[FUG-BR] Ataque DOS

Nilton Jose Rizzo rizzo em i805.com.br
Quinta Setembro 28 13:43:52 BRT 2006 

On Wed, 27 Sep 2006 13:27:00 -0300, João David Prevedello wrote
>
   Oi João,

> Sr. Rizzo.
> 
> Seguido tenho problemas dessa forma... o que fiz...
> 
> Coloquei entre o roteador Cisco (4MB embratel Balanceado) um 
> Servidor COM PF que roda squid tb.

    É, a minha configuração é semelhante, apenas pelo roteador que é cyclades
   
    Mas o problema é que se vc fizer apenas filtros do seu lado, os
    pacotes de flood ainda chegaram até na sua porta wan ... fazendo
    o link ficar saturado, o que aconteceu comigo e tive que
    pedir ajuda para a Embratel.

    vc tomou providências jurídicas?  Se tomou resolvel algo?
    
    Só mais um adendo ... os ips eram fraudados (spoof), ou seja
    necessariamente o ataque deveria ser seguido inversamente até
    o atacante, mas ai só judicialmente 
> 
> No servidor tem duas placas:
> 
> 1 Wan Ligada no Cisco
> 1 Lan ligada na minha rede interna.
> 
> No server tenho regras de priorização de trafego na WAN e limitação 
> de Banda na LAN e ainda uma regra com um arquivo onde coloco os ips 
> que devem ser bloqueados. Assim fica mais fácil de administrar pois 
> é só descobrir qual o ip que ta loquiando (TCPDUMP ou Snort) e 
> colocar dentro do arquivo e aplicar... nem dói...
> 
> Ainda... no Cisco
> 
> Fiz access lists bloqueando SSH para minhas maquinas de serviços 
> como Web Mail e routers. Fiz acces lists para liberar PING e trace e 
> fechar o resto do ICMP
> 
> access-list 101 permit icmp any any echo
> access-list 101 permit icmp any any echo-reply
> access-list 101 permit icmp any any traceroute
> access-list 101 permit icmp any any unreachable
> access-list 101 permit icmp any any time-exceeded
> access-list 101 deny   icmp any any
> 
> Parece que normalizou... não tive mais locuras na rede.
> 
> Att
> 
> João David Prevedello
> 
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


--
Nilton José Rizzo
805 Informatica
021 2413 9786

Mais detalhes sobre a lista de discussão freebsd