DDoS Imparavel [RESOLVIDO]

coranderson
(usa CentOS)

Enviado em 08/08/2013 - 01:09h

Fazer oque né... Mas eu vou usar mesmo assim... como diz o cara ali e o tiririca... Pior do que ta não fica!
O maximo que pode acontecer é congestionar o dedicado... Mas por enquanto tem bastante recurso...

Buckminster
(usa Debian)

Enviado em 08/08/2013 - 08:25h

Os ataques DoS (Denial of Service), que podem ser interpretados como "Ataques de Negação de Serviços" atuam na pilha TCP/IP durante a conexão e não existe como pará-los, somente minimizá-los.
O DDoS (Distributed Denial of Service) é um ataque DoS de grandes dimensões, ou seja, que utiliza até milhares de computadores para atacar uma determinada máquina.
Se você já hablitou o tcp_syncookies no firewall isso deveria minimizar o ataque.
Você pode utilizar um IDS (Intrusion Detection System - Sistema de Identificação de Intrusos) para identificar e bloquear através do firewall o IP (ou IPs) que estão atacando.
Pode utilizar filtros também.

http://www.google.com.br/url?sa=t&rct=j&q=ddos%20e%20dos&source=web&cd=3&sqi=2&a...

https://www.rnp.br/newsgen/0003/ddos.html

saitam
(usa Slackware)

Enviado em 08/08/2013 - 08:53h

Faz um teste aplicando as regras iptables abaixo no script firewall

#Proteção contra Synflood

iptables -N syn-flood

iptables -A INPUT -i $ifaceInt -p tcp --syn -j syn-flood

iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETURN

iptables -A syn-flood -j DROP

iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

#Proteção contra port-scanners ocultos

iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

iptables -N SCANNER

iptables -A SCANNER -j DROP

iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -i $ifaceExt -j DROP

iptables -A INPUT -p tcp --tcp-flags ALL NONE -i $ifaceExt -j DROP

iptables -A INPUT -p tcp --tcp-flags ALL ALL -i $ifaceExt -j DROP

iptables -A INPUT -p tcp --tcp-flags ALL FIN,SYN -i $ifaceExt -j DROP

iptables -A INPUT -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -i $ifaceExt -j DROP

iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -i $ifaceExt -j DROP

iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -i $ifaceExt -j DROP

iptables -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROP

#-m recent --update --hitcount=4 quer dizer se tentar passar pelo ip utilizando o nmap 4x será jogado na lista INVASOR

iptables -A INPUT -m recent --update --hitcount 4 --name INVASOR --seconds 3600 -j DROP

#indica bloqueio por 3600 segundos, ou seja, 1 hora o host que tentou realizar um scan na rede

iptables -A INPUT -m recent --set --name INVASOR

#Proteção contra IP Spoofing

iptables -A INPUT -s $LAN -i $ifaceExt -j DROP

for i in /proc/sys/net/ipv4/conf/*/rp_filter; do

  echo 1 > $i

done

#Protecao contra ataques DoS

iptables -A INPUT -m state --state INVALID -j DROP

iptables -A OUTPUT -p tcp ! --tcp-flags SYN,RST,ACK SYN -m state --state NEW -j DROP

#Filtrando pacotes ICMP

echo "Filtrando pacotes contra ICMP Broadcast"

echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

echo "Protegendo contra Ping da Morte..."

iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

iptables -A INPUT -p icmp -j DROP

#Bloqueando Tracerouters

#Bloqueia pacotes tcp malformados

iptables -A FORWARD -p tcp ! --syn -m state --state NEW -j DROP

iptables -A INPUT -m state --state INVALID -j DROP

iptables -A OUTPUT -m state --state INVALID -j DROP

iptables -A FORWARD -m state --state INVALID -j DROP

 

Depois retorne o resultado após aplicar as regras acima de forma correta!

phoemur
(usa Debian)

