DDoS Imparavel [RESOLVIDO]

px
(usa Debian)

Enviado em 08/08/2013 - 10:41h

O ideal seria usar um proxy de ponte (túnel) para o servidor "principal" ou subdividir em mais servidores... mas é bem complexo configurar, pois qualquer errinho vaza o DDos dnv. De cara o aconselhável seria usar um tcpdump para ver o "conteúdo" do pacotes SYN invalido, ai seria fácil criar um filtro pro snort ou o próprio iptables bloquear tais conexões, em conjunto com esta regra poderia-se aplicar o TOS, priorizando o tráfego de quem já esta online!

Ou de uma lista "legitima" (pois o syn flood só manda SYN lembram?! isto com ips randômicos) também fazendo uso de recursos avançados do sistema, podemos compilar o kernel com módulos e paths no iptables, mais ai é outra história hehe

Eu já consegui bloquear DDos em servidor (somente funciona em games/email ou programas que fazem uso rígido da pilha tcp/ip com bons databasers é sem BUGS!) seria o caso de usar uma "assinatura de pacote" aliada ao port-knock e black-lists. Ou seja a conexão (com o proxy) só ira ser legítima se o cliente usar este aplicativo com esta assinatura (devem ser feitos logs periódicos dos ataques) é o servidor só pode aceitar conexões que passem pelo proxy, antes que falem sobre spoof, teria-se um banco de assinaturas randômicas sincronizadas nos dois pontos, ahh se ficar falando vai dar um livro hehe, bom já deixei minha ajuda novamente, tente implementar primeiro as coisas mais fáceis... e de nada adianta um firewall ser bom se seu database é uma droga atente-se nisto!

Boa sorte!






---
Atenciosamente, Pedro.

Já leu meu último artigo?
LINK:
http://www.vivaolinux.com.br/artigos/userview.php?login=px

Dúvidas?! pergunte pra caixinha... ali em cima ---------------------------------------------------------------------------------------------------------------------------------------^

E seja feliz!

vikitor566
(usa Fedora)

Enviado em 08/08/2013 - 11:12h

Possível solução a nível de kernel. http://www.vivaolinux.com.br/artigo/Um-dia-depois-da-inundacao?pagina=2

px
(usa Debian)

Enviado em 08/08/2013 - 11:35h

Exatamente! ele mantém uma lista volátil para uso nesses casos... mas teria de parar pelo menos o ip spoof antes!

Da uma lida aqui também colega:
http://www.cyberciti.biz/faq/linux-kernel-etcsysctl-conf-security-hardening/
http://www.cyberciti.biz/tips/top-linux-monitoring-tools.html

Eles tem ótimas informações para você! por exemplo já monitorou estes ataques ou esta só olhando!!! já viu se é Dos ou DDos? Dos pode ser feito com várias ferramentas (negação de serviço) DDos é feito em sua maioria por Floods idiotas na rede, da uma estudada neste tcp/ip ... pois não tem muita receita de bolo pra isso não! infelizmente hehe

Já passou o nmap na sua rede pelo menos? pode ter algo por ai...





---
Atenciosamente, Pedro.

Já leu meu último artigo?
LINK:
http://www.vivaolinux.com.br/artigos/userview.php?login=px

Dúvidas?! pergunte pra caixinha... ali em cima ---------------------------------------------------------------------------------------------------------------------------------------^

E seja feliz!

coranderson
(usa CentOS)

Enviado em 08/08/2013 - 12:59h

Eu vou testar todas sugestões... Ele me ataca por UDP, mas todas as portas UDP ja estão invisiveis, pois não uso nenhuma porta udp, não tem problema em bloquear... Obrigado a todos...

renato_pacheco
(usa Debian)

Enviado em 08/08/2013 - 13:14h

Isso é uma grande ideia q pode minimizar o DDoS.

A solução port-knocking e blacklists é uma outra solução legal a pensar, mas e se estivéssemos usando UDP? Por não ser orientado à conexão, acho q esse lance não funcionaria muito bem. Posso estar errado...

Desculpe, mas não entendi o lance do database. Vc tá se referindo às regras ou outra coisa?

px
(usa Debian)

Enviado em 08/08/2013 - 13:35h

1-Não é orientado a conexão mais tem a opção de selecionar as portas, ou seja, fecha tudo que não usar, e se usar use resolução de mac e port-knock nele também, validação de checksum ou algo assim... aliado a regras --dport e --sport isso tudo no port-knock, de preferência com um delay de 5s pra passar por cada fase, a temos o UID e GUID mas não tenho certeza se se aplica a UDP... ou a redes externas, mas podemos utiliza-lo no nó servidor > proxy e proxy > servidor! tornando o DDos bem mais improvável...



2-Database seria o "programa" que gerência os usuários do game ao seus dados tipo:

PX mata uma cara ganha 10xp isso vai pro data-base (banco de dados)

Este mesmo "programa" faz a "gerência" de conexões e escuta nas portas de entrada, e responde a estas chamdas +/- isso, é se ele só respondesse após a validação no servidor proxy?? e o servidor proxy só aceitasse repassar as conexões validadas com todos os passos acima? dúvido que ia ter Dos/DDos por ai...

Mas é o que lhe falei é bem difícil implementar e gerenciar isto tudo, por isso disse pra ele começar com mediadas mais simples, e caso não der certo tentar algo mais severo.




---
Atenciosamente, Pedro.

Já leu meu último artigo?
LINK:
http://www.vivaolinux.com.br/artigos/userview.php?login=px

Dúvidas?! pergunte pra caixinha... ali em cima ---------------------------------------------------------------------------------------------------------------------------------------^

E seja feliz!

coranderson
(usa CentOS)

Enviado em 08/08/2013 - 13:38h

Eu dei uma lida nesses topicos, e pelo que eu entendi, o certo seria desabilitar todas proteções contra syn flood e usar somente o syn cookie... No meu servidor principal, eu coloquei regras bem restritivas, limites de novas conexões é 40, conexões por ip é maximo 30 em cada porta(só tem 3 abertas)... Eu desabilito essas regras ou aumento o limite delas? O syn cookie ja estava habilitado!
Obrigado!

renato_pacheco
(usa Debian)

Enviado em 08/08/2013 - 13:44h

@px, entendi agora. Mas acho q com os métodos simples q estão espalhados na Internet não funcionarão, com certeza. Já passei por uma situação parecida e, sinceramente, não dá pra bloquear com esses métodos simples. A sua solução poderia ser eficiente, mas eu teria q fazer um laboratório forte em cima disso para testar.

px
(usa Debian)

Enviado em 08/08/2013 - 13:48h

É por isso que você ta levando Dos! seu server tem quantos players?

POST SEU SCRIPT DE IPTABLES AQUI!!





---
Atenciosamente, Pedro.

Já leu meu último artigo?
LINK:
http://www.vivaolinux.com.br/artigos/userview.php?login=px

Dúvidas?! pergunte pra caixinha... ali em cima ---------------------------------------------------------------------------------------------------------------------------------------^

E seja feliz!

saitam
(usa Slackware)

Enviado em 08/08/2013 - 13:51h

Todo servidor deve bloquear icmp, ou seja, não aceitar ping, deve ter obrigatoriamente no script firewall as regras abaixo:

#Protecao contra ataques DoS

iptables -A INPUT -m state --state INVALID -j DROP

iptables -A OUTPUT -p tcp ! --tcp-flags SYN,RST,ACK SYN -m state --state NEW -j DROP

#Filtrando pacotes ICMP

echo "Filtrando pacotes contra ICMP Broadcast"

echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

echo "Protegendo contra Ping da Morte..."

iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

iptables -A INPUT -p icmp -j DROP

 

px
(usa Debian)

Enviado em 08/08/2013 - 13:51h

Seria mesmo interessante essa questão! pena que não tenho mais pcs aq... só to com o meu mesmo. E na minha cidade o link de rede é um absurdo de caro! eles vendem 1 mega (mega porra nenhuma 120/30 kbs tnc) isso a ~50 mangos!





---
Atenciosamente, Pedro.

Já leu meu último artigo?
LINK:
http://www.vivaolinux.com.br/artigos/userview.php?login=px

Dúvidas?! pergunte pra caixinha... ali em cima ---------------------------------------------------------------------------------------------------------------------------------------^

E seja feliz!

coranderson
(usa CentOS)

Enviado em 08/08/2013 - 13:56h

Meu kernel ja esta configurado com configurações parecidas... Vou mudalas desse geito! Obrigado!