Denuncie   Favoritos   Indicar  

01 02

Bloqueando ataque DoS no Iptables.

1. Bloqueando ataque DoS no Iptables.

Anderson Silva e Silva
freeday
(usa Ubuntu)

Enviado em 13/03/2012 - 19:30h

Olá, tenho uma VM com Ubuntu 11.10 e meu S.O do computador é Windows 7 e uso rotiador.

Eu andei pesquisando e vi que o comando:

# iptables -A FORWARD -s IP AQUI -j DROP

servia para bloquear conexões vinda de fora (web), então eu pedi para um amigo que possui um servidor dedicado que fizesse um ataque DoS em minha conexão para eu tentar bloquear com o comando do Iptables.

O "tool" que ele usou foi sem spoofing etc.. E o Iptables não bloqueou o ataque e minha conexão caiu, mesmo depois de eu ter bloqueado o IP do dedicado dele com o Iptables. O ataque foi feito na Porta 0, e a VM estava aberta na hora do ataque.

Aí ficou minha dúvida..

Fiz algo de errado?

O comando não serve para isso?

É porque usei os comandos em uma VM Ubuntu e utilizo Win 7?

O rotiador influênciou em algo que prejudicou que o Iptables bloquea-se?

Há algum comando para listar o IP (ou vários) do ataque em caso de se tomar um ataque desse tipo? E como bloquea-lo com Iptables sabendo o IP do atacante.

Obrigado.




0 0
  • Quote

    •   


    2. Proteção

    André Canhadas
    andrecanhadas
    (usa Debian)

    Enviado em 13/03/2012 - 22:10h

    No linux tem algo para o IPtables mas como entra pelo M$ só Deus Sabe.

    ###### Protege contra synflood
    /sbin/iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
    echo 1 > /proc/sys/net/ipv4/tcp_syncookies

    ###### Protecao contra ICMP Broadcasting
    #echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
    #echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
    ###### Prote.. Contra IP Spoofing
    echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter

    ###### Protecao diversas contra portscanners, ping of death, ataques DoS, pacotes danificados e etc.
    /sbin/iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
    /sbin/iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
    /sbin/iptables -A INPUT -i eth1 -p icmp --icmp-type echo-reply -m limit --limit 1/s -j DROP
    /sbin/iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT
    /sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
    /sbin/iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
    /sbin/iptables -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROP
    /sbin/iptables -A INPUT -m state --state INVALID -j DROP
    /sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
    /sbin/iptables -N VALID_CHECK
    /sbin/iptables -A VALID_CHECK -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
    /sbin/iptables -A VALID_CHECK -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
    /sbin/iptables -A VALID_CHECK -p tcp --tcp-flags ALL ALL -j DROP
    /sbin/iptables -A VALID_CHECK -p tcp --tcp-flags ALL FIN -j DROP
    /sbin/iptables -A VALID_CHECK -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
    /sbin/iptables -A VALID_CHECK -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
    /sbin/iptables -A VALID_CHECK -p tcp --tcp-flags ALL NONE -j DROP

    ## Limitando conex..es na porta 80 #######
    /sbin/iptables -I INPUT -p tcp --dport 80 -i eth1 -m state --state NEW -m recent --set

    /sbin/iptables -I INPUT -p tcp --dport 80 -i eth1 -m state --state NEW -m recent --update --seconds 1 --hitcount 10 -j DROP



    0 0
  • Quote

    • 3. Roteador

    André Canhadas
    andrecanhadas
    (usa Debian)

    Enviado em 13/03/2012 - 22:12h

    Alguns roteadores tem um firewall próprio e pode ser habilitado as proteções no admin

    0 0
  • Quote

    • 4. Re: Bloqueando ataque DoS no Iptables.

    Phillip Vieira
    phrich
    (usa Slackware)

    Enviado em 13/03/2012 - 22:32h

    As questões mais óbvias:

    1 - Seu roteador está na frente do iptables sendo assim ele não aguentou o ataque

    2 - para bloquear este tipo de ataque ou vc utiliza o tcpwrapers ou a regra de DROP no iptables

    3 - quando vc for testar em ambiente virtual (tipo que vc está usando) utilize outra máquina virtual para realizar os testes.

    Acredito que vc precise um pouco mais de leitura sobre o iptables e redes, sendo assim vou lhe ajudar com 2 artigos, mas estude mais a fundo quando vc estiver pronto:


    IPTABLES
    http://www.vivaolinux.com.br/artigo/Iptables-Seguranca-total-para-sua-rede


    SQUID + IPTABLES
    http://www.vivaolinux.com.br/artigo/Squid-+-Iptables-Combinacao-Infalivel/

    0 0
  • Quote

    • 5. Re: Bloqueando ataque DoS no Iptables.

    Anderson Silva e Silva
    freeday
    (usa Ubuntu)

    Enviado em 13/03/2012 - 23:15h

    Olá phrich, foi uma das coisas que suspeitei, que o roteador estava a frente, agora como faço para colocar o Iptables na frente do roteador? Obg.

    0 0
  • Quote

    • 6. Re: Bloqueando ataque DoS no Iptables.

    Phillip Vieira
    phrich
    (usa Slackware)

    Enviado em 13/03/2012 - 23:21h

    Vc nunca vai conseguir isso...

    Mas se vc quiser testar o ataque direto a sua máquina virtual, coloque a interface dela como bridge, configure um ip no mesmo range do seu roteador e habilite o DMZ do seu roteador para a estação virtual.

    Vc vai ver que os pacotes irão chegar e que o iptables irá bloquear, porém o roteador pode não aguentar novamente.


    Ah e para bloquear o ataque, basta ir para a regra de INPUT

    iptables -A INPUT -s ip_do_atacante -j DROP

    0 0
  • Quote

    • 7. Re: Bloqueando ataque DoS no Iptables.

    Anderson Silva e Silva
    freeday
    (usa Ubuntu)

    Enviado em 13/03/2012 - 23:40h

    Opa phrich, quase que ao mesmo tempo da sua resposta eu fiz isso, coloquei em DMZ no roteador e coloquei a placa em modo bridge.

    Eu estava usando a regra em FORWARD, agora vou utilizar INPUT.

    Então, em breve vou testar aqui, mas mesmo assim colocando em DMZ o roteador pode não aguentar como vc disse? E como resolvo isso para não envolver o roteador na mitigação dos ataques?



    0 0
  • Quote

    • 8. Re: Bloqueando ataque DoS no Iptables.

    Anderson Silva e Silva
    freeday
    (usa Ubuntu)

    Enviado em 14/03/2012 - 01:30h

    Testei aqui e não deu certo, minha conexão caiu do mesmo jeito. O Iptables não entrou na frente do roteador mesmo depois desse procedimento. (Ou o roteador que não aguentou como vc disse)

    E agora?!? Como faço para o roteador aguentar ou desvincular ele na hora desse tipo de ataque.

    0 0
  • Quote

    • 9. Re: Bloqueando ataque DoS no Iptables.

    Phillip Vieira
    phrich
    (usa Slackware)

    Enviado em 14/03/2012 - 08:27h

    cara, como vc sabe que não funcionou?

    Qual ferramenta vc utilizou para ver os pacotes entrantes no seu iptables?

    0 0
  • Quote

    • 10. Re: Bloqueando ataque DoS no Iptables.

    Renato Carneiro Pacheco
    renato_pacheco
    (usa Debian)

    Enviado em 14/03/2012 - 10:29h

    Se vc colocar seu modem em modo bridge e colocar sua máquina para autenticar, acredito q seja possível impedir os ataques, mas não poderia ser em VM, né?

    0 0
  • Quote

    • 11. Re: Bloqueando ataque DoS no Iptables.

    Anderson Silva e Silva
    freeday
    (usa Ubuntu)

    Enviado em 14/03/2012 - 10:33h

    @phrich

    Pelo Iptraf.

    Tem algum outro jeito de ver as conexões que o Iptables está tentando bloquear ou as conexões que estão entrando?

    Sou novo no mundo Linux e não tenho vergonha de perguntar.

    0 0
  • Quote

    • 12. tcpdump

    André Canhadas
    andrecanhadas
    (usa Debian)

    Enviado em 14/03/2012 - 10:37h

    freeday escreveu:

    @phrich

    Pelo Iptraf.

    Tem algum outro jeito de ver as conexões que o Iptables está tentando bloquear ou as conexões que estão entrando?

    Sou novo no mundo Linux e não tenho vergonha de perguntar.

    Pode usar o tcpdump

    tcpdump -i eth1 src port 8888

    onde eth1=placa internet e 8888=porta onde quer filtrar

    0 0
  • Quote


    • 01 02



    Patrocínio

    Site hospedado pelo provedor RedeHost.
    Linux banner

    Destaques

    Artigos

    Compartilhando a tela do Computador no Celular via Deskreen

    Como Configurar um Túnel SSH Reverso para Acessar Sua Máquina Local a Partir de uma Máquina Remota

    Configuração para desligamento automatizado de Computadores em um Ambiente Comercial

    O mínimo que você precisa saber sobre o terminal (parte 2)

    O mínimo que você precisa saber sobre o terminal (parte 1)

    Dicas

    Como renomear arquivos de letras maiúsculas para minúsculas

    Imprimindo no formato livreto no Linux

    Vim - incrementando números em substituição

    Efeito "livro" em arquivos PDF

    Como resolver o erro no CUPS: Unable to get list of printer drivers

    Tópicos

    Acabei de formatar meu ssd e deu erro (3)

    Desempenho abaixo do esperado - travadas e congelamento do sistema ope... (5)

    Bash ao invés de Fish no CachyOS (1)

    Linux rodando do hd externo ou ssd? (4)

    Firewall iptables - Rotear Interface Cliente (0)

    Top 10 do mês

    Scripts

    [Python] Automação de scan de vulnerabilidades

    [Python] Script para analise de superficie de ataque

    [Shell Script] Novo script para redimensionar, rotacionar, converter e espelhar arquivos de imagem

    [Shell Script] Iniciador de DOOM (DSDA-DOOM, Doom Retro ou Woof!)

    [Shell Script] Script para adicionar bordas às imagens de uma pasta

    A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.

    Site hospedado por: