Re: [FUG-BR] RES: Evitando DoS com limite de conex ões
> Existem empresas que "alugam" seu AS, seria uma opção. > Dessa forma, você poderia anunciar para blackhole o ip dos atacantes e > bloquear na borda. Se não estou enganado, blackhole para DDOS é feito com o IP de destino, não com os de origem, matando o tráfego entrante no roteador de borda da rede (por isso que os provedores *fizeram caca* bloqueando o acesso ao seu servidor). A melhor coisa é utilizar mesmo uma solução híbrida de timers no apache com limitantes no firewall da rede. Talvez fosse interessante um firewall em bridge para fazer esse controle de acesso. -- []´s Helio Loureiro http://helio.loureiro.eng.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] RES: Evitando DoS com limite de conex ões
Joao Paulo Just escreveu: > Não tenho AS próprio pra fazer isso por conta própria e sempre que pedi > pra operadora fazer algum bloqueio, ela fez caca e acabou me bloqueando > pro mundo :p Existem empresas que "alugam" seu AS, seria uma opção. Dessa forma, você poderia anunciar para blackhole o ip dos atacantes e bloquear na borda. Sds, -- Eduardo Schoedler - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: Evitando DoS com limite de conex ões
On Wed, 30 Dec 2009 14:24:08 -0300 Emmanuel Alves wrote: > eu utilizo o "mod_evasive" pra evitar este tipo de coisa. > > O ip é automaticamente colocado na lista negra por um tempo diretamente pelo > firewall e o atacante não tem mais acesso a nada do servidor. Gostei da idéia. Vou dar uma olhadinha nele :) -- João Paulo Just Diretor Técnico RG3.Net - http://www.rg3.net/ FCP - Furukawa Certified Professional -- Feira de Santana, BA, Brasil. +55 75 8104 8473 Blog: http://just.rg3.net/ - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: Evitando DoS com limite de conex ões
eu utilizo o "mod_evasive" pra evitar este tipo de coisa. O ip é automaticamente colocado na lista negra por um tempo diretamente pelo firewall e o atacante não tem mais acesso a nada do servidor. []s Emmanuel Alves manel...@gmail.com - Twitter: http://www.twitter.com/emartsnet Linked In: http://www.linkedin.com/in/emartsnet 2009/12/30 Joao Paulo Just > On Wed, 30 Dec 2009 11:42:30 -0200 > "Eduardo Schoedler" wrote: > > > Você trabalha com bgp ? > > Coloque o ip do "meliante" em blackhole e seja feliz ! > > Não tem solução melhor, pois o ataque é bloqueado no seu upstream (que > tem > > BEM mais recursos de hardware e link que a gente). > > Não tenho AS próprio pra fazer isso por conta própria e sempre que pedi > pra operadora fazer algum bloqueio, ela fez caca e acabou me bloqueando > pro mundo :p > > > Se você fizer no seu firewall, o atacante continuará consumindo seu link > até > > que seja bloqueado na sua rede. > > Sem falar que ainda pode derrubar o firewall e cair toda sua rede. > > Nesse caso, essa regra foi colocada no ipfw do servidor que está sendo > atacado. > > -- > João Paulo Just > Diretor Técnico RG3.Net - http://www.rg3.net/ > FCP - Furukawa Certified Professional > -- > Feira de Santana, BA, Brasil. > +55 75 8104 8473 > Blog: http://just.rg3.net/ > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: Evitando DoS com limite de conex ões
On Wed, 30 Dec 2009 11:42:30 -0200 "Eduardo Schoedler" wrote: > Você trabalha com bgp ? > Coloque o ip do "meliante" em blackhole e seja feliz ! > Não tem solução melhor, pois o ataque é bloqueado no seu upstream (que tem > BEM mais recursos de hardware e link que a gente). Não tenho AS próprio pra fazer isso por conta própria e sempre que pedi pra operadora fazer algum bloqueio, ela fez caca e acabou me bloqueando pro mundo :p > Se você fizer no seu firewall, o atacante continuará consumindo seu link até > que seja bloqueado na sua rede. > Sem falar que ainda pode derrubar o firewall e cair toda sua rede. Nesse caso, essa regra foi colocada no ipfw do servidor que está sendo atacado. -- João Paulo Just Diretor Técnico RG3.Net - http://www.rg3.net/ FCP - Furukawa Certified Professional -- Feira de Santana, BA, Brasil. +55 75 8104 8473 Blog: http://just.rg3.net/ - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] RES: Evitando DoS com limite de conex ões
Joao Paulo Just escreveu: > > Olá, lista. > > Ultimamente tenho sido vítima de DoS no meu Apache. Várias conexões > simultâneas do mesmo IP esgotavam os recursos do Apache. A solução > imediata era bloquear o IP no IPFW, mas alguns dias depois, o atacante > vinha com outro IP. > > Tentei fazer algo pelo httpd.conf, alterando configurações de time-out > e keepalive, mas não adiantou. Até que eu decidi limitar o número de > conexões entrantes com essa regra no IPFW: > > $cmd add pass tcp from any to me 80 via $pif setup limit src-addr 10 > > Assim, apenas 10 conexões de um mesmo IP poderão ser feitas na porta > 80. Fiz isso hoje e vou aguardar pra ver se o DoS acontece de novo. > > O que vocês acham disso? Recomendam ou des-recomendam? Você trabalha com bgp ? Coloque o ip do "meliante" em blackhole e seja feliz ! Não tem solução melhor, pois o ataque é bloqueado no seu upstream (que tem BEM mais recursos de hardware e link que a gente). Se você fizer no seu firewall, o atacante continuará consumindo seu link até que seja bloqueado na sua rede. Sem falar que ainda pode derrubar o firewall e cair toda sua rede. Sds, -- Eduardo Schoedler - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
