O maior problema de DOS (não DDOS, pq se for esse ai f*deu mesmo) é a banda que o vagabundo consome.
Mesmo que você bloqueie ele no seu firewall, a requisão é tanta que consome todo o seu tunel de banda disponivel até o seu gateway, ou seja, continua usando a tua banda toda. Você só consegue bloquear o pacote de chegar no seu aplicativo. Dai é muita conversa e contato com a operadora para bloquear o vagabundo lá na borda. Ai tu explica (quase ensinando, sim, eu já tive que passar comando cisco pro cara no telefone pra ele bloquear o cara) que tem que bloquear o cara na borda. Outra via é entrar em contato (via whois) com o dono do bloco de ip e tentar matar o cara direto na raiz.. mas ai.. é sorte malandro. Enfim... a solução ai do apache é sanar o problema na aplicação, mas a nivel de rede (como os colegas falaram) ainda é outra tortura. BGP é uma solução legal para DoS, por que te da uma folga em outro link e você tem um poder maior de administração (manda o vagaba lá pra blacklist e tchau).. agora se for DDos.. vixi.... acho que só um deny any pra resolver... e desliga o celular. :p Abraços Em 31 de agosto de 2011 01:00, Lucas Dias <lucas...@gmail.com> escreveu: > Em 31 de agosto de 2011 00:03, Leonardo Rota Botelho < > leonardobote...@gmail.com> escreveu: > >> É na aplicação mesmo.. >> >> http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3192 >> http://www.exploit-db.com/exploits/17696/ >> >> Creio que não saiu nada gondim.. http://www.freshports.org/www/apache22/ >> Mas vou dar uma olhada com mais calma. >> >> O que podes fazer para bloquear algum possível ataque é usar o >> mod_security. >> >> http://blog.spiderlabs.com/2011/08/mitigation-of-apache-range-header-dos-attack.html >> >> Abs! >> >> 2011/8/30 Cleyton Agapito <cragap...@gmail.com>: >> > Em 30 de agosto de 2011 19:59, Lucas Dias <lucas...@gmail.com> escreveu: >> >> Em 30 de agosto de 2011 19:40, Paulo Henrique - BSDs Brasil < >> >> paulo.rd...@bsd.com.br> escreveu: >> >> >> >>> gon...@bsdinfo.com.br wrote: >> >>> > Pessoal, >> >>> > >> >>> > Provavelmente muitos já viram que o apache está vulnerável à DoS. >> Ainda >> >>> > não saiu nenhuma atualização no ports para resolver esse problema. >> >>> > Costuma demorar pra sair um patch desse nível ou já já sai? >> >>> > ------------------------- >> >>> > Histórico: http://www.fug.com.br/historico/html/freebsd/ >> >>> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >> >>> > >> >>> Gondim, no caso DoS não tem muita coisa a ser feita a não ser que você >> >>> tenha mais banda que o atacante ou possua varios contratos de conexão >> >>> com restrição desse tipo de ataque direto na borda da Operadora. >> >>> A correção para isso se chama vontade, vontade das Operadoras >> >>> desempenhar seus serviços dentro da conformidade de segurança. >> >>> >> >>> Att. >> >>> ------------------------- >> >>> Histórico: http://www.fug.com.br/historico/html/freebsd/ >> >>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >> >>> >> >> >> >> Concordo. DoS é tenso. Mesmo vc mitigando , ou tentando mitigar com >> várias >> >> técnicas, é complicado. Se o atacante tiver com uma botnet a disposição >> pra >> >> fazer o mal, complica mais ainda. >> >> E essa vontade das Operadoras vai demorar pacas. e bote pacas nisso =) >> >> >> > >> > Se entendi direito, no caso de um software ser vulnerável a DoS quer >> > dizer que um único atacante, através de um acesso malicioso conseguir >> > "tirar o sistema do ar", deixá-lo indisponível, irresponsível, isso é >> > grave e deve ser corrigido... >> > >> > O caso descrito pelos dois colegas é de sobrecarga do enlace, tipo um >> > DoS no enlace, não no sistema, nesse caso realmente é complicado >> > porque depende de vc ter os contatos para interromper a avalanche em >> > algum ponto antes de você, fora de seu domínio, o que creio não ser o >> > caso. >> > >> > []´s >> > ------------------------- >> > Histórico: http://www.fug.com.br/historico/html/freebsd/ >> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >> > >> >> >> >> -- >> Leonardo Rota Botelho >> OSCP / GPEN >> http://twitter.com/b0telh0 >> http://leonardobotelho.com/blog/ >> ------------------------- >> Histórico: http://www.fug.com.br/historico/html/freebsd/ >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >> > > Como tinha dito antes, você poderá usar tudo para mitigar a situação do DoS, > mesmo se for pra inflar seu link, ou se for atacando o velho índio. > Mod_Security é uma solução no auxilio a mitigar isso. Usar um HIDS e um IDS > também ajudará, visto que você poderá tratar com thresholds para um número X > qualquer de requisições de um mesmo lugar, em um curto espaço de tempo, > jogar o cara para uma table do ipfw e blockar o "atacante" por um > determinado tempo, ou para sempre e por aí vai... > > Sei que tem que se ter cuidado para não pirar o cabeção, porque isso é um > buraco sem fim. > Qualquer coisa, entra em contato com a Operadora e pede aquela ajuda =) > > Chato, porém quando só se tem um Link de 2Mbps e o muleque em casa tá com 30 > da GVT, acaba sendo até sacagem =) > > Acredito que sairá alguma correção para o problema citado em breve. > > DDoS já é outra mazela =( > > -- > .:: Lucas Dias > .:: Analista de Sistemas > .:: OS3 Soluções em TI > .:: VectraCS - NOC Infovia Alagoas > .:: (82) 8813-1494 / 8111-2288 / 9999-2453 > .:: Antes de imprimir, veja se realmente é necessário!!! > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > -- /\ Luiz Gustavo S. Costa / \ Programmer at BSD Perimeter / \ /\/\/\ Visit the pfSense Project / \ \ \ http://www.pfsense.org --------------------------------------------------------------------- BSD da serra carioca, Teresopolis (visite: http://miud.in/Inv) Contatos: luizgust...@luizgustavo.pro.br / lgco...@pfsense.org Blog: http://www.luizgustavo.pro.br ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd