[FUG-BR] RES: Ataque de DDoS tem como evitar ?

Rodrigo Calado - Analista Sênior rodrigocalado em rodrigocalado.com.br
Quarta Setembro 5 21:20:22 BRT 2007


No outro e-mail ficou um pouco bagunçado, mas agora acho que vai certo:

#!/bin/sh

# server
_ipfw="ipfw"
cmd="ipfw -q add"
ipfw -q -f flush
ks="keep-state"

#loopback
$cmd 10 allow all from any to any via lo0
$cmd 20 deny all from any to 127.0.0.0/8
$cmd 30 deny all from 127.0.0.0/8 to any
$cmd 40 deny tcp from any to any frag

# stateful
$cmd 50 check-state
$cmd 60 allow tcp from any to any established
$cmd 70 allow all from any to any out keep-state

# services
$cmd 110 allow tcp from any to any 21 in
$cmd 120 allow tcp from any to any 21 out
$cmd 130 allow tcp from any to any 22 in
$cmd 140 allow tcp from any to any 22 out
$cmd 150 allow tcp from any to any 25 in
$cmd 160 allow tcp from any to any 25 out
$cmd 170 allow udp from any to any 53 in $ks
$cmd 175 allow tcp from any to any 53 in setup $ks
$cmd 180 allow udp from any to any 53 out $ks
$cmd 185 allow tcp from any to any 53 out setup $ks
$cmd 200 allow tcp from any to any 80 in setup
$cmd 210 allow tcp from any to any 80 out
$cmd 220 allow tcp from any to any 110 in
$cmd 230 allow tcp from any to any 110 out
$cmd 240 allow udp from any to any 123 in
$cmd 250 allow udp from any to any 123 out

# deny log
$cmd 999 deny log all from any to any

----
Atenciosamente,
Rodrigo Calado.
Analista de Suporte Sênior - Unix Like
Cel.: (61) 9982-7222


-----Mensagem original-----
De: Rodrigo Calado - Analista Sênior
[mailto:rodrigocalado em rodrigocalado.com.br] 
Enviada em: quarta-feira, 5 de setembro de 2007 21:19
Para: 'Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)'
Assunto: RES: [FUG-BR] Ataque de DDoS tem como evitar ?

Bom, no servidor web do meu provedor eu tenho algumas regras simples pra
fechá-lo, veja:

#!/bin/sh

# server
_ipfw="ipfw"
cmd="ipfw -q add"
ipfw -q -f flush
ks="keep-state"

#loopback
$cmd 10 allow all from any to any via lo0
$cmd 20 deny all from any to 127.0.0.0/8
$cmd 30 deny all from 127.0.0.0/8 to any
$cmd 40 deny tcp from any to any frag

# stateful
$cmd 50 check-state
$cmd 60 allow tcp from any to any established
$cmd 70 allow all from any to any out keep-state

# services
$cmd 110 allow tcp from any to any 21 in
$cmd 120 allow tcp from any to any 21 out
$cmd 130 allow tcp from any to any 22 in
$cmd 140 allow tcp from any to any 22 out
$cmd 150 allow tcp from any to any 25 in
$cmd 160 allow tcp from any to any 25 out
$cmd 170 allow udp from any to any 53 in $ks
$cmd 175 allow tcp from any to any 53 in setup $ks
$cmd 180 allow udp from any to any 53 out $ks
$cmd 185 allow tcp from any to any 53 out setup $ks
$cmd 200 allow tcp from any to any 80 in setup
$cmd 210 allow tcp from any to any 80 out
$cmd 220 allow tcp from any to any 110 in
$cmd 230 allow tcp from any to any 110 out
$cmd 240 allow udp from any to any 123 in
$cmd 250 allow udp from any to any 123 out

# deny log
$cmd 999 deny log all from any to any

Talvez isso possa lhe ajudar, o log ficará guardado dentro de /var/log no
arquivo security.

Boa sorte e estas regras lhe custarão U$ 50,00 que você poderá me pagar após
a resolução do teu problema. Haha =D

----
Atenciosamente,
Rodrigo Calado.
Analista de Suporte Sênior - Unix Like
Cel.: (61) 9982-7222

-----Mensagem original-----
De: freebsd-bounces em fug.com.br [mailto:freebsd-bounces em fug.com.br] Em nome
de Bruno Torres Viana
Enviada em: quarta-feira, 5 de setembro de 2007 21:06
Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
Assunto: Re: [FUG-BR] Ataque de DDoS tem como evitar ?

Nunca vi tanta gente dizer tanta coisa e não dizer nada!

Sabemos que os melhores firewall são da cisco, mas se nosso amigo estivesse
procurando cisco não estaria em nossa lista! :P

Amigo , você sabe pelo menos o IP dele? Olha só para identificar as
tentativas você pode usar um IDS (Snort). Agora se você já sabe o ip pode
bloquear o IP dele direto pelo firewall do FreeBSD, eu geralmente uso o PF
que já é nativo leve e simples.

Você deverá colocar o firewall logo depois da entrada do reteador e em
fim... qualquer coisa poste em pvt a conifguração da rede que eu te dou uma
força, mas existe um luz no fim do tunel  :)

btviana em gmail.com

Em 05/09/07, Marcio Antunes <mantunes.listas em gmail.com> escreveu:
>
> Lista,
>
> Um amigo tem um pequeno provedor, ele esta sendo atacado há varios
> dias, ja tentou de todas as formas, até mesmo com a operadora e não
> conseguiu bloquear esse ataque, o atacante esta conseguindo deixar a
> navegação dele lenta.
>
> Sei que para esse tipo de ataque é quase impossivel evitar, ouvi dizer
> que o OpenBSD existe  possibilide de barrar um ataque desse é verdade
> ?  no FreeBSD é possivel ?  será que usando regras PF ou IPFW é
> possivel
>
> Olha o e-mail que ele recebeu..do sacana..
>
> =============
> >"Ola."
> >"Sou dos USA e estou enviando ataques DDoS no seu servidor e
> brevemente estarei" >"finalizando sua conta com ataques de 50gigabit
> direto no gateWAY,se fosse eu eu ja >teria parado com o seu
> provedorzinho de bosta."
> >"O DDOS VAI COME QUENTE FILHO DA PUTA! "
> >"O BONDE É XAPA KENTE MANÉ NINGUEM ME SEGURA FODA-SE A SEUS INDIOS
> >"FILHOS DA PUTA LAZARENTOS!
> >"PRA PARAR O ATAQUE EU QUERO 50 DOLLARES VIA:"
> >"WWW.PAYPAL.COM"
>
> >":)"
> >"GOOD NIGHT!"
>
> Alguem teve algum caso parecido.. ?
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>



-- 
-------------------------------
Profº Bruno Torres Viana
Cel: (73) 8123-7620
http://www.fatmsg.edu.br

Todos nós somos ignorantes, porém em assuntos diferentes. Não seja ignorante
por opção!
-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

No virus found in this incoming message.
Checked by AVG Free Edition. 
Version: 7.5.485 / Virus Database: 269.13.5/990 - Release Date: 4/9/2007
22:36
 

No virus found in this outgoing message.
Checked by AVG Free Edition. 
Version: 7.5.485 / Virus Database: 269.13.5/990 - Release Date: 4/9/2007
22:36
 

No virus found in this outgoing message.
Checked by AVG Free Edition. 
Version: 7.5.485 / Virus Database: 269.13.5/990 - Release Date: 4/9/2007
22:36
 



Mais detalhes sobre a lista de discussão freebsd