Não vai adiantar, rs.. Ele vai bloquear o echo request (ICMP tipo 8), mas, o atacante pode muito bem alterar...

Então, caso não tenham nenhum Firewall de Borda, sugiro que usem:

iptables -I OUTPUT -p icmp -j DROP :D, simples.

Erik, é só aplicar o comando acima? Ou seja 'iptables -I OUTPUT -p icmp -j DROP', ou tem que aplicar todos os comandos que colocou no início do Post:

iptables -I INPUT -i eth1 -p udp -m ttl --ttl-gt 230 -j DROP

iptables -I INPUT -i eth1 -p tcp -m ttl --ttl-gt 230 -j DROP

iptables -I INPUT -i eth1 -p icmp -m ttl --ttl-gt 230 -j DROP

iptables -I INPUT -i eth1 -p udp -m length --length 28 -m ttl --ttl-gt 240 -j DROP

iptables -I INPUT -i eth1 -p tcp -m length --length 40 -m ttl --ttl-gt 240 -j DROP

iptables -I INPUT -i eth1 -p icmp -m length --length 48 -m ttl --ttl-gt 240 -j DROP

E depois preciso remover as configurações realizadas? Estou com receio de aplicá-las e depois dar algum problema ou não saber como voltar a configuração novamente.

Nota: Estou passando por um problema semelhante, mas ainda não identifiquei qual o tipo de ataque, somente sei que já efetuei o bloqueio de quase todo mundo, mas como disseram isto não resolve nada, nem adianta ficar bloqueando IPs.

Se alguém puder dar alguma dica de como identificar que tipo de ataque que eu posso estar sofrendo, somente sei que no momento em que ocorre várias conexões ao servidor de ips diferentes o load vai lá nas alturar, e isto fica indo e voltando.

Desculpe se não fui claro o bastante...

Valeu

Erik, é só aplicar o comando acima? Ou seja 'iptables -I OUTPUT -p icmp -j DROP', ou tem que aplicar todos os comandos que colocou no início do Post:

E depois preciso remover as configurações realizadas? Estou com receio de aplicá-las e depois dar algum problema ou não saber como voltar a configuração novamente.

Nota: Estou passando por um problema semelhante, mas ainda não identifiquei qual o tipo de ataque, somente sei que já efetuei o bloqueio de quase todo mundo, mas como disseram isto não resolve nada, nem adianta ficar bloqueando IPs.

Se alguém puder dar alguma dica de como identificar que tipo de ataque que eu posso estar sofrendo, somente sei que no momento em que ocorre várias conexões ao servidor de ips diferentes o load vai lá nas alturar, e isto fica indo e voltando.

Desculpe se não fui claro o bastante...

Valeu

Olá,

Guto, não é tão fácil... você deve investigar qual é o meio do ataque e utilizar os módulos necessários de acordo com o pacote.

No caso do iptables -I OUTPUT -p icmp -j DROP ele irá bloquear toda a saída de pacotes ICMP (todos tipos), não adianta tentar bloquear a entrada pois o pacote vai continuar entrando no servidor, apenas bloqueie a resposta.

Desative os serviços que estão consumindo (Web server, mysql, etc) e rode o tcpdump em seu servidor, poste o resultado no pastebin.com e nos envie o resultado.

Att.

Bloquei o icmp mais continuo recebendo pacote, não tem como bloquear 100%?

Dei ate DROP no ip ele continua mandando.

 

Algum dos senhores tem o tutorial de como instalar o CSF em um vps    >>>>>  [{("SEM CPANEL")}] <<<<<?

Algum dos senhores tem o tutorial de como instalar o CSF em um vps    >>>>>  [{("SEM CPANEL")}] <<<<<?

 

http://configserver.com/free/csf/install.txt