DDoS Imparavel [RESOLVIDO]

37. Re: DDoS Imparavel [RESOLVIDO]

px
(usa Debian)

Enviado em 08/08/2013 - 13:56h

saitam escreveu:

Todo servidor deve bloquear icmp, ou seja, não aceitar ping, deve ter obrigatoriamente no script firewall as regras abaixo:



#Protecao contra ataques DoS

iptables -A INPUT -m state --state INVALID -j DROP

iptables -A OUTPUT -p tcp ! --tcp-flags SYN,RST,ACK SYN -m state --state NEW -j DROP

#Filtrando pacotes ICMP

echo "Filtrando pacotes contra ICMP Broadcast"

echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

echo "Protegendo contra Ping da Morte..."

iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

iptables -A INPUT -p icmp -j DROP

isso é piada, não é?

falar regras sem ver a configuração do cara pode dar mais prejuízo do que beneficio meu amigo e dropar icmp é obrigatório em servidor? oO

Alguns programas utilizam variações do protocolo icmp na rede! uma regra ridícula que bloquei todo o icmp, vou para por aq tenho que almoçar e tirar essa imagem da cabeça!

---
Atenciosamente, Pedro.

Já leu meu último artigo?
LINK:
http://www.vivaolinux.com.br/artigos/userview.php?login=px

Dúvidas?! pergunte pra caixinha... ali em cima ---------------------------------------------------------------------------------------------------------------------------------------^

E seja feliz!

0 0

Quote

38. Re: DDoS Imparavel [RESOLVIDO]

coranderson
(usa CentOS)

Enviado em 08/08/2013 - 14:30h

O ICMP ja foi bloqueado a tempos! Como eu não preciso dele eu ja bloquiei para evitar qualquer problema...

Eu acho que eu descobri uma vulnerabilidade gigante! Mesmo eu editando o arquivo net.ipv4.tcp_syncookies manualmente, o arquivo volta pro 0 imediatamente!
Eu ja editei na configuração /etc/sysctl.conf
Oque pode ser?

Eu achava que o syncookie estava ativo a tempos... Quando eu conseguir ativar realmente, vou modificar minhas regras para serem menos limitadas a atacante! Oque vocês acham? Modifico ou tiro elas? Eu vou limitar as conexões em 150/s...

Obrigado a todos !

0 0

Quote

39. Re: DDoS Imparavel [RESOLVIDO]

px
(usa Debian)

Enviado em 08/08/2013 - 14:35h

coranderson escreveu:

O ICMP ja foi bloqueado a tempos! Como eu não preciso dele eu ja bloquiei para evitar qualquer problema...

Eu acho que eu descobri uma vulnerabilidade gigante! Mesmo eu editando o arquivo net.ipv4.tcp_syncookies manualmente, o arquivo volta pro 0 imediatamente!
Eu ja editei na configuração /etc/sysctl.conf
Oque pode ser?

LOGUE-SE COMO ROOT AO ABRIR O DOCUMENTO e poste seu script de iptables se não, não posso te ajudar devidamente! deve ter erros ai! poste seu /etc/sysctl.conf também

---
Atenciosamente, Pedro.

Já leu meu último artigo?
LINK:
http://www.vivaolinux.com.br/artigos/userview.php?login=px

Dúvidas?! pergunte pra caixinha... ali em cima ---------------------------------------------------------------------------------------------------------------------------------------^

E seja feliz!

0 0

Quote

40. Re: DDoS Imparavel [RESOLVIDO]

coranderson
(usa CentOS)

Enviado em 08/08/2013 - 14:37h

px escreveu:

LOGUE-SE COMO ROOT AO ABRIR O DOCUMENTO

---
Atenciosamente, Pedro.

Já leu meu último artigo?
LINK:
http://www.vivaolinux.com.br/artigos/userview.php?login=px

Dúvidas?! pergunte pra caixinha... ali em cima ---------------------------------------------------------------------------------------------------------------------------------------^

E seja feliz!

Ja estou logado como ROOT! O arquivo modifica, mas em menos de 2 segundos, ele volta ao valor 0... E quando modifico outros arquivos, a configuração permanece! Acho que se fosse problemas de permissão ele não modificaria! Mas obrigado!

0 0

Quote

41. Re: DDoS Imparavel [RESOLVIDO]

px
(usa Debian)

Enviado em 08/08/2013 - 14:43h

coranderson escreveu:

px escreveu:

Ops... qual a versão do seu Centos? pq eu usei uma que tinha que usar um comando para modificar este arquivo ou daria isto ai mesmo! hehe *.*

---
Atenciosamente, Pedro.

Já leu meu último artigo?
LINK:
http://www.vivaolinux.com.br/artigos/userview.php?login=px

Dúvidas?! pergunte pra caixinha... ali em cima ---------------------------------------------------------------------------------------------------------------------------------------^

E seja feliz!

0 0

Quote

42. Re: DDoS Imparavel [RESOLVIDO]

coranderson
(usa CentOS)

Enviado em 08/08/2013 - 15:03h

O servidor que estou tendo este erro está rodando Debian 7 - 64 Bit...

root@majestybaiak:~# sysctl -p
kernel.domainname = majestybaiak.com
kernel.printk = 0
net.ipv4.conf.default.rp_filter = 1
net.ipv4.conf.all.rp_filter = 1
net.ipv4.tcp_syncookies = 1
net.ipv4.ip_forward = 1
sysctl: permission denied on key 'net.ipv4.ip_default_ttl'
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.icmp_echo_ignore_broadcasts = 1
net.ipv4.icmp_ratelimit = 150
net.ipv4.icmp_ratemask = 6457
net.ipv4.icmp_echo_ignore_all = 1
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.all.accept_source_route = 0
sysctl: permission denied on key 'net.core.wmem_max'
sysctl: permission denied on key 'net.core.rmem_max'
sysctl: permission denied on key 'net.ipv4.tcp_rmem'
sysctl: permission denied on key 'net.ipv4.tcp_wmem'
sysctl: permission denied on key 'net.ipv4.tcp_window_scaling'
sysctl: permission denied on key 'net.ipv4.tcp_timestamps'
sysctl: permission denied on key 'net.ipv4.tcp_sack'
sysctl: permission denied on key 'net.ipv4.tcp_no_metrics_save'
sysctl: permission denied on key 'net.core.netdev_max_backlog'

0 0

Quote

43. Re: DDoS Imparavel [RESOLVIDO]

px
(usa Debian)

Enviado em 08/08/2013 - 15:25h

coranderson escreveu:

O servidor que estou tendo este erro está rodando Debian 7 - 64 Bit...

root@majestybaiak:~# sysctl -p
kernel.domainname = majestybaiak.com
kernel.printk = 0
net.ipv4.conf.default.rp_filter = 1
net.ipv4.conf.all.rp_filter = 1
net.ipv4.tcp_syncookies = 1
net.ipv4.ip_forward = 1
sysctl: permission denied on key 'net.ipv4.ip_default_ttl'
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.icmp_echo_ignore_broadcasts = 1
net.ipv4.icmp_ratelimit = 150
net.ipv4.icmp_ratemask = 6457
net.ipv4.icmp_echo_ignore_all = 1
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.all.accept_source_route = 0
sysctl: permission denied on key 'net.core.wmem_max'
sysctl: permission denied on key 'net.core.rmem_max'
sysctl: permission denied on key 'net.ipv4.tcp_rmem'
sysctl: permission denied on key 'net.ipv4.tcp_wmem'
sysctl: permission denied on key 'net.ipv4.tcp_window_scaling'
sysctl: permission denied on key 'net.ipv4.tcp_timestamps'
sysctl: permission denied on key 'net.ipv4.tcp_sack'
sysctl: permission denied on key 'net.ipv4.tcp_no_metrics_save'
sysctl: permission denied on key 'net.core.netdev_max_backlog'

Muito estranho isto! bom não uso Debian então não sabia desde erro ai não... nunca tive este problema, apesar de não usar estas opções por estar em desktop, olha minha config:

[root@Casa ~]# sysctl -p
net.ipv4.tcp_max_syn_backlog = 1024
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_syn_retries = 3
net.ipv4.tcp_synack_retries = 3
net.ipv4.conf.all.log_martians = 0
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.icmp_echo_ignore_broadcasts = 1
net.ipv4.icmp_echo_ignore_all = 1
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.ip_forward = 0
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1
net.ipv4.ip_local_port_range = 32768 61000
vm.vfs_cache_pressure = 50
vm.swappiness = 10

E seu script de iptables, poste ele aqui... deve ter alguma regra errada/desconfigurada nele! aguardo feedback

---
Atenciosamente, Pedro.

Já leu meu último artigo?
LINK:
http://www.vivaolinux.com.br/artigos/userview.php?login=px

0 0

Quote

44. Re: DDoS Imparavel [RESOLVIDO]

coranderson
(usa CentOS)

Enviado em 08/08/2013 - 15:36h

Ta ae:

# Generated by iptables-save v1.4.14 on Thu Aug 8 14:35:45 2013
*nat
:PREROUTING ACCEPT [5119112:193540167]
:POSTROUTING ACCEPT [5029:334654]
:OUTPUT ACCEPT [19495:1203076]
-A PREROUTING -d 23.29.127.167/32 -p tcp -m tcp --dport 7171 -j DNAT --to-destination 23.29.127.173
COMMIT
# Completed on Thu Aug 8 14:35:45 2013
# Generated by iptables-save v1.4.14 on Thu Aug 8 14:35:45 2013
*mangle
:PREROUTING ACCEPT [23901056:1908139186]
:INPUT ACCEPT [23901023:1908136862]
:FORWARD ACCEPT [24:1754]
:OUTPUT ACCEPT [11810562:2492160314]
:POSTROUTING ACCEPT [11793341:2490807730]
COMMIT
# Completed on Thu Aug 8 14:35:45 2013
# Generated by iptables-save v1.4.14 on Thu Aug 8 14:35:45 2013
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
:ALLOWIN - [0:0]
:ALLOWOUT - [0:0]
:CONNLIMIT - [0:0]
:DENYIN - [0:0]
:DENYOUT - [0:0]
:INVALID - [0:0]
:INVDROP - [0:0]
:LOCALINPUT - [0:0]
:LOCALOUTPUT - [0:0]
:LOGDROPIN - [0:0]
:LOGDROPOUT - [0:0]
:PORTFLOOD - [0:0]
:PSAD_BLOCK_FORWARD - [0:0]
:PSAD_BLOCK_INPUT - [0:0]
:PSAD_BLOCK_OUTPUT - [0:0]
:SYNFLOOD - [0:0]
:UDPFLOOD - [0:0]
-A INPUT -j PSAD_BLOCK_INPUT
-A INPUT -s 8.8.4.4/32 ! -i lo -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -s 8.8.4.4/32 ! -i lo -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -s 8.8.4.4/32 ! -i lo -p tcp -m tcp --sport 53 -j ACCEPT
-A INPUT -s 8.8.4.4/32 ! -i lo -p udp -m udp --sport 53 -j ACCEPT
-A INPUT -s 8.8.8.8/32 ! -i lo -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -s 8.8.8.8/32 ! -i lo -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -s 8.8.8.8/32 ! -i lo -p tcp -m tcp --sport 53 -j ACCEPT
-A INPUT -s 8.8.8.8/32 ! -i lo -p udp -m udp --sport 53 -j ACCEPT
-A INPUT ! -i lo -j LOCALINPUT
-A INPUT -i lo -j ACCEPT
-A INPUT ! -i lo -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j SYNFLOOD
-A INPUT ! -i lo -p tcp -j INVALID
-A INPUT ! -i lo -p tcp -m tcp --dport 80 -m state --state NEW -m recent --set --name 80 --rsource
-A INPUT ! -i lo -p tcp -m tcp --dport 80 -m state --state NEW -m recent --update --seconds 35 --hitcount 20 --name 80 --rsource -j PORTFLOOD
-A INPUT ! -i lo -p tcp -m tcp --dport 7078 -m state --state NEW -m recent --set --name 7078 --rsource
-A INPUT ! -i lo -p tcp -m tcp --dport 7078 -m state --state NEW -m recent --update --seconds 35 --hitcount 20 --name 7078 --rsource -j PORTFLOOD
-A INPUT ! -i lo -p tcp -m tcp --dport 7171 -m state --state NEW -m recent --set --name 7171 --rsource
-A INPUT ! -i lo -p tcp -m tcp --dport 7171 -m state --state NEW -m recent --update --seconds 35 --hitcount 20 --name 7171 --rsource -j PORTFLOOD
-A INPUT ! -i lo -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT ! -i lo -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A INPUT ! -i lo -p tcp -m state --state NEW -m tcp --dport 7078 -j ACCEPT
-A INPUT ! -i lo -p tcp -m state --state NEW -m tcp --dport 7171 -j ACCEPT
-A INPUT ! -i lo -p icmp -m icmp --icmp-type 0 -m limit --limit 1/sec -j ACCEPT
-A INPUT ! -i lo -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A INPUT ! -i lo -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A INPUT ! -i lo -j LOGDROPIN
-A FORWARD -j PSAD_BLOCK_FORWARD
-A FORWARD -p tcp -m tcp --dport 7171 -j ACCEPT
-A OUTPUT -j PSAD_BLOCK_OUTPUT
-A OUTPUT -d 8.8.4.4/32 ! -o lo -p tcp -m tcp --dport 53 -j ACCEPT
-A OUTPUT -d 8.8.4.4/32 ! -o lo -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -d 8.8.4.4/32 ! -o lo -p tcp -m tcp --sport 53 -j ACCEPT
-A OUTPUT -d 8.8.4.4/32 ! -o lo -p udp -m udp --sport 53 -j ACCEPT
-A OUTPUT -d 8.8.8.8/32 ! -o lo -p tcp -m tcp --dport 53 -j ACCEPT
-A OUTPUT -d 8.8.8.8/32 ! -o lo -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -d 8.8.8.8/32 ! -o lo -p tcp -m tcp --sport 53 -j ACCEPT
-A OUTPUT -d 8.8.8.8/32 ! -o lo -p udp -m udp --sport 53 -j ACCEPT
-A OUTPUT ! -o lo -j LOCALOUTPUT
-A OUTPUT ! -o lo -p tcp -m tcp --dport 53 -j ACCEPT
-A OUTPUT ! -o lo -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT ! -o lo -p tcp -m tcp --sport 53 -j ACCEPT
-A OUTPUT ! -o lo -p udp -m udp --sport 53 -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT ! -o lo -p tcp -j INVALID
-A OUTPUT ! -o lo -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT ! -o lo -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A OUTPUT ! -o lo -p tcp -m state --state NEW -m tcp --dport 7078 -j ACCEPT
-A OUTPUT ! -o lo -p tcp -m state --state NEW -m tcp --dport 7171 -j ACCEPT
-A OUTPUT ! -o lo -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j ACCEPT
-A OUTPUT ! -o lo -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A OUTPUT ! -o lo -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A OUTPUT ! -o lo -j LOGDROPOUT
-A ALLOWIN -s 23.29.127.167/32 ! -i lo -j ACCEPT
-A ALLOWIN -s 187.60.145.121/32 ! -i lo -j ACCEPT
-A ALLOWOUT -d 23.29.127.167/32 ! -o lo -j ACCEPT
-A ALLOWOUT -d 187.60.145.121/32 ! -o lo -j ACCEPT
-A CONNLIMIT -p tcp -j REJECT --reject-with tcp-reset
-A DENYIN -s 0.0.0.0/32 ! -i lo -j DROP
-A DENYOUT -d 0.0.0.0/32 ! -o lo -j DROP
-A INVALID -m state --state INVALID -j INVDROP
-A INVALID -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j INVDROP
-A INVALID -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j INVDROP
-A INVALID -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j INVDROP
-A INVALID -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j INVDROP
-A INVALID -p tcp -m tcp --tcp-flags FIN,RST FIN,RST -j INVDROP
-A INVALID -p tcp -m tcp --tcp-flags FIN,ACK FIN -j INVDROP
-A INVALID -p tcp -m tcp --tcp-flags PSH,ACK PSH -j INVDROP
-A INVALID -p tcp -m tcp --tcp-flags ACK,URG URG -j INVDROP
-A INVALID -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j INVDROP
-A INVDROP -j DROP
-A LOCALINPUT ! -i lo -j ALLOWIN
-A LOCALINPUT ! -i lo -j DENYIN
-A LOCALOUTPUT ! -o lo -j ALLOWOUT
-A LOCALOUTPUT ! -o lo -j DENYOUT
-A LOCALOUTPUT ! -o lo -p udp -j UDPFLOOD
-A LOGDROPIN -p tcp -m tcp --dport 67 -j DROP
-A LOGDROPIN -p udp -m udp --dport 67 -j DROP
-A LOGDROPIN -p tcp -m tcp --dport 68 -j DROP
-A LOGDROPIN -p udp -m udp --dport 68 -j DROP
-A LOGDROPIN -p tcp -m tcp --dport 111 -j DROP
-A LOGDROPIN -p udp -m udp --dport 111 -j DROP
-A LOGDROPIN -p tcp -m tcp --dport 113 -j DROP
-A LOGDROPIN -p udp -m udp --dport 113 -j DROP
-A LOGDROPIN -p tcp -m tcp --dport 135:139 -j DROP
-A LOGDROPIN -p udp -m udp --dport 135:139 -j DROP
-A LOGDROPIN -p tcp -m tcp --dport 445 -j DROP
-A LOGDROPIN -p udp -m udp --dport 445 -j DROP
-A LOGDROPIN -p tcp -m tcp --dport 500 -j DROP
-A LOGDROPIN -p udp -m udp --dport 500 -j DROP
-A LOGDROPIN -p tcp -m tcp --dport 513 -j DROP
-A LOGDROPIN -p udp -m udp --dport 513 -j DROP
-A LOGDROPIN -p tcp -m tcp --dport 520 -j DROP
-A LOGDROPIN -p udp -m udp --dport 520 -j DROP
-A LOGDROPIN -p tcp -m limit --limit 30/min -j LOG --log-prefix "Firewall: *TCP_IN Blocked* "
-A LOGDROPIN -p udp -m limit --limit 30/min -j LOG --log-prefix "Firewall: *UDP_IN Blocked* "
-A LOGDROPIN -p icmp -m limit --limit 30/min -j LOG --log-prefix "Firewall: *ICMP_IN Blocked* "
-A LOGDROPIN -j DROP
-A LOGDROPOUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 30/min -j LOG --log-prefix "Firewall: *TCP_OUT Blocked* " --log-uid
-A LOGDROPOUT -p udp -m limit --limit 30/min -j LOG --log-prefix "Firewall: *UDP_OUT Blocked* " --log-uid
-A LOGDROPOUT -p icmp -m limit --limit 30/min -j LOG --log-prefix "Firewall: *ICMP_OUT Blocked* " --log-uid
-A LOGDROPOUT -j DROP
-A PORTFLOOD -m limit --limit 30/min -j LOG --log-prefix "Firewall: *Port Flood* "
-A PORTFLOOD -j DROP
-A SYNFLOOD -m limit --limit 30/sec --limit-burst 50 -j RETURN
-A SYNFLOOD -m limit --limit 30/min -j LOG --log-prefix "Firewall: *SYNFLOOD Blocked* "
-A SYNFLOOD -j DROP
-A UDPFLOOD -p udp -m owner --uid-owner 0 -j RETURN
-A UDPFLOOD ! -o lo -p udp -m limit --limit 50/sec --limit-burst 100 -j RETURN
-A UDPFLOOD -m limit --limit 30/min -j LOG --log-prefix "Firewall: *UDPFLOOD* " --log-uid
-A UDPFLOOD ! -o lo -p udp -j DROP
COMMIT
# Completed on Thu Aug 8 14:35:45 2013

0 0

Quote

45. Re: DDoS Imparavel [RESOLVIDO]

saitam
(usa Slackware)

Enviado em 08/08/2013 - 15:40h

Isso tem jeito de ser um front-end do iptables.

Crie um SCRIPT SHELL FIREWALL COM REGRAS IPTABLES SEM FRONT-END E SIM PURO IPTABLES E posta aqui para analisarmos!

0 0

Quote

46. Re: DDoS Imparavel [RESOLVIDO]

coranderson
(usa CentOS)

Enviado em 08/08/2013 - 15:43h

saitam escreveu:

Isso tem jeito de ser um front-end do iptables.

Crie um SCRIPT SHELL FIREWALL COM REGRAS IPTABLES SEM FRONT-END E SIM PURO IPTABLES E posta aqui para analisarmos!

Como fasso isso? :S

0 0

Quote

47. Re: DDoS Imparavel [RESOLVIDO]

px
(usa Debian)

Enviado em 08/08/2013 - 15:48h

saitam escreveu:

Isso tem jeito de ser um front-end do iptables.

Crie um SCRIPT SHELL FIREWALL COM REGRAS IPTABLES SEM FRONT-END E SIM PURO IPTABLES E posta aqui para analisarmos!

Deu "estouro de pilha" na minha mente... kk'

Cara você deve criar um script que lhe atenda com suas próprias mãos para não ter erro, entende?

Tem bastante coisa boa ai! mas ta totalmente sem nexo! o pacote deve ficar igual ping-pong ai dentro hehe facilitando a vida dos "atacantes" infelizmente

---
Atenciosamente, Pedro.

Já leu meu último artigo?
LINK:
http://www.vivaolinux.com.br/artigos/userview.php?login=px

Dúvidas?! pergunte pra caixinha... ali em cima ---------------------------------------------------------------------------------------------------------------------------------------^

E seja feliz!

0 0

Quote

48. Re: DDoS Imparavel [RESOLVIDO]

saitam
(usa Slackware)

Enviado em 08/08/2013 - 15:50h

coranderson escreveu:

saitam escreveu:

Isso tem jeito de ser um front-end do iptables.

Crie um SCRIPT SHELL FIREWALL COM REGRAS IPTABLES SEM FRONT-END E SIM PURO IPTABLES E posta aqui para analisarmos!

Como fasso isso? :S