usuários do game ao seus dados tipo:

PX mata uma cara ganha 10xp isso vai pro data-base (banco de dados)

Este mesmo "programa" faz a "gerência" de conexões e escuta nas portas de entrada, e responde a estas chamdas +/- isso, é se ele só respondesse após a validação no servidor proxy?? e o servidor proxy só aceitasse repassar as conexões validadas com todos os passos acima? dúvido que ia ter Dos/DDos por ai...

Mas é o que lhe falei é bem difícil implementar e gerenciar isto tudo, por isso disse pra ele começar com mediadas mais simples, e caso não der certo tentar algo mais severo.




---
Atenciosamente, Pedro.

Já leu meu último artigo?
LINK:
http://www.vivaolinux.com.br/artigos/userview.php?login=px

Dúvidas?! pergunte pra caixinha... ali em cima ---------------------------------------------------------------------------------------------------------------------------------------^

E seja feliz!


31. Re: DDoS Imparavel [RESOLVIDO]

Anderson
coranderson

(usa CentOS)

Enviado em 08/08/2013 - 13:38h

Eu dei uma lida nesses topicos, e pelo que eu entendi, o certo seria desabilitar todas proteções contra syn flood e usar somente o syn cookie... No meu servidor principal, eu coloquei regras bem restritivas, limites de novas conexões é 40, conexões por ip é maximo 30 em cada porta(só tem 3 abertas)... Eu desabilito essas regras ou aumento o limite delas? O syn cookie ja estava habilitado!
Obrigado!


32. Re: DDoS Imparavel [RESOLVIDO]

Renato Carneiro Pacheco
renato_pacheco

(usa Debian)

Enviado em 08/08/2013 - 13:44h

@px, entendi agora. Mas acho q com os métodos simples q estão espalhados na Internet não funcionarão, com certeza. Já passei por uma situação parecida e, sinceramente, não dá pra bloquear com esses métodos simples. A sua solução poderia ser eficiente, mas eu teria q fazer um laboratório forte em cima disso para testar.


33. Re: DDoS Imparavel [RESOLVIDO]

Pedro
px

(usa Debian)

Enviado em 08/08/2013 - 13:48h

coranderson escreveu:

Eu dei uma lida nesses topicos, e pelo que eu entendi, o certo seria desabilitar todas proteções contra syn flood e usar somente o syn cookie... No meu servidor principal, eu coloquei regras bem restritivas, limites de novas conexões é 40, conexões por ip é maximo 30 em cada porta(só tem 3 abertas)... Eu desabilito essas regras ou aumento o limite delas? O syn cookie ja estava habilitado!
Obrigado!



É por isso que você ta levando Dos! seu server tem quantos players?

POST SEU SCRIPT DE IPTABLES AQUI!!





---
Atenciosamente, Pedro.

Já leu meu último artigo?
LINK:
http://www.vivaolinux.com.br/artigos/userview.php?login=px

Dúvidas?! pergunte pra caixinha... ali em cima ---------------------------------------------------------------------------------------------------------------------------------------^

E seja feliz!


34. Re: DDoS Imparavel [RESOLVIDO]

Reginaldo de Matias
saitam

(usa Slackware)

Enviado em 08/08/2013 - 13:51h

Todo servidor deve bloquear icmp, ou seja, não aceitar ping, deve ter obrigatoriamente no script firewall as regras abaixo:


#Protecao contra ataques DoS
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A OUTPUT -p tcp ! --tcp-flags SYN,RST,ACK SYN -m state --state NEW -j DROP
#Filtrando pacotes ICMP
echo "Filtrando pacotes contra ICMP Broadcast"
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
echo "Protegendo contra Ping da Morte..."
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
iptables -A INPUT -p icmp -j DROP



35. Re: DDoS Imparavel [RESOLVIDO]

Pedro
px

(usa Debian)

Enviado em 08/08/2013 - 13:51h

renato_pacheco escreveu:

@px, entendi agora. Mas acho q com os métodos simples q estão espalhados na Internet não funcionarão, com certeza. Já passei por uma situação parecida e, sinceramente, não dá pra bloquear com esses métodos simples. A sua solução poderia ser eficiente, mas eu teria q fazer um laboratório forte em cima disso para testar.



Seria mesmo interessante essa questão! pena que não tenho mais pcs aq... só to com o meu mesmo. E na minha cidade o link de rede é um absurdo de caro! eles vendem 1 mega (mega porra nenhuma 120/30 kbs tnc) isso a ~50 mangos!





---
Atenciosamente, Pedro.

Já leu meu último artigo?
LINK:
http://www.vivaolinux.com.br/artigos/userview.php?login=px

Dúvidas?! pergunte pra caixinha... ali em cima ---------------------------------------------------------------------------------------------------------------------------------------^

E seja feliz!


36. Re: DDoS Imparavel [RESOLVIDO]

Anderson
coranderson

(usa CentOS)

Enviado em 08/08/2013 - 13:56h

vikitor566 escreveu:

Possível solução a nível de kernel. http://www.vivaolinux.com.br/artigo/Um-dia-depois-da-inundacao?pagina=2


Meu kernel ja esta configurado com configurações parecidas... Vou mudalas desse geito! Obrigado!






Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts