[FUG-BR] PF + Tarpitting

Cleyton Bertolim cbertolim em gmail.com
Terça Novembro 18 09:26:33 BRST 2008


Mande para a lista!!!
ou se tiver como, dispobilize em algum endereco ftp ou html.

Valeu....


2008/11/18 Rodrigo de Oliveira Gomes <akada em uol.com.br>:
> Victor,
>
>    Gostaria de testar esse script... vc poderia enviar para lista ou pvt?
>
> OBrigado,
>
> Atenciosamente,
>
> Rodrigo Gomes
>
>
> Victor escreveu:
>> Olá Rodrigo,
>>
>> Então... eu rodei o IIS em um VPS para testes e mandei fazer 2000 conexões
>> que é mais do que suficiente para floodar um apache e não fez nem cócegas.
>> Consumo de memória e CPU estáveis, respondeu a todas conexões e não ficou
>> lento e nem caiu. Testei com 4 e 8 mil conexões também com o mesmo
>> resultado.
>>
>> Abraços.
>>
>>
>> --
>> Atenciosamente,
>> Victor Gustavo Volpe
>> Diretor Executivo
>> Grupo Total Serviços de Internet LTDA - ME
>> CNPJ: 08.776.401/0001-40
>> (17) 3227-0686 / 9105-5392
>>
>> ----- Original Message -----
>> From: "Rodrigo de Oliveira Gomes" <akada em uol.com.br>
>> To: ""Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)""
>> <freebsd em fug.com.br>
>> Sent: Tuesday, November 18, 2008 9:02 AM
>> Subject: Re: [FUG-BR] PF + Tarpitting
>>
>>
>> Victor,
>>
>>     Esse script *.pl tb funciona para IIS?
>>
>> Obrigado,
>>
>> Atenciosamente,
>>
>> Rodrigo
>>
>> Victor escreveu:
>>
>>> Olá Renato,
>>>
>>> Desculpe mas acho que você não entendeu. O SPAM que eu me refiro é ao
>>> flood
>>> de conexões feito por um script em Perl que gera quantas conexões você
>>> quiser no alvo e consequentemente o apache para de responder,
>>> simplificando
>>> é um DDoS. Se quiser, pode mandar uma mensagem em particular que eu te
>>> explico melhor e se desejar efetuo o ataque em seu apache para você ver
>>> como
>>> funciona.
>>>
>>> Obrigado.
>>>
>>>
>>> --
>>> Atenciosamente,
>>> Victor Gustavo Volpe
>>> Diretor Executivo
>>> Grupo Total Serviços de Internet LTDA - ME
>>> CNPJ: 08.776.401/0001-40
>>> (17) 3227-0686 / 9105-5392
>>>
>>> ----- Original Message -----
>>> From: "renato martins" <renatobsd em gmail.com>
>>> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
>>> <freebsd em fug.com.br>
>>> Sent: Monday, November 17, 2008 10:35 AM
>>> Subject: Re: [FUG-BR] PF + Tarpitting
>>>
>>>
>>> Você está usando pf para proteger seu apache de spam ?
>>> apache é seu servidor de sites no máximo spammers podem coletar emails de
>>> seu site para envia para eles spam mas desta forma seu usuário receberia
>>> um
>>> caminhào de spam e não seria taxados como spammers.
>>>
>>> Se seus usuários está sendo marcos como spammers provavelmente eles sejão,
>>> até involuntariamente pois suas máquinas podem estar contaminadas com
>>> vírus,
>>> warms e outros ou estão mandando email marketing mesmo.
>>>
>>>  quanto á isso você não vai resolver com pf nem ipfw a menos que você
>>> descubra os usuarios que estào fazendo isso e feche eles no firewall para
>>> que não usem servidores smtp externos e em alguns casos como contaminados
>>> por virus feche eles até para o seu smtp, O esquema de tarpit tb é muito
>>> util nesses casos.
>>>
>>> oriente seus usuários nào clicarem links em emails desconhecidos ou
>>> duvidoso
>>> , recomende o uso de ant-virus e ant-spyware
>>>
>>> 2008/11/16 Victor <victor_volpe em bol.com.br>
>>>
>>>
>>>
>>>> Olá Cristina,
>>>>
>>>> Agradeço sua resposta. Será que você teria tal regra para IPFW ?
>>>>
>>>> Obrigado.
>>>>
>>>>
>>>> --
>>>> Atenciosamente,
>>>> Victor Gustavo Volpe
>>>> Diretor Executivo
>>>> Grupo Total Serviços de Internet LTDA - ME
>>>> CNPJ: 08.776.401/0001-40
>>>> (17) 3227-0686 / 9105-5392
>>>>
>>>> ----- Original Message -----
>>>> From: "Cristina Fernandes Silva" <cristinafs.listas em gmail.com>
>>>> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
>>>> <freebsd em fug.com.br>
>>>> Sent: Saturday, November 15, 2008 11:14 PM
>>>> Subject: Re: [FUG-BR] PF + Tarpitting
>>>>
>>>>
>>>> Ja tentou usar o IPFW ??
>>>>
>>>> 2008/11/15 Victor <victor_volpe em bol.com.br>:
>>>>
>>>>
>>>>> Olá amigos,
>>>>>
>>>>> Utilizo o PF do FreeBSD para proteger meu apache contra ataques de spam
>>>>> (httpd.pl). Estou no momento usando uma regra apresentada nos documentos
>>>>> oficiais do PF (http://www.openbsd.org/faq/pf/filter.html):
>>>>>
>>>>> table <abusive_hosts> persist
>>>>> block in quick from <abusive_hosts>
>>>>>
>>>>> pass in on $ext_if proto tcp to $web_server \
>>>>>    port www flags S/SA keep state \
>>>>>    (max-src-conn 100, max-src-conn-rate 15/5, overload <abusive_hosts>
>>>>> flush)
>>>>>
>>>>> Porém vários usuários estão sendo taxados como spammers indevidamente.
>>>>> Vi
>>>>> no
>>>>> man page do PF que é possível fazer um tarpit para os overloads, o que
>>>>> seria
>>>>> mais interessante do que adcionar os IP's em uma black list definitiva.
>>>>> Não
>>>>> sei que software pode ser utilizado para fazer este tarpit ou mesmo como
>>>>> redirecionar a table para ele. Não consegui nada no Google, apenas
>>>>> tarpitting de SMTP. Será que alguém poderia me dar uma luz ? Só para
>>>>> constar, quando eu usava Linux, utilizava a seguinte regra no iptables e
>>>>> funcionava perfeitamente:
>>>>>
>>>>> /sbin/iptables -A INPUT -p tcp --dport 80 -m state --state NEW -m
>>>>> recent --set --name ANTISPAM -j ACCEPT
>>>>> /sbin/iptables -A INPUT -p tcp --dport 80 -m recent --update --seconds
>>>>> 5 --hitcount 15 --name ANTISPAM -j DROP
>>>>>
>>>>> Obrigado.
>>>>>
>>>>> --
>>>>> Atenciosamente,
>>>>> Victor Gustavo Volpe
>>>>> Diretor Executivo
>>>>> Grupo Total Serviços de Internet LTDA - ME
>>>>> CNPJ: 08.776.401/0001-40
>>>>> (17) 3227-0686 / 9105-5392
>>>>>
>>>>> -------------------------
>>>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>>>
>>>>>
>>>>>
>>>> -------------------------
>>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>>
>>>> __________ NOD32 3615 (20081115) Information __________
>>>>
>>>> This message was checked by NOD32 antivirus system.
>>>> http://www.eset.com
>>>>
>>>>
>>>> -------------------------
>>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>>
>>>>
>>>>
>>> -------------------------
>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>
>>> __________ NOD32 3618 (20081117) Information __________
>>>
>>> This message was checked by NOD32 antivirus system.
>>> http://www.eset.com
>>>
>>>
>>> -------------------------
>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>
>>>
>>>
>>>
>>
>>
>> -------------------------
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
>>
>> __________ NOD32 3620 (20081118) Information __________
>>
>> This message was checked by NOD32 antivirus system.
>> http://www.eset.com
>>
>>
>> -------------------------
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
>>
>>
>
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>


Mais detalhes sobre a lista de discussão freebsd