Enviado em 08/08/2013 - 09:18h

Mas não adianta bloquear por IP porque faz spoof... Por exemplo ele disse que utilizou todo o range 189 e se ele bloquear todos os ips iniciados com 189 ele vai bloquear muitos IPs válidos e provavelmente não vai bloquear o IP real de quem está fazendo o ataque.

renato_pacheco
(usa Debian)

Enviado em 08/08/2013 - 09:20h

Foi o q eu disse antes...

phoemur
(usa Debian)

Enviado em 08/08/2013 - 09:22h

Isso daqui torna infinitamente mais fácil o DoS, pois agora o servidor irá dropar qualquer tentativa de conexão que aconteça mais de 1 vez por segundo

Agora até um modem de 56k discado pelo itelefônica vai conseguir derrubar o servidor, pois vai mandar mais de 4 SYNS por segundo e o firewall vai dropar todo o resto, inclusive o tráfego legítimo...

Veja aqui o excelente artigo do prof elgio sobre isso: http://www.vivaolinux.com.br/artigo/Iptables-protege-contra-SYN-FLOOD/

Buckminster
(usa Debian)

Enviado em 08/08/2013 - 09:25h

Um IDS identifica o IP (ou IPs) e o filtro bloqueia o IP quando estiver atacando e libera quando não estiver, é para isso que serve o filtro, por isso se chama filtro, porque filtra, ou seja, faz um filtro.

renato_pacheco
(usa Debian)

Enviado em 08/08/2013 - 09:33h

Poxa... profunda a sua afirmação. Digno d um poeta!

phoemur
(usa Debian)

Enviado em 08/08/2013 - 09:36h

http://www.vivaolinux.com.br/artigo/Iptables-protege-contra-SYN-FLOOD/


O problema não é bloquear os IPS, pois são falsos de qualquer maneira, o problema é que a cada nova conexão o servidor aloca recursos pra fazer o handshake e se essas conexões forem em número maior do que a capacidade de processamento ou de banda, ocorre o DoS...

renato_pacheco
(usa Debian)

Enviado em 08/08/2013 - 10:02h

Agora, sim, uma boa explicação para tudo q eu disse antes...

Buckminster
(usa Debian)

Enviado em 08/08/2013 - 10:12h

Meus filhos, como falei antes, dá para minimizar o ataque DoS e dá para evitar ip_sooping:

http://www.brainwork.com.br/blog/2008/11/24/evitando-o-ip-spoofing/

Ou então assim:
http://jogoscomputadorr.blogspot.com.br/2012/11/ip-spoofing-e-protecao-ips-com-um-cisco.html

http://blog.corujadeti.com.br/empresas-brasileiras-comecaram-a-receber-ataques-ddos-com-ip-spoofing-...

Existem várias formas, crianças. De cabeça lembrei dessas, mas tenho outras guardadas na manga.

E repetindo, tudo isso são filtros que filtram, mas acredito que os meninos não sabem o significado de filtro.
Além desses filtros, existem outras formas de filtros que filtram porque eles foram feitos para serem filtros que filtram, senão não seriam filtros, seriam outra coisa, mas como são filtros, eles filtram, pois servem para filtrar uma vez que foram criados para erem filtros.

Acrescentando, faz-se quase um ip_spoofing ao contrário, essa é a técnica.

O que o meu conterrâneo Elgio (o qual admiro muito) escreveu está correto, porém, talvez por esquecimento na época, faltaram alguma informações.

E as crianças devem entender que ip_spooging é uma coisa e DoS é outra coisa.

renato_pacheco
(usa Debian)

Enviado em 08/08/2013 - 10:17h

Então, foi algo q eu disse antes tb, só q dei exemplo do IPS. Se vc utiliza um ativo antes do seu servidor (no caso um Cisco), vc até consegue fazer com q o seu servidor não caia, mas a porta específica q está recebendo o ataque vai ficar inacessível tb, além do seu IP público ficar congestionado. D qq forma, vai chegar a um certo ponto q nem o Cisco segura mais... DDoS é complicado!