Ir para conteúdo
  • Cadastre-se

Ataque Por "icmp Echo Request"

lucasdidur

Por lucasdidur
em Servidores Dedicados

 Compartilhar

Posts Recomendados

Fernando Rafs

Fernando Rafs

Postado
Postado

Não vai adiantar, rs.. Ele vai bloquear o echo request (ICMP tipo 8), mas, o atacante pode muito bem alterar...

Então, caso não tenham nenhum Firewall de Borda, sugiro que usem:

iptables -I OUTPUT -p icmp -j DROP :D, simples.

Erik, é só aplicar o comando acima? Ou seja 'iptables -I OUTPUT -p icmp -j DROP', ou tem que aplicar todos os comandos que colocou no início do Post:

iptables -I INPUT -i eth1 -p udp -m ttl --ttl-gt 230 -j DROP

iptables -I INPUT -i eth1 -p tcp -m ttl --ttl-gt 230 -j DROP

iptables -I INPUT -i eth1 -p icmp -m ttl --ttl-gt 230 -j DROP

iptables -I INPUT -i eth1 -p udp -m length --length 28 -m ttl --ttl-gt 240 -j DROP

iptables -I INPUT -i eth1 -p tcp -m length --length 40 -m ttl --ttl-gt 240 -j DROP

iptables -I INPUT -i eth1 -p icmp -m length --length 48 -m ttl --ttl-gt 240 -j DROP

E depois preciso remover as configurações realizadas? Estou com receio de aplicá-las e depois dar algum problema ou não saber como voltar a configuração novamente.

Nota: Estou passando por um problema semelhante, mas ainda não identifiquei qual o tipo de ataque, somente sei que já efetuei o bloqueio de quase todo mundo, mas como disseram isto não resolve nada, nem adianta ficar bloqueando IPs.

Se alguém puder dar alguma dica de como identificar que tipo de ataque que eu posso estar sofrendo, somente sei que no momento em que ocorre várias conexões ao servidor de ips diferentes o load vai lá nas alturar, e isto fica indo e voltando.

Desculpe se não fui claro o bastante...

Valeu

Link para o comentário
Compartilhar em outros sites
Visitante

Visitante

Postado
Postado

Erik, é só aplicar o comando acima? Ou seja 'iptables -I OUTPUT -p icmp -j DROP', ou tem que aplicar todos os comandos que colocou no início do Post:

E depois preciso remover as configurações realizadas? Estou com receio de aplicá-las e depois dar algum problema ou não saber como voltar a configuração novamente.

Nota: Estou passando por um problema semelhante, mas ainda não identifiquei qual o tipo de ataque, somente sei que já efetuei o bloqueio de quase todo mundo, mas como disseram isto não resolve nada, nem adianta ficar bloqueando IPs.

Se alguém puder dar alguma dica de como identificar que tipo de ataque que eu posso estar sofrendo, somente sei que no momento em que ocorre várias conexões ao servidor de ips diferentes o load vai lá nas alturar, e isto fica indo e voltando.

Desculpe se não fui claro o bastante...

Valeu

Olá,

Guto, não é tão fácil... você deve investigar qual é o meio do ataque e utilizar os módulos necessários de acordo com o pacote.

No caso do iptables -I OUTPUT -p icmp -j DROP ele irá bloquear toda a saída de pacotes ICMP (todos tipos), não adianta tentar bloquear a entrada pois o pacote vai continuar entrando no servidor, apenas bloqueie a resposta.

Desative os serviços que estão consumindo (Web server, mysql, etc) e rode o tcpdump em seu servidor, poste o resultado no pastebin.com e nos envie o resultado.

Att.

Link para o comentário
Compartilhar em outros sites
Visitante
Este tópico está impedido de receber novos posts.
 Compartilhar
Ir para a lista de tópicos

  • Quem Está Navegando   0 membros estão online

    • Nenhum usuário registrado visualizando esta página.
×
×
  • Criar Novo...

Informação Importante

Concorda com os nossos termos?

  I accept