Ataque Por "icmp Echo Request"

lucasdidur · Outubro 18, 2012

Olá pessoal,

Hoje começou uma serie de problemas em meu servidor, varios IPs usando isso para derrumar o meu servidor

Como posso evitar esse tipo de ataque?

Sera que terei que aumentar a porta do servidor para 1Gbps?

Outubro 18, 2012

Olá,

Isso me parece um IP spoofing, rode o seguinte comando e me mande uma parte dos logs.

tcpdump -i eth1 -p icmp -vv -n

Copie e cole os logs.

Igor Barros · Outubro 18, 2012

O seu servidor está respondendo o ataque?

Em caso positivo, bloqueie todo tipo de ICMP em sua máquina com este comando:

echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all

lucasdidur · Outubro 18, 2012

Instalei o CSF, e bloqueou as respostas aos ataques, mas ainda estou recebendo 100MB de pedidos,

Aqui o log do iptraf no ato do ataque: https://dl.dropbox.com/u/6219825/archive.tgz

Log do tcpdump: https://dl.dropbox.com/u/6219825/archive%20%282%29.tgz

Outubro 18, 2012

Instalei o CSF, e bloqueou as respostas aos ataques, mas ainda estou recebendo 100MB de pedidos,

Aqui o log do iptraf no ato do ataque: https://dl.dropbox.c...825/archive.tgz

Log do tcpdump: https://dl.dropbox.c...archive (2).tgz

É, me parece um IP spoofing. Bom, seria bom se você executasse a linha de comando que eu lhe falei, a linha de comando que você utilizou é impossível ver qual é o TTL do pacote, TOS, tamanho do cabeçalho.

Use o seguinte comando:

tcpdump -i eth1 -vv -n

lucasdidur · Outubro 19, 2012

Apareceu isso


707 packets captured

1995920 packets received by filter

1994527 packets dropped by kernel

[root@srv ~]#

lucasdidur · Outubro 19, 2012

Aqui a lista completa durante o ataque: https://dl.dropbox.com/u/6219825/archive2.tgz



tcpdump: listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes

1194432 packets captured

4214251 packets received by filter

3019490 packets dropped by kernel

Outubro 19, 2012

Simples, simples, simples :-)

Isso é um ataque spoofado de uma tool chamada geminid, é simples barrar, apesar de ser bem veloz :-)

Use o seguinte comando:

iptables -I INPUT -i eth1 -p udp -m ttl --ttl-gt 230 -j DROP

iptables -I INPUT -i eth1 -p tcp -m ttl --ttl-gt 230 -j DROP

iptables -I INPUT -i eth1 -p icmp -m ttl --ttl-gt 230 -j DROP

iptables -I INPUT -i eth1 -p udp -m length --length 28 -m ttl --ttl-gt 240 -j DROP

iptables -I INPUT -i eth1 -p tcp -m length --length 40 -m ttl --ttl-gt 240 -j DROP

iptables -I INPUT -i eth1 -p icmp -m length --length 48 -m ttl --ttl-gt 240 -j DROP

Os seguintes comandos não irão filtrar o ataque, e sim diminuir o impacto do mesmo, tente e veja.

lucasdidur · Outubro 19, 2012

Valeu, vou tentar executar aqui.

lucasdidur · Outubro 19, 2012

Mas isso pode ser executado em um PC normal? ou precisa de um servidor com muita banda para atacar?

Entrar

Ataque Por "icmp Echo Request"

Posts Recomendados

lucasdidur

Visitante

Igor Barros

lucasdidur

Visitante

lucasdidur

lucasdidur

Visitante

lucasdidur

lucasdidur

Quem Está Navegando 0 membros estão online

Tópicos recentes

Browse

Informação Importante