Ir para conteúdo
  • Cadastre-se

Bloquear Paises

lost666

Por lost666
em Servidores Dedicados

 Compartilhar

Posts Recomendados

Eltern

Eltern

Postado
Postado

Ao bloquear todos os países, uma ou todas as opções abaixo poderão acontecer:

 

a# O alto volume de regras poderá tornar seu sistema lento, degradando performance;

b# Você perderá indexação pelos mecanismos de busca

 

Se você receber um forte ataque, seu servidor ficará ocupado processando as regras do firewall, o que tornará seu sistema instável, podendo até parar.

 

Se não lhe restar outra alternativa, o CSF (caso esteja ativado em seu servidor) possui uma opção para isso. procure por CC_DENY.

Link para o comentário
Compartilhar em outros sites
lost666

lost666

Postado
  • Autor
Postado

eu ja tenho o csf ativo e ja vi tambem sobre esta opçao, meu servidor fica poucos minutos sobre ataques DDoS e entao fica em null route, tenho quase certeza que estao usando g3m, seria possivel eu usar algum filtro para pegar os ip's que estao causando ataques ou descobrir a rage deles?

Link para o comentário
Compartilhar em outros sites
PauloCesarBR

PauloCesarBR

Postado
Postado

eu ja tenho o csf ativo e ja vi tambem sobre esta opçao, meu servidor fica poucos minutos sobre ataques DDoS e entao fica em null route, tenho quase certeza que estao usando g3m, seria possivel eu usar algum filtro para pegar os ip's que estao causando ataques ou descobrir a rage deles?

Olha eu uso esse aqui para ver ataques de ip etc DDos deflate..

Para colocar ele em seu dedicado basta seguir as instrução do site http://deflate.medialayer.com/ ;

 

Ele vai ajudar, de vez enquanto você pode logar no SSH e digitar esse comando:

netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

 

 

Ele irá mostrar o numero de conexões que cada ip está tendo com teu vps/dedicado, se o numero tiver passado de 80 vá no CSF Firewall e bloqueia o ip.....

Link para o comentário
Compartilhar em outros sites
Thiago Sabaia

Thiago Sabaia

Postado
Postado

Olha eu uso esse aqui para ver ataques de ip etc DDos deflate..

Para colocar ele em seu dedicado basta seguir as instrução do site http://deflate.medialayer.com/ ;

 

Ele vai ajudar, de vez enquanto você pode logar no SSH e digitar esse comando:

netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

 

 

Ele irá mostrar o numero de conexões que cada ip está tendo com teu vps/dedicado, se o numero tiver passado de 80 vá no CSF Firewall e bloqueia o ip.....

 

Também não é assim, passou de 80 bloqueia. Tem alguns serviços que usa isso de conexão ou até mais, como o CloudFlare por exemplo. Antes de bloquear, procure saber de que o IP é.

 Super T Host | Revenda de Hospedagem SSD a partir de R$ 65,95 por mês
 Utilize o cupom PDH e ganhe 60% de desconto nos 3 primeiros meses nos planos de Revenda.
 www.superthost.com.br - WhatsApp 21 983 121 387

Link para o comentário
Compartilhar em outros sites
Visitante

Visitante

Postado
Postado

eu ja tenho o csf ativo e ja vi tambem sobre esta opçao, meu servidor fica poucos minutos sobre ataques DDoS e entao fica em null route, tenho quase certeza que estao usando g3m, seria possivel eu usar algum filtro para pegar os ip's que estao causando ataques ou descobrir a rage deles?

 

 

Bom, não vai adiantar você bloquear os países, pois se estão utilizando o geminid (vulgo g3m). É uma tool em C que utiliza raw sockets (IP Spoofing). Não vai adiantar você bloquear as ranges, muito menos usar o CSF ou DDoS Deflate. O g3m por padrão possui TTL > 150 (255 para ser mais específico, mas devido aos Routers/Rotas perde +- 10 TTL). Caso o g3m não esteja modificado, use as seguintes regras para 'minimizar' o efeito do mesmo, assim não terá um alto consumo de IRQ.

 

iptables -I INPUT -i eth0 -m ttl --ttl-gt 150 -j DROP

iptables -I OUTPUT -p icmp -j DROP 

 

A primeira regra é para 'dropar' conexões acima de 150 de TTL, e a segunda é para bloquear saída de ICMP, evitando que o seu servidor responda os pedidos ICMP.

Link para o comentário
Compartilhar em outros sites
Visitante

Visitante

Postado
Postado

se for ataque somente na porta 80, bloqueia o acesso aos outros paises por .htaccess

 

Caso for o "g3m", não vai adiantar, pois se o atacante