Denuncie   Favoritos   Indicar  

01 02

Bloqueando ataque DoS no Iptables.

1. Bloqueando ataque DoS no Iptables.

Anderson Silva e Silva
freeday
(usa Ubuntu)

Enviado em 13/03/2012 - 19:30h

Olá, tenho uma VM com Ubuntu 11.10 e meu S.O do computador é Windows 7 e uso rotiador.

Eu andei pesquisando e vi que o comando:

# iptables -A FORWARD -s IP AQUI -j DROP

servia para bloquear conexões vinda de fora (web), então eu pedi para um amigo que possui um servidor dedicado que fizesse um ataque DoS em minha conexão para eu tentar bloquear com o comando do Iptables.

O "tool" que ele usou foi sem spoofing etc.. E o Iptables não bloqueou o ataque e minha conexão caiu, mesmo depois de eu ter bloqueado o IP do dedicado dele com o Iptables. O ataque foi feito na Porta 0, e a VM estava aberta na hora do ataque.

Aí ficou minha dúvida..

Fiz algo de errado?

O comando não serve para isso?

É porque usei os comandos em uma VM Ubuntu e utilizo Win 7?

O rotiador influênciou em algo que prejudicou que o Iptables bloquea-se?

Há algum comando para listar o IP (ou vários) do ataque em caso de se tomar um ataque desse tipo? E como bloquea-lo com Iptables sabendo o IP do atacante.

Obrigado.




0 0
  • Quote

    •   


    2. Proteção

    André Canhadas
    andrecanhadas
    (usa Debian)

    Enviado em 13/03/2012 - 22:10h

    No linux tem algo para o IPtables mas como entra pelo M$ só Deus Sabe.

    ###### Protege contra synflood
    /sbin/iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
    echo 1 > /proc/sys/net/ipv4/tcp_syncookies

    ###### Protecao contra ICMP Broadcasting
    #echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
    #echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
    ###### Prote.. Contra IP Spoofing
    echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter

    ###### Protecao diversas contra portscanners, ping of death, ataques DoS, pacotes danificados e etc.
    /sbin/iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
    /sbin/iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
    /sbin/iptables -A INPUT -i eth1 -p icmp --icmp-type echo-reply -m limit --limit 1/s -j DROP
    /sbin/iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT
    /sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
    /sbin/iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
    /sbin/iptables -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROP
    /sbin/iptables -A INPUT -m state --state INVALID -j DROP
    /sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
    /sbin/iptables -N VALID_CHECK
    /sbin/iptables -A VALID_CHECK -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
    /sbin/iptables -A VALID_CHECK -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
    /sbin/iptables -A VALID_CHECK -p tcp --tcp-flags ALL ALL -j DROP
    /sbin/iptables -A VALID_CHECK -p tcp --tcp-flags ALL FIN -j DROP
    /sbin/iptables -A VALID_CHECK -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
    /sbin/iptables -A VALID_CHECK -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
    /sbin/iptables -A VALID_CHECK -p tcp --tcp-flags ALL NONE -j DROP

    ## Limitando conex..es na porta 80 #######
    /sbin/iptables -I INPUT -p tcp --dport 80 -i eth1 -m state --state NEW -m recent --set

    /sbin/iptables -I INPUT -p tcp --dport 80 -i eth1 -m state --state NEW -m recent --update --seconds 1 --hitcount 10 -j DROP



    0 0
  • Quote

    • 3. Roteador

    André Canhadas
    andrecanhadas
    (usa Debian)

    Enviado em 13/03/2012 - 22:12h

    Alguns roteadores tem um firewall próprio e pode ser habilitado as proteções no admin

    0 0
  • Quote

    • 4. Re: Bloqueando ataque DoS no Iptables.

    Phillip Vieira
    phrich
    (usa Slackware)

    Enviado em 13/03/2012 - 22:32h

    As questões mais óbvias:

    1 - Seu roteador está na frente do iptables sendo assim ele não aguentou o ataque

    2 - para bloquear este tipo de ataque ou vc utiliza o tcpwrapers ou a regra de DROP no iptables

    3 - quando vc for testar em ambiente virtual (tipo que vc está usando) utilize outra máquina virtual para realizar os testes.

    Acredito que vc precise um pouco mais de leitura sobre o iptables e redes, sendo assim vou lhe ajudar com 2 artigos, mas estude mais a fundo quando vc estiver pronto:


    IPTABLES
    http://www.vivaolinux.com.br/artigo/Iptables-Seguranca-total-para-sua-rede


    SQUID + IPTABLES
    http://www.vivaolinux.com.br/artigo/Squid-+-Iptables-Combinacao-Infalivel/

    0 0
  • Quote

    • 5. Re: Bloqueando ataque DoS no Iptables.

    Anderson Silva e Silva
    freeday
    (usa Ubuntu)

    Enviado em 13/03/2012 - 23:15h

    Olá phrich, foi uma das coisas que suspeitei, que o roteador estava a frente, agora como faço para colocar o Iptables na frente do roteador? Obg.

    0 0
  • Quote

    • 6. Re: Bloqueando ataque DoS no Iptables.

    Phillip Vieira
    phrich
    (usa Slackware)

    Enviado em 13/03/2012 - 23:21h

    Vc nunca vai conseguir isso...

    Mas se vc quiser testar o ataque direto a sua máquina virtual, coloque a interface dela como bridge, configure um ip no mesmo range do seu roteador e habilite o DMZ do seu roteador para a estação virtual.

    Vc vai ver que os pacotes irão chegar e que o iptables irá bloquear, porém o roteador pode não aguentar novamente.


    Ah e para bloquear o ataque, basta ir para a regra de INPUT

    iptables -A INPUT -s ip_do_atacante -j DROP

    0 0
  • Quote

    • 7. Re: Bloqueando ataque DoS no Iptables.

    Anderson Silva e Silva
    freeday
    (usa Ubuntu)

    Enviado em 13/03/2012 - 23:40h

    Opa phrich, quase que ao mesmo tempo da sua resposta eu fiz isso, coloquei em DMZ no roteador e coloquei a placa em modo bridge.

    Eu estava usando a regra em FORWARD, agora vou utilizar INPUT.

    Então, em breve vou testar aqui, mas mesmo assim colocando em DMZ o roteador pode não aguentar como vc disse? E como resolvo isso para não envolver o roteador na mitigação dos ataques?



    0 0
  • Quote

    • 8. Re: Bloqueando ataque DoS no Iptables.

    Anderson Silva e Silva
    freeday
    (usa Ubuntu)

    Enviado em 14/03/2012 - 01:30h

    Testei aqui e não deu certo, minha conexão caiu do mesmo jeito. O Iptables não entrou na frente do roteador mesmo depois desse procedimento. (Ou o roteador que não aguentou como vc disse)

    E agora?!? Como faço para o roteador aguentar ou desvincular ele na hora desse tipo de ataque.

    0 0
  • Quote

    • 9. Re: Bloqueando ataque DoS no Iptables.

    Phillip Vieira
    phrich
    (usa Slackware)

    Enviado em 14/03/2012 - 08:27h

    cara, como vc sabe que não funcionou?

    Qual ferramenta vc utilizou para ver os pacotes entrantes no seu iptables?

    0 0
  • Quote

    • 10. Re: Bloqueando ataque DoS no Iptables.

    Renato Carneiro Pacheco
    renato_pacheco
    (usa Debian)

    Enviado em 14/03/2012 - 10:29h

    Se vc colocar seu modem em modo bridge e colocar sua máquina para autenticar, acredito q seja possível impedir os ataques, mas não poderia ser em VM, né?

    0 0
  • Quote

    • 11. Re: Bloqueando ataque DoS no Iptables.

    Anderson Silva e Silva
    freeday
    (usa Ubuntu)

    Enviado em 14/03/2012 - 10:33h

    @phrich

    Pelo Iptraf.

    Tem algum outro jeito de ver as conexões que o Iptables está tentando bloquear ou as conexões que estão entrando?

    Sou novo no mundo Linux e não tenho vergonha de perguntar.

    0 0
  • Quote

    • 12. tcpdump

    André Canhadas
    andrecanhadas
    (usa Debian)

    Enviado em 14/03/2012 - 10:37h

    freeday escreveu:

    @phrich

    Pelo Iptraf.

    Tem algum outro jeito de ver as conexões que o Iptables está tentando bloquear ou as conexões que estão entrando?

    Sou novo no mundo Linux e não tenho vergonha de perguntar.

    Pode usar o tcpdump

    tcpdump -i eth1 src port 8888

    onde eth1=placa internet e 8888=porta onde quer filtrar

    0 0
  • Quote


    • 01 02



    Patrocínio

    Site hospedado pelo provedor RedeHost.
    Linux banner

    Destaques

    Artigos

    Crie alias para as tarefas que possuam longas linhas de comando - bash e zsh

    Criando um gateway de internet com o Debian

    Configuração básica do Conky para mostrar informações sobre a sua máquina no Desktop

    Aprenda a criar músicas com Inteligência Artificial usando Suno AI

    Entendendo o que é URI, URL, URN e conhecendo as diferenças entre POST e GET

    Dicas

    Instalando Discord no Fedora 40

    Instalando Discord no Ubuntu 24.04 LTS

    Como instalar o XFCE4-terminal na sua distribuição Linux e integrá-lo ao sistema

    Como instalar o Tilix Terminal no Gnome e usá-lo como menu drop-down ao estilo Quake

    Instalando Grub Customizer no Ubuntu 24.04

    Tópicos

    Sistema da Coréia do Norte - Red Star OS (38)

    Problemas de instalação hyprland + Void Linux (1)

    Acento til, agudo e circunflexo nao funcionam com Debian (4)

    problemas com artefatos na instalação (9)

    Servidor Samba 4.15.13 AD-DC (2)

    Top 10 do mês

    Scripts

    [Python] Adicione a opção Redimensionar e rotacionar imagens ao Nautilus

    [Shell Script] Script para desinstalar pacotes desnecessários no OpenSuse

    [Shell Script] Script para criar certificados de forma automatizada no OpenVpn

    [Shell Script] Conversor de vídeo com opção de legenda

    [C/C++] BRT - Bulk Renaming Tool

    A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.

    Site hospedado por: