[FUG-BR] (Fora do tópico) Ataque de DDoS tem como evitar ?

Thiago J. Ruiz thiagojruiz em gmail.com
Quarta Setembro 5 17:19:28 BRT 2007 

PF Nele!!!!

Retirado do FAQ do PF

"...

Opções de Rastreamento de Estado
Quanto uma regra de filtragem cria uma entrada na tabela de estados
através do uso de qualquer uma das palavras-chave keep state, modulate
state ou synproxy state, algumas opções podem ser especificadas que
controlam o comportamento da criação de estados. As seguintes opções
estão disponíveis:

max número
    Limita o número máximo de estados que a regra pode criar para
número. Se o máximo for alcançado, pacotes que normalmente criariam
estados são descartados até que o número de estados existentes
diminua.
source-track
    Esta opção habilita o rastreamento do número de estados criados
por endereço IP de origem. Esta opção tem dois formatos:

        * source-track rule - O número máximo de estados criados por
esta regra é limitado pelas opções max-src-nodes e max-src-states da
regra. Somente estados criados por esta regra em particular conta para
o limite da regra.
        * source-track global - O número de estados criados por todas
as regras que usam esta opção é limitado. Cada regra pode especificar
diferentes opções para max-src-nodes e max-src-states, contudo estados
criados por qualquer regra participante conta cada limite de regra
individualmente.

    O número total de endereços IP de origem rastreados globalmente
podem ser controlados pela opção src-nodes em tempo de execução.
max-src-nodes número
    Quando opção source-track é usada, max-src-nodes limitará o número
de endereços IP de origem que podem criar estados simultâneamente.
Esta opção só pode ser usada com source-track rule.
max-src-states número
    Quanto a opção source-track é usada, max-src-states limitará o
número de estados simultâneos que podem ser criados por endereços IP
de origem. O escopo deste limite (ex., somente estados criados por
esta regra ou estados criados por todas a regras que usam
source-track) é dependente da opção source-track especificada.

Uma regra de exemplo:

    pass in on $ext_if proto tcp to $web_server \
        port www flags S/SA keep state \
        (max 200, source-track rule, max-src-nodes 100, max-src-states 3)

A regra acima define o seguinte comportamento:

    * Limita o número máximo de estados que esta regra pode criar para 200
    * Habilida rastreamento por origem; limita a criação de estados
baseada em estados criados apenas por esta regra
    * Limita o número máximo de nós que podem criar estados
simultâneamente para 100
    * Limita o número máximo de estados simultâneos por IP de origem para 3

Um conjunto separado de restrições pode ser colodado em conexões TCP
stateful que completaram o 3-way handshake.

max-src-conn número
    Limita o número máximo de conexões TCP simultâneas que completaram
o 3-way handshake que um único host pode fazer.
max-src-conn-rate número / intervalo
    Limita a taxa de novas conexões a uma certa quantidade por
intervalo de tempo.

Ambas as opções invocam automaticamente a opção source-track rule e
são incompatíveis com source-track global.

Uma vez que estes limites são colocados em conexões TCP que
completaram o 3-way handshake, ações mais agressivas podem ser tomadas
em endereços IP ofensivos.

overload <tabela>
    Coloca um endereço IP de um host ofensivo em uma tabela.
flush [global]
    Mata qualquer outro estado que combine com esta regra e que foi
criado por este IP de origem. Quando global é especificado, mata todos
os estados combinando este IP de origem,

Um exemplo:

    table <abusive_hosts> persist
    block in quick from <abusive_hosts>

    pass in on $ext_if proto tcp to $web_server \
        port www flags S/SA keep state \
        (max-src-conn 100, max-src-conn-rate 15/5, overload
<abusive_hosts> flush)

Isto faz o seguinte:

    * Limita o número máximo de conexões por origem para 100
    * Limita a taxa de número de conexões para 15 em medição de 5 segundos
    * Coloca o endereço IP de qualquer host que quebre estes limites
na tabela <abusive_hosts>
    * Para qualquer endereço IP ofensivo, limpa qualquer estado criado
por esta regra.

..."

Em 05/09/07, Gilberto Villani Brito<linux em giboia.org> escreveu:
> On 05/09/07, Marcio Antunes <mantunes.listas em gmail.com> wrote:
> > O pior ele ficar pagando 50 dolares.. pq intimidação é complicado.. o cara vai
> > querer fazer isso novamente..
> >
> > >>1- conversar com a telecom para eles identificarem a origem e bloquearem;
> >
> > ele ja fez isso.. e esta em constante contanto.. porem ate agora nada fizeram..
> >
> > >>2 - trocar o bloco de ip do provedor (incluindo o ip do roteador de borda);
> >
> > Ja trocou.. o bloco de ip, trocou o roteador e nada
> >
> > 3 - pagar os 50 dólares.
> >
> > O pior ele ficar pagando 50 dolares.. pq intimidação é complicado.. o cara vai
> > querer fazer isso novamente..
> >
> >
> > Em 05/09/07, Welkson Renny de Medeiros<welkson em focusautomacao.com.br> escreveu:
> > > daria uma boa thread lá no GTS-L ou GTER... obrigar o cara a pagar para
> > > parar com o ataque ... rsrsrs :-)
> > >
> > > Sem mais,
> > >
> > >
> > > --
> > > Welkson Renny de Medeiros
> > > Focus Automação Comercial
> > > Desenvolvimento / Gerência de Redes
> > > welkson em focusautomacao.com.br
> > >
> > >
> > >
> > >                       Powered by ....
> > >
> > >                                            (__)
> > >                                         \\\'',)
> > >                                           \/  \ ^
> > >                                           .\._/_)
> > >
> > >                                       www.FreeBSD.org
> > >
> > >
> > > ----- Original Message -----
> > > From: "Gilberto Villani Brito" <linux em giboia.org>
> > > To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
> > > <freebsd em fug.com.br>
> > > Sent: Wednesday, September 05, 2007 4:54 PM
> > > Subject: Re: [FUG-BR] Ataque de DDoS tem como evitar ?
> > >
> > >
> > > On 05/09/07, Marcio Antunes <mantunes.listas em gmail.com> wrote:
> > > > Lista,
> > > >
> > > > Um amigo tem um pequeno provedor, ele esta sendo atacado há varios
> > > > dias, ja tentou de todas as formas, até mesmo com a operadora e não
> > > > conseguiu bloquear esse ataque, o atacante esta conseguindo deixar a
> > > > navegação dele lenta.
> > > >
> > > > Sei que para esse tipo de ataque é quase impossivel evitar, ouvi dizer
> > > > que o OpenBSD existe  possibilide de barrar um ataque desse é verdade
> > > > ?  no FreeBSD é possivel ?  será que usando regras PF ou IPFW é
> > > > possivel
> > > >
> > > > Olha o e-mail que ele recebeu..do sacana..
> > > >
> > > > =============
> > > > >"Ola."
> > > > >"Sou dos USA e estou enviando ataques DDoS no seu servidor e
> > > > brevemente estarei" >"finalizando sua conta com ataques de 50gigabit
> > > > direto no gateWAY,se fosse eu eu ja >teria parado com o seu
> > > > provedorzinho de bosta."
> > > > >"O DDOS VAI COME QUENTE FILHO DA PUTA! "
> > > > >"O BONDE É XAPA KENTE MANÉ NINGUEM ME SEGURA FODA-SE A SEUS INDIOS
> > > > >"FILHOS DA PUTA LAZARENTOS!
> > > > >"PRA PARAR O ATAQUE EU QUERO 50 DOLLARES VIA:"
> > > > >"WWW.PAYPAL.COM"
> > > >
> > > > >":)"
> > > > >"GOOD NIGHT!"
> > > >
> > > > Alguem teve algum caso parecido.. ?
> > > > -------------------------
> > > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > > >
> > >
> > > Inicialmente eu acho que existe 3 soluções:
> > > 1 - conversar com a telecom para eles identificarem a origem e bloquearem;
> > > 2 - trocar o bloco de ip do provedor (incluindo o ip do roteador de borda);
> > > 3 - pagar os 50 dólares.
> > >
> > > Abraços
> > > --
> > > Gilberto Villani Brito
> > > System Administrator
> > > Londrina - PR
> > > Brazil
> > > gilbertovb(a)gmail.com
> > > -------------------------
> > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > >
> > > -------------------------
> > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > >
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
>
> Você já identificou da onde vem esse ataque???
> Pode ser difícil para a telecom, mas não é impossível. Na minha
> opinião isso é corpo mole por parte deles.
> Evitar o ataque usando o seu firewall não tem como, pois se os pacotes
> chegam na sua máquina, mesmo sendo ignorados eles consomem a banda do
> seu link.
> Se realmente a troca de IPs já foi feita e não funcionou, "brigue" com
> a telecom pela solução.
>
> OBS: A opção 3 que eu sugeri foi irônica, eu esqueci de colocar
> hahahahah... na frente.
>
> Abraços
> --
> Gilberto Villani Brito
> System Administrator
> Londrina - PR
> Brazil
> gilbertovb(a)gmail.com
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>


-- 
Thiago J. Ruiz
http://thiagoruiz.blogspot.com

Mais detalhes sobre a lista de discussão freebsd