Limite de pacotes udp

George511
(usa Debian)

Enviado em 06/02/2012 - 18:12h

Eu estou sofrendo de ataques por pacotes udp, como posso limitar a quantidade de pacotes por segundos recebido de um ip para um certa porta?

pois eu hospedo um servidor, e ele sofre muito desses ataques, gostaria de diminuir ou parar com esse ataques.

espero que alguem responda :D

removido
(usa Nenhuma)

Enviado em 06/02/2012 - 18:44h

Olá...
É só uma ideia. Não é a solução para os seus problemas!

#####################################################################

IPT='which iptables'

# SSH:
$IPT -A INPUT -p tcp --dport 22 -j ACCEPT

# DNS:
$IPT -A INPUT -p tcp --dport 53 -j ACCEPT
$IPT -A INPUT -p udp --dport 53 -j ACCEPT

# HTTP e HTTPS:
$IPT -A INPUT -p tcp --dport 80 -j ACCEPT
$IPT -A INPUT -p tcp --dport 443 -j ACCEPT

# Bloqueia conexões nas demais portas:
$IPT -A INPUT -p tcp --syn -j DROP

# Garante que o firewall permitirá pacotes de conexões já iniciadas:
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Bloqueia as portas UDP de 0 a 1023 (com exceção das abertas acima):
$IPT -A INPUT -p udp --dport 0:1023 -j DROP

######################################################################

Como limitar por segundo estou por fora!!! Talvez vc possa marcar os pacotes e limita-los no mangle.


De uma olhada no PSAD tb:

http://www.cyberciti.biz/faq/linux-detect-port-scan-attacks/

andrecanhadas
(usa Debian)

Enviado em 06/02/2012 - 18:56h

Da uma olhada ve se te ajuda:
http://www.vivaolinux.com.br/artigo/Protecao-utilizando-fail2ban-contra-ataques-do-tipo

De imediato pode adicionar uma proteção extra ao seu firewall:

################################################################################
######################## Protege contra ataques diversos #######################
################################################################################

###### Protege contra synflood
/sbin/iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
echo 1 > /proc/sys/net/ipv4/tcp_syncookies

###### Protecao contra ICMP Broadcasting
#echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
#echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
###### Prote.. Contra IP Spoofing
echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter

###### Protecao diversas contra portscanners, ping of death, ataques DoS, pacotes danificados e etc.
/sbin/iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
/sbin/iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
/sbin/iptables -A INPUT -i eth1 -p icmp --icmp-type echo-reply -m limit --limit 1/s -j DROP
/sbin/iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT
/sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
/sbin/iptables -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROP
/sbin/iptables -A INPUT -m state --state INVALID -j DROP
/sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -N VALID_CHECK
/sbin/iptables -A VALID_CHECK -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
/sbin/iptables -A VALID_CHECK -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
/sbin/iptables -A VALID_CHECK -p tcp --tcp-flags ALL ALL -j DROP
/sbin/iptables -A VALID_CHECK -p tcp --tcp-flags ALL FIN -j DROP
/sbin/iptables -A VALID_CHECK -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
/sbin/iptables -A VALID_CHECK -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
/sbin/iptables -A VALID_CHECK -p tcp --tcp-flags ALL NONE -j DROP

phrich
(usa Slackware)

Enviado em 06/02/2012 - 22:50h

E se vc bloquear o ip do atacante:

iptables -A INPUT -s $IP_DO_ATACANTE -j DROP

Ou

/etc/hosts.deny

Dentro do arquivo, coloque:

ALL: ip_do_atacante

n4t4n
(usa Arch Linux)

Enviado em 01/03/2012 - 11:56h

iptables -A INPUT -p udp -m limit --limit 1/sec -j ACCEPT

removido
(usa Nenhuma)

Enviado em 01/03/2012 - 12:27h

Limitar um pacote por segundo na entrada? É isso? Tu testou essa regra?
Essa regra não é muito restritiva?

Eu tenho essa regra no meu iptables:

$IPT -A INPUT -p udp -d $ETH0 --sport 53 -j ACCEPT
$IPT -A INPUT -p tcp -d $ETH0 --sport 53 -j ACCEPT
$IPT -A INPUT -p udp -d $ETH0 --dport 53 -j ACCEPT
$IPT -A INPUT -p tcp -d $ETH0 --dport 53 -j ACCEPT

Ela não seria afetada?

To te perguntando pq eu não sou um expert em iptables, e me surgiu essa duvida.

Abraço!

andrecanhadas
(usa Debian)

Enviado em 01/03/2012 - 13:12h

Pode testar o fail2ban que tem essa finalidade de bloqueio de ataques:
http://www.vivaolinux.com.br/artigo/Protecao-utilizando-fail2ban-contra-ataques-do-tipo

n4t4n
(usa Arch Linux)

Enviado em 01/03/2012 - 15:16h

Não entendam mal. O cara quer uma regra que limite pacotes udp em uma certa porta. Só coloquei aqui um comando que ele pode fazer isso, não é uma sugestão de que seja exatamente como postei.

Vejam que eu não especifiquei a porta. Só coloquei limite de 1/sec para exemplificar. Não sou especialista em firewall também portanto não sei dizer se é restritiva demais ou não, isso varia de caso para caso.

removido
(usa Nenhuma)

Enviado em 01/03/2012 - 18:08h

Desculpa a forma como eu coloquei a pergunta! Como disse... -Eu não sou expert em iptables! Tenho q estudar muito! Só fiquei curioso. Mas valeu!!!

A sugestão do andrecanhadas é muito bacana!

Abraço!