[FUG-BR] RES: Evitando DoS com limite de conexões
Eduardo Schoedler
eschoedler em viavale.com.br
Quarta Dezembro 30 11:42:30 BRST 2009
Joao Paulo Just escreveu:
>
> Olá, lista.
>
> Ultimamente tenho sido vítima de DoS no meu Apache. Várias conexões
> simultâneas do mesmo IP esgotavam os recursos do Apache. A solução
> imediata era bloquear o IP no IPFW, mas alguns dias depois, o atacante
> vinha com outro IP.
>
> Tentei fazer algo pelo httpd.conf, alterando configurações de time-out
> e keepalive, mas não adiantou. Até que eu decidi limitar o número de
> conexões entrantes com essa regra no IPFW:
>
> $cmd add pass tcp from any to me 80 via $pif setup limit src-addr 10
>
> Assim, apenas 10 conexões de um mesmo IP poderão ser feitas na porta
> 80. Fiz isso hoje e vou aguardar pra ver se o DoS acontece de novo.
>
> O que vocês acham disso? Recomendam ou des-recomendam?
Você trabalha com bgp ?
Coloque o ip do "meliante" em blackhole e seja feliz !
Não tem solução melhor, pois o ataque é bloqueado no seu upstream (que tem
BEM mais recursos de hardware e link que a gente).
Se você fizer no seu firewall, o atacante continuará consumindo seu link até
que seja bloqueado na sua rede.
Sem falar que ainda pode derrubar o firewall e cair toda sua rede.
Sds,
--
Eduardo Schoedler
Mais detalhes sobre a lista de discussão freebsd