Ataque Por "icmp Echo Request"

[lucasdidur]

Olá pessoal,

Hoje começou uma serie de problemas em meu servidor, varios IPs usando isso para derrumar o meu servidor

Como posso evitar esse tipo de ataque?

Sera que terei que aumentar a porta do servidor para 1Gbps?

[Visitante]

Olá,

Isso me parece um IP spoofing, rode o seguinte comando e me mande uma parte dos logs.

tcpdump -i eth1 -p icmp -vv -n

Copie e cole os logs.

[Igor Barros]

O seu servidor está respondendo o ataque?

Em caso positivo, bloqueie todo tipo de ICMP em sua máquina com este comando:

echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all

[lucasdidur]

Instalei o CSF, e bloqueou as respostas aos ataques, mas ainda estou recebendo 100MB de pedidos,

Aqui o log do iptraf no ato do ataque: https://dl.dropbox.com/u/6219825/archive.tgz

Log do tcpdump: https://dl.dropbox.com/u/6219825/archive%20%282%29.tgz

[Visitante]

Instalei o CSF, e bloqueou as respostas aos ataques, mas ainda estou recebendo 100MB de pedidos,

Aqui o log do iptraf no ato do ataque: https://dl.dropbox.c...825/archive.tgz

Log do tcpdump: https://dl.dropbox.c...archive (2).tgz

É, me parece um IP spoofing. Bom, seria bom se você executasse a linha de comando que eu lhe falei, a linha de comando que você utilizou é impossível ver qual é o TTL do pacote, TOS, tamanho do cabeçalho.

Use o seguinte comando:

tcpdump -i eth1 -vv -n

[lucasdidur]

Apareceu isso

707 packets captured

1995920 packets received by filter

1994527 packets dropped by kernel

[root@srv ~]#

[lucasdidur]

Aqui a lista completa durante o ataque: https://dl.dropbox.com/u/6219825/archive2.tgz

tcpdump: listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes

1194432 packets captured

4214251 packets received by filter

3019490 packets dropped by kernel

[Visitante]

Simples, simples, simples :-)

Isso é um ataque spoofado de uma tool chamada geminid, é simples barrar, apesar de ser bem veloz :-)

Use o seguinte comando:

iptables -I INPUT -i eth1 -p udp -m ttl --ttl-gt 230 -j DROP

iptables -I INPUT -i eth1 -p tcp -m ttl --ttl-gt 230 -j DROP

iptables -I INPUT -i eth1 -p icmp -m ttl --ttl-gt 230 -j DROP

iptables -I INPUT -i eth1 -p udp -m length --length 28 -m ttl --ttl-gt 240 -j DROP

iptables -I INPUT -i eth1 -p tcp -m length --length 40 -m ttl --ttl-gt 240 -j DROP

iptables -I INPUT -i eth1 -p icmp -m length --length 48 -m ttl --ttl-gt 240 -j DROP

Os seguintes comandos não irão filtrar o ataque, e sim diminuir o impacto do mesmo, tente e veja.

[lucasdidur]

Valeu, vou tentar executar aqui.

[lucasdidur]

Mas isso pode ser executado em um PC normal? ou precisa de um servidor com muita banda para atacar?