Alguem Pode Me Ajudar Com O Iptables ?

[c0l3r4]

Esses ataques são todos do Brasil? Uma solução um tanto ortodoxa, seria a utilização de um IDS(como o Snort por exemplo), porém sua configuração é complexa e pode barra conexões legítimas, portanto há a necessidade de uma configuração bastante minuciosa.

[redjonatan]

eu sou novo nessas coisas.

pode dizer como fasso isso ?

[c0l3r4]

Não é muito simples de explicar por aqui, e eu também conheço pouco sobre isso. Me desculpe não pode lhe ajudar tão precisamente, mas você pode buscar informações no site oficial do Snort e também no wikipedia sobre IDS.

[JvServers]

Não seria viável analisar o range de IP da origem dos ataques e então bloquea-los? Por favor, me corrigam se eu estiver errado pois não tenho experiência com servidor de games.

 

O Problema é que em praticamente 100% dos casos (com sucesso no ataque) utilizam ip spoof, na maioria das vezes vindos de varios vps utilizando esses script pra linux que você pega no google

[c0l3r4]

O Problema é que em praticamente 100% dos casos (com sucesso no ataque) utilizam ip spoof, na maioria das vezes vindos de varios vps utilizando esses script pra linux que você pega no google

 

Pensei em outra solução aqui, que já usei e funcionou. Consiste em contar as conexões simultâneas oriundas de determinado usuário. Por exemplo, se um usuário normal de determinado serviço costuma utilizar no máximo 3-5 conexões simultâneas, portanto 10, 20 ou mais conexões(ou tentativas) pode ser caracterizado como um ataque. A solução que implementei foi criar um script, rodando a cada minuto no CRON, que contava e bloqueava IPs com X número de conexões no servidor. Pode não resolver definitivamente, mas acredito que pode aliviar a carga de conexões do servidor.

[redjonatan]

Pensei em outra solução aqui, que já usei e funcionou. Consiste em contar as conexões simultâneas oriundas de determinado usuário. Por exemplo, se um usuário normal de determinado serviço costuma utilizar no máximo 3-5 conexões simultâneas, portanto 10, 20 ou mais conexões(ou tentativas) pode ser caracterizado como um ataque. A solução que implementei foi criar um script, rodando a cada minuto no CRON, que contava e bloqueava IPs com X número de conexões no servidor. Pode não resolver definitivamente, mas acredito que pode aliviar a carga de conexões do servidor.

 

Como fasso isso?

[JvServers]

Pesquise por ddos-deflate. se bem que eu não sou fã dele. O individuo poderia atacar seu servidor, spoofando o ip para o ip do gateway do servidor ou até mesmo o próprio ip por exemplo.. imagina oque aconteceria. Nunca vi acontecer, mas na teoria seria pior. Ele basicamente faz isso. Roda no cron, de minuto em minuto (ou menos, utilizando o sleep no cron) um script que verifica quantas conexões tem cada ip, e bloqueia os que tem conexões acima de x (numero configurável). Porém, ele bloqueia pelo numero de conexões, logo, seria inutil contra um ataque realizado por ferramentas como g3m ou t50 por exemplo.

[c0l3r4]

Pensei em outra solução aqui, que já usei e funcionou. Consiste em contar as conexões simultâneas oriundas de determinado usuário. Por exemplo, se um usuário normal de determinado serviço costuma utilizar no máximo 3-5 conexões simultâneas, portanto 10, 20 ou mais conexões(ou tentativas) pode ser caracterizado como um ataque. A solução que implementei foi criar um script, rodando a cada minuto no CRON, que contava e bloqueava IPs com X número de conexões no servidor. Pode não resolver definitivamente, mas acredito que pode aliviar a carga de conexões do servidor.

 

Como fasso isso?

 

Eu utilizei o "lsof" e "awk" para contar as conexões, o iptables para efetuar os bloqueios, juntei tudo em um shellscript e depois coloquei no cron. O bacana é que você pode filtrar as conexões por porta, na ocasião eu tinha feito somente para as conexões na porta 80.

[redjonatan]

Ninguem pode me ajuder ?

Eu pago.

[c0l3r4]

Ninguem pode me ajuder ?

Eu pago.

 

Se tiver interessado mesmo, me manda MP.