[FUG-BR] Ataque de DDoS tem como evitar ?
Thiago J. Ruiz
thiagojruiz em gmail.com
Quinta Setembro 6 12:18:00 BRT 2007
Welkson,
o PF tem uma propriedade de source track, funciona assim:
se um certo limite de conexoes por ip chegar ao maximo ele joga pra
uma tabela e essa por sua vez já é bloqueada, tá certo que a banda
pode ficar comprometida ainda mas o firewall vai descartar esses
pacotes. Eu sofri um DoS há um tempo trabalhando em outra empresa e
resolvi boa parte com isso, até mesmo tentativas de brute force no ssh
com essa regra de source track eu consegui resolver.
o link:
http://www.openbsd.org/faq/pf/pt/filter.html#stateopts
pode ser que ajude.
abraços
Em 06/09/07, Welkson Renny de Medeiros<welkson em focusautomacao.com.br> escreveu:
> Bom dia Bruno!
>
> PVT respondido...
>
> Aos outros amigos só queria dizer que essa mesma discursão já rolou várias vezes no GTER e essa sempre é a resposta... se a operadora não ajudar "a casa cai" :-)
>
> Ontem no GTS-L falaram sobre um tipo de ataque DDoS... os caras infectam milhares de pcs com vírus (malware/worm/sei lá)... e esses pcs ficam de vez em quando conectando a um servidor central esperando algum comando... o suposto hacker via um painel de controle diz qual site deseja atacar, e esses milhares de pcs lançam ataque http flood, ping, etc... já imaginou milhares de ips tentando serem bloqueados via firewall? impossível...
>
> Qualquer comentário será bem vindo... flame acho que por essa semana já tá bom.. :-)
>
> Abraço,
>
> --
> Welkson Renny de Medeiros
> Focus Automação Comercial
> Desenvolvimento / Gerência de Redes
> welkson em focusautomacao.com.br
>
>
>
>
> Thu, 6 Sep 2007 09:57:33 -0300, "Bruno Torres Viana" <btviana em gmail.com> escreveu:
>
> > Welkson,
> >
> > Mandei em pvt pra você, me responda!
> >
> > Marcio,
> >
> > Nosso amigo Welkson tem toda razão!
> >
> > []´s
> >
> > Em 06/09/07, Welkson Renny de Medeiros <welkson em focusautomacao.com.br>
> > escreveu:
> > >
> > > Bruno,
> > >
> > >
> > > Não querendo começar outro flame war... mas acho que você não leu com
> > > atenção a mensagem... se trata de um ataque de DDoS, ou seja, um DoS
> > > distribuído... vários ips... e não adianta bloquear no firewall, porque os
> > > ips são aleatórios e mesmo o firewall bloqueando os pacotes passarão pelo
> > > meio físico ocupando banda... como falaram, a única solução é pedir ajuda a
> > > operadora (se é que ela mesma não vai ser vítima)...
> > >
> > > Essa semana essa lista tá PESADA!!!
> > >
> > > Abraço,
> > >
> > > --
> > > Welkson Renny de Medeiros
> > > Focus Automação Comercial
> > > Desenvolvimento / Gerência de Redes
> > > welkson em focusautomacao.com.br
> > >
> > >
> > >
> > >
> > > Wed, 5 Sep 2007 21:06:18 -0300, "Bruno Torres Viana" <btviana em gmail.com>
> > > escreveu:
> > >
> > > > Nunca vi tanta gente dizer tanta coisa e não dizer nada!
> > > >
> > > > Sabemos que os melhores firewall são da cisco, mas se nosso amigo
> > > estivesse
> > > > procurando cisco não estaria em nossa lista! :P
> > > >
> > > > Amigo , você sabe pelo menos o IP dele? Olha só para identificar as
> > > > tentativas você pode usar um IDS (Snort). Agora se você já sabe o ip
> > > pode
> > > > bloquear o IP dele direto pelo firewall do FreeBSD, eu geralmente uso o
> > > PF
> > > > que já é nativo leve e simples.
> > > >
> > > > Você deverá colocar o firewall logo depois da entrada do reteador e em
> > > > fim... qualquer coisa poste em pvt a conifguração da rede que eu te dou
> > > uma
> > > > força, mas existe um luz no fim do tunel :)
> > > >
> > > > btviana em gmail.com
> > > >
> > > > Em 05/09/07, Marcio Antunes <mantunes.listas em gmail.com> escreveu:
> > > > >
> > > > > Lista,
> > > > >
> > > > > Um amigo tem um pequeno provedor, ele esta sendo atacado há varios
> > > > > dias, ja tentou de todas as formas, até mesmo com a operadora e não
> > > > > conseguiu bloquear esse ataque, o atacante esta conseguindo deixar a
> > > > > navegação dele lenta.
> > > > >
> > > > > Sei que para esse tipo de ataque é quase impossivel evitar, ouvi dizer
> > > > > que o OpenBSD existe possibilide de barrar um ataque desse é verdade
> > > > > ? no FreeBSD é possivel ? será que usando regras PF ou IPFW é
> > > > > possivel
> > > > >
> > > > > Olha o e-mail que ele recebeu..do sacana..
> > > > >
> > > > > =============
> > > > > >"Ola."
> > > > > >"Sou dos USA e estou enviando ataques DDoS no seu servidor e
> > > > > brevemente estarei" >"finalizando sua conta com ataques de 50gigabit
> > > > > direto no gateWAY,se fosse eu eu ja >teria parado com o seu
> > > > > provedorzinho de bosta."
> > > > > >"O DDOS VAI COME QUENTE FILHO DA PUTA! "
> > > > > >"O BONDE É XAPA KENTE MANÉ NINGUEM ME SEGURA FODA-SE A SEUS INDIOS
> > > > > >"FILHOS DA PUTA LAZARENTOS!
> > > > > >"PRA PARAR O ATAQUE EU QUERO 50 DOLLARES VIA:"
> > > > > >"WWW.PAYPAL.COM"
> > > > >
> > > > > >":)"
> > > > > >"GOOD NIGHT!"
> > > > >
> > > > > Alguem teve algum caso parecido.. ?
> > > > > -------------------------
> > > > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > > > >
> > > >
> > > >
> > > >
> > > > --
> > > > -------------------------------
> > > > Profº Bruno Torres Viana
> > > > Cel: (73) 8123-7620
> > > > http://www.fatmsg.edu.br
> > > >
> > > > Todos nós somos ignorantes, porém em assuntos diferentes. Não seja
> > > ignorante
> > > > por opção!
> > > > -------------------------
> > > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > > >
> > > >
> > > >
> > > -------------------------
> > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > >
> >
> >
> >
> > --
> > -------------------------------
> > Profº Bruno Torres Viana
> > Cel: (73) 8123-7620
> > http://www.fatmsg.edu.br
> >
> > Todos nós somos ignorantes, porém em assuntos diferentes. Não seja ignorante
> > por opção!
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> >
> >
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
--
Thiago J. Ruiz
http://thiagoruiz.blogspot.com
Mais detalhes sobre a lista de discussão freebsd