Re: [FUG-BR] evitar dos em dns
Ok, suponhamos que o host A quer comunicar-se com o host B. O host A inicia o handshake passando seu #SI, chamando A, no campo de seqüência do primeiro segmento sincronizado (SYN) do 3-way handshake. Quando o segundo host, B, recebe o SYN de A, este memoriza o número de seqüência recebido e replica enviando um SYN com seu #SI, chamando B, assim com um reconhecimento (ACK) indicando a A que reconhece o primeiro SYN enviado e continua com o handshake. Quando A recebe o SYN/ACK de B, lhe devolve um ACK a B indicando que ambos concordam que a conexão se estabeleceu. O que estou propondo é que o dono da chave da autenticação seja o proprio servidor da rede de seus micros, então mesmo que ele copie o se ack, ele fará a conta matematica autenticando cada pacote, ou seja mesmo que ele pegue o pacote não saberá a "minicriptografia" que o mesmo possui, para agir como sinergia a isso voce teria que setar no router o bloqueio de ips externos, porem isso só funcionaria para servidores que " confiam" em ips internos, se o servidor necessita " confiar" em ips externos ai esta solucão topológica falha. Neste caso devem-se bloquear todos os protocolos que usem TCP e autenticações basedas em direções. É como você mesmo disse, não é nada simples. Em 11/06/2012 11:30, Eduardo Schoedler escreveu: > Em 11 de junho de 2012 11:21, Lucas escreveu: > >> Seguinte, não adianta você limitar quantidade de consultas, pois >> dependendo da regra que você coloca na rede você caba facilitando o >> flood, por exemplo, você cria uma regra pra x acessos na su rede sem >> dropar e ai eu vou e flood e sou dropado, beleza, ai subo um script que >> vai determinar o limite de pacotes que posso enviar e faço o flood >> trabalhar no limite sem ser dropado, ai o proximo cliente legitimo que >> logar sera dropado, ou seja, seu servidor não cai, mas posso impedir que >> os outros clientes acessem. >> >> Tem um pulo do gato: >> >> 1. quando o cliente envia o primeiro SYN, envia também um número de 32 >> bits. chamado número de seqüência (vamos chamar de NS-C, número de >> seqüência do cliente) >> >> 2. quando o servidor recebe o SYN, ele também escolhe um NS para si >> (NS-S, número de seqüência do servidor) e devolve o pacote com dois >> números: o seu NS-S e o número de verificação, chamando de ACK >> (diferente do flag, este tem também 32 bits). Este segundo número nada >> mais é do que NS-C+1. >> >> 3. o cliente, ao completar o handshake, devolve NS-C+1 e NS-S + 1. >> >> Tente colocar uma regra baseada em syn cookie ai todo pacote te´ra uma >> autenticação e evite usar +1, use outro numero. Não resolve totalmente >> mas podera ajudar a dificultar o DOS >> >> > E como ficaria um ataque spoof? > E uma rede com muitos computadores? > > Não é tão simples quanto parece. > - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] evitar dos em dns
Em 11 de junho de 2012 11:21, Lucas escreveu: > Seguinte, não adianta você limitar quantidade de consultas, pois > dependendo da regra que você coloca na rede você caba facilitando o > flood, por exemplo, você cria uma regra pra x acessos na su rede sem > dropar e ai eu vou e flood e sou dropado, beleza, ai subo um script que > vai determinar o limite de pacotes que posso enviar e faço o flood > trabalhar no limite sem ser dropado, ai o proximo cliente legitimo que > logar sera dropado, ou seja, seu servidor não cai, mas posso impedir que > os outros clientes acessem. > > Tem um pulo do gato: > > 1. quando o cliente envia o primeiro SYN, envia também um número de 32 > bits. chamado número de seqüência (vamos chamar de NS-C, número de > seqüência do cliente) > > 2. quando o servidor recebe o SYN, ele também escolhe um NS para si > (NS-S, número de seqüência do servidor) e devolve o pacote com dois > números: o seu NS-S e o número de verificação, chamando de ACK > (diferente do flag, este tem também 32 bits). Este segundo número nada > mais é do que NS-C+1. > > 3. o cliente, ao completar o handshake, devolve NS-C+1 e NS-S + 1. > > Tente colocar uma regra baseada em syn cookie ai todo pacote te´ra uma > autenticação e evite usar +1, use outro numero. Não resolve totalmente > mas podera ajudar a dificultar o DOS > > E como ficaria um ataque spoof? E uma rede com muitos computadores? Não é tão simples quanto parece. -- Eduardo Schoedler - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] evitar dos em dns
Seguinte, não adianta você limitar quantidade de consultas, pois dependendo da regra que você coloca na rede você caba facilitando o flood, por exemplo, você cria uma regra pra x acessos na su rede sem dropar e ai eu vou e flood e sou dropado, beleza, ai subo um script que vai determinar o limite de pacotes que posso enviar e faço o flood trabalhar no limite sem ser dropado, ai o proximo cliente legitimo que logar sera dropado, ou seja, seu servidor não cai, mas posso impedir que os outros clientes acessem. Tem um pulo do gato: 1. quando o cliente envia o primeiro SYN, envia também um número de 32 bits. chamado número de seqüência (vamos chamar de NS-C, número de seqüência do cliente) 2. quando o servidor recebe o SYN, ele também escolhe um NS para si (NS-S, número de seqüência do servidor) e devolve o pacote com dois números: o seu NS-S e o número de verificação, chamando de ACK (diferente do flag, este tem também 32 bits). Este segundo número nada mais é do que NS-C+1. 3. o cliente, ao completar o handshake, devolve NS-C+1 e NS-S + 1. Tente colocar uma regra baseada em syn cookie ai todo pacote te´ra uma autenticação e evite usar +1, use outro numero. Não resolve totalmente mas podera ajudar a dificultar o DOS Em 11/06/2012 10:55, Eduardo Schoedler escreveu: > Em 11/06/2012, às 00:50, Paulo Henrique BSD Brasil > escreveu: > >> >> Em 10/6/2012 23:27, Anderson Alves de Albuquerque escreveu: >>> sim, mas os de menores abrangência eu poderia limitar dessa forma. Em >>> alguns casos, eu poderia impedir muitas requisições. Em casos de entupir o >>> link, ai sim procuraria a operadora. >>> >>> >>> >>> >>> Em 10 de junho de 2012 19:16, Eduardo Schoedlerescreveu: >>> Em 09/06/2012, às 20:18, Anderson Alves de Albuquerque< anderso...@gmail.com> escreveu: > Eu estava pesquisando de como limitar a tentativa de dos com o PF. DDoS nao eh só controlar a quantidade de consultas por segundo. E se o ataque lotar seu link? Nao adianta você dropar pacotes no seu lado do link, ate porque os pacotes já cruzáramos já consumiram o seu circuito. Na verdade, ataque DDoS você só consegue filtrar com ajuda da sua operadora. Abs. -- Eduardo Schoedler Enviado via iPhone >> >> Rapaz, ouve a voz da experiência que o Sr. Eduardo possui, se acha mesmo >> que toda consulta a um domínio que administra é feita no seu servidor, >> sinto muito informar que não, há tanto DNS cache espalhado a começar >> pelas operadoras. >> >> Coloque a seguinte consideração. >> Usuário hosti -> provedor pequeno ( DNS-Cache 1 ) -> Provedor grande ( >> DNS-Cache 2 ) -> operadora internacional ( DNS-Cache3 ) -> Internet -> >> sua operadora. >> >> Como pode ver a chance de limitar ação por tempo de consulta simultâneas >> em seu DNS é muito insuficiente. >> Contudo, utiliza os IPs no qual fizeram a consulta e colocá-los em >> blackrole é algo que mistigaria rapidamente a capacidade do DDOS. >> Mais ai haja integração de IDS/IPS/FIREWALL/DNS, contudo ainda dependerá >> das blackrole. > Só para enriquecer essa thread: esta rolando na NANOG uma thread sobre como > montar um servidor DNS recursivo aberto. > > http://mailman.nanog.org/pipermail/nanog/2012-June/048984.html > > -- > Eduardo Schoedler > Enviado via iPhone > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] evitar dos em dns
Em 11/06/2012, às 00:50, Paulo Henrique BSD Brasil escreveu: > > > Em 10/6/2012 23:27, Anderson Alves de Albuquerque escreveu: >> sim, mas os de menores abrangência eu poderia limitar dessa forma. Em >> alguns casos, eu poderia impedir muitas requisições. Em casos de entupir o >> link, ai sim procuraria a operadora. >> >> >> >> >> Em 10 de junho de 2012 19:16, Eduardo Schoedlerescreveu: >> >>> Em 09/06/2012, às 20:18, Anderson Alves de Albuquerque< >>> anderso...@gmail.com> escreveu: Eu estava pesquisando de como limitar a tentativa de dos com o PF. >>> >>> DDoS nao eh só controlar a quantidade de consultas por segundo. >>> >>> E se o ataque lotar seu link? >>> Nao adianta você dropar pacotes no seu lado do link, ate porque os pacotes >>> já cruzáramos já consumiram o seu circuito. >>> >>> Na verdade, ataque DDoS você só consegue filtrar com ajuda da sua >>> operadora. >>> >>> Abs. >>> >>> -- >>> Eduardo Schoedler >>> Enviado via iPhone > > > Rapaz, ouve a voz da experiência que o Sr. Eduardo possui, se acha mesmo > que toda consulta a um domínio que administra é feita no seu servidor, > sinto muito informar que não, há tanto DNS cache espalhado a começar > pelas operadoras. > > Coloque a seguinte consideração. > Usuário hosti -> provedor pequeno ( DNS-Cache 1 ) -> Provedor grande ( > DNS-Cache 2 ) -> operadora internacional ( DNS-Cache3 ) -> Internet -> > sua operadora. > > Como pode ver a chance de limitar ação por tempo de consulta simultâneas > em seu DNS é muito insuficiente. > Contudo, utiliza os IPs no qual fizeram a consulta e colocá-los em > blackrole é algo que mistigaria rapidamente a capacidade do DDOS. > Mais ai haja integração de IDS/IPS/FIREWALL/DNS, contudo ainda dependerá > das blackrole. Só para enriquecer essa thread: esta rolando na NANOG uma thread sobre como montar um servidor DNS recursivo aberto. http://mailman.nanog.org/pipermail/nanog/2012-June/048984.html -- Eduardo Schoedler Enviado via iPhone - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] evitar dos em dns
Em 10/6/2012 23:27, Anderson Alves de Albuquerque escreveu: > sim, mas os de menores abrangência eu poderia limitar dessa forma. Em > alguns casos, eu poderia impedir muitas requisições. Em casos de entupir o > link, ai sim procuraria a operadora. > > > > > Em 10 de junho de 2012 19:16, Eduardo Schoedlerescreveu: > >> Em 09/06/2012, às 20:18, Anderson Alves de Albuquerque< >> anderso...@gmail.com> escreveu: >>> Eu estava pesquisando de como limitar a tentativa de dos com o PF. >> >> DDoS nao eh só controlar a quantidade de consultas por segundo. >> >> E se o ataque lotar seu link? >> Nao adianta você dropar pacotes no seu lado do link, ate porque os pacotes >> já cruzáramos já consumiram o seu circuito. >> >> Na verdade, ataque DDoS você só consegue filtrar com ajuda da sua >> operadora. >> >> Abs. >> >> -- >> Eduardo Schoedler >> Enviado via iPhone Rapaz, ouve a voz da experiência que o Sr. Eduardo possui, se acha mesmo que toda consulta a um domínio que administra é feita no seu servidor, sinto muito informar que não, há tanto DNS cache espalhado a começar pelas operadoras. Coloque a seguinte consideração. Usuário hosti -> provedor pequeno ( DNS-Cache 1 ) -> Provedor grande ( DNS-Cache 2 ) -> operadora internacional ( DNS-Cache3 ) -> Internet -> sua operadora. Como pode ver a chance de limitar ação por tempo de consulta simultâneas em seu DNS é muito insuficiente. Contudo, utiliza os IPs no qual fizeram a consulta e colocá-los em blackrole é algo que mistigaria rapidamente a capacidade do DDOS. Mais ai haja integração de IDS/IPS/FIREWALL/DNS, contudo ainda dependerá das blackrole. Fica a dica. -- "Quando a Morte decide contar uma historia, A melhor ação que possa fazer é ouvi-la, e torcer por não ser a sua própria a tal história." Flames > /dev/null ( by Irado !! ). RIP Irado! Paulo Henrique. Analista de Sistemas / Programador BSDs Brasil. Genuine Unix/BSD User. Fone: (21) 9683-5433. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] evitar dos em dns
sim, mas os de menores abrangência eu poderia limitar dessa forma. Em alguns casos, eu poderia impedir muitas requisições. Em casos de entupir o link, ai sim procuraria a operadora. Em 10 de junho de 2012 19:16, Eduardo Schoedler escreveu: > Em 09/06/2012, às 20:18, Anderson Alves de Albuquerque < > anderso...@gmail.com> escreveu: > > Eu estava pesquisando de como limitar a tentativa de dos com o PF. > > DDoS nao eh só controlar a quantidade de consultas por segundo. > > E se o ataque lotar seu link? > Nao adianta você dropar pacotes no seu lado do link, ate porque os pacotes > já cruzáramos já consumiram o seu circuito. > > Na verdade, ataque DDoS você só consegue filtrar com ajuda da sua > operadora. > > Abs. > > -- > Eduardo Schoedler > Enviado via iPhone > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > -- [], Anderson Alves de Albuquerque. --- E-mails: andersonalvesdealbuquerque#hotmail.com (replace # by @) andersonaa#gmail.com (replace # by @) Skype: andersonalvesdealbuquerque ICQ: 73222660 --- - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] evitar dos em dns
Em 09/06/2012, às 20:18, Anderson Alves de Albuquerque escreveu: > Eu estava pesquisando de como limitar a tentativa de dos com o PF. DDoS nao eh só controlar a quantidade de consultas por segundo. E se o ataque lotar seu link? Nao adianta você dropar pacotes no seu lado do link, ate porque os pacotes já cruzáramos já consumiram o seu circuito. Na verdade, ataque DDoS você só consegue filtrar com ajuda da sua operadora. Abs. -- Eduardo Schoedler Enviado via iPhone - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] evitar dos em dns
Eu estava pesquisando de como limitar a tentativa de dos com o PF. Bem, eu achei uma possibilidade com "(max 9000, source-track rule, max-src-conn 50, max-src-nodes 42, max-src-conn-rate 422/22)". A documentação fala que isso eh aplicado ao TCP (3-way), eu aplicaria no DNS (53/udp). Isso se aplicaria ao udp? Caso se aplique a DNS server, alguém chutaria valores para um server que no pico tem 100 queries/segundo e media de 40 queries/segundo? -- [], Anderson Alves de Albuquerque. --- E-mails: andersonalvesdealbuquerque#hotmail.com (replace # by @) andersonaa#gmail.com (replace # by @) Skype: andersonalvesdealbuquerque ICQ: 73222660 --- - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd