[FUG-BR] IPFW
Renato Frederick
frederick em dahype.org
Quinta Outubro 16 17:00:40 BRT 2008
Já foi discutido aqui, mas resumidamente, o DDOS é alguém com um link grande
atacando você com um link pequeno, qualquer coisa que você fizer do router
para trás, já lhe prejudicou, o atacante já consumiu o link de entrada. Você
pode pedir ao seu provedor para filtrar a rede do atacante ou, caso você
tenha um BGP, deixar de anunciar sua rede para os AS das redes que partem o
ataque(solução bem radical). Neste 2o exemplo tem um problema também que o
atacante pode enganar o endereço de origem, o que complica bastante.
Limitar as conexões com o filtro de pacotes pode ajudar o atacante a
desanimar o ataque no inicio, mas se ele for insistente, vai encher sua rede
de pacotes RST por exemplo e por aí vai, causando o transtorno.
> -----Original Message-----
> From: freebsd-bounces em fug.com.br [mailto:freebsd-bounces em fug.com.br] On
> Behalf Of Giancarlo Rubio
> Sent: Thursday, October 16, 2008 4:31 PM
> To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
> Subject: Re: [FUG-BR] IPFW
>
> 2008/10/14 Wesley Miranda <wesleymiranda2 em gmail.com>:
> > Boa tarde,
> >
> > Gostaria de saber se alguem ja enfrentou em alguma situação ataques DDos
> e
> > se existe alguma regra no ipfw ou algum tutorial explicando por exemplo
> como
> > limitar conexões em determinada porta por segundos. estilo o PF
> >
> > table <abusive_hosts> persist
> > block in quick from <abusive_hosts>
> >
> > pass in on $ext_if proto tcp to $web_server \
> > port www flags S/SA keep state \
> > (max-src-conn 100, max-src-conn-rate 15/5, overload <abusive_hosts>
> > flush)
> >
>
> Wesley:
>
> Ataque DOS normalmente se trata no seu provedor, já que uma vez que o
> ataque chegou na sua rede ele já consumiu sua banda e não tem muito o
> que fazer.
>
> Sobre a regra do ipfw no próprio man tem la uma secção..
>
> ...
> To limit the number of connections a user can open you can use the fol-
> lowing type of rules:
>
> ipfw add allow tcp from my-net/24 to any setup limit src-addr
> 10
> ipfw add allow tcp from any to me setup limit src-addr 4
>
> The former (assuming it runs on a gateway) will allow each host on a
> /24
> network to open at most 10 TCP connections. The latter can be placed
> on
> a server to make sure that a single client does not use more than 4
> simultaneous connections.
>
>
>
>
> --
> Giancarlo Rubio
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Mais detalhes sobre a lista de discussão freebsd