Segurança IP - Contagem de Saltos TTL (DoS)

incapdns
(usa Ubuntu)

Enviado em 13/10/2018 - 19:55h

Observaçao: Encontrei este artigo em: http://journals.sfu.ca/apan/index.php/apan/article/download/14/5
Meu Problema:
Estou recebendo ataques DoS (nao DDoS) de 1 usuario que esta falsificando o SADDR (IP de Origem) do protocolo IP atacando na porta destino (meu servidor) 80.

Soluçao Temporaria (Chegou a funcionar):
Eu bloqueie a trafego de origem destinados minha maquina (Ubuntu) [INPUT] e ao trafego que passar por ela [FORWARD] permitindo somente alguns endereço IP [Brasileiros]. Mas essa nao e uma boa soluçao pos o atacante ainda pode atacar com qualquer range de IP's que desejar.

Soluçao Definitiva (Estou construindo | Problema: Nao entendo como funciona o TTL 100%):
Pensei em bloquear os pacotes cujo o TTL forem invalidos.
Eu imagino assim:
Em 1 pacote normal:
1) R0 [S: 172.230.50.31 | D: 189.200.40.51] (TTL: 64) -> Exemplo atual.

2) R3 [IP: 189.200.40.51]
atraz de R2 tem R2 [IP: 189.200.40.50] e R1 (Primeiro roteador) [189.200.40.49]
Entao antes de chegar ao R3 (no 1 etapa) tem que passar para o R1 e tambem R2.
Entao e correto afirmar que TTL 64 Foi recebido no R1 e enviado com TTL 63 ao R2 que por sua vez encaminhou o pacote (ip de destino) ao R3 que e o alvo.

Entao eu posso descartar qualquer TTL diferente que eu venha a receber?

Mas tem 1 pequeno problema:
1 Problema: Alguns sistemas operacionais utilizam TTL 64 outros nao (pode ser resolvido).
2 Problema: O atacante pode descobrir o numero de saltos atravez do tracert, principalmente se estiver em uma rede local. Tem como bloquear o traceroute ?

Meu Pedido:
Preciso de ajuda para criar uma regral firewall iptables que proteja (A soluçao temporario funciona perfeitamente mas nao e ideal pois nao posso limitar os IP's que acessarao o conteudo) contra IP Spoof baseado em TTL Hop Count (Segurança IP)

Aguardo ajuda, agradeço desde ja.

LSSilva
(usa Outra)

Enviado em 13/10/2018 - 22:49h

Cara, usa o fail2ban:
https://blog.rapid7.com/2017/02/13/how-to-protect-ssh-and-apache-using-fail2ban-on-ubuntu-linux/

Outra proteção legal é ativar o tcp_syncookies e o rp-filter.

Criar um firewall statefull também ajuda; bem como utilizar módulo limit do iptables.

incapdns
(usa Ubuntu)

Enviado em 13/10/2018 - 22:54h

Sim, eu uso Fail2ban para proteger contra tentativas SSH. mas o problema e eu recebo varios pacotes de IP's origem que existem sao IP's spoofing pois o TCP 3-Way Handshake nao acontece, eu recebo 1 conexao na porta 80 e meu servidor responde para a origem, a origem nao responde com ACK (TCPDump) entao isso prova que e Spoofing. e somente pelo fato do servidor estar recebendo varias conexoes esta acabando com minha banda :(

OBS: Pode ser botnet mas ja testei a proteçao eu mesmo realiando ataques usando o HPING3 e cai facilmente, so quando bloqueio todos os IP's (essa soluçao nao e boa devido estar bloqueando IP's validos) que o ataque acaba :(

Nao existe alguma forma de bloquear os IP's spoofing sem consumir muita banda? :(

LSSilva
(usa Outra)

Enviado em 14/10/2018 - 10:01h

Testou com o TCP_SYNCOOKIES ativo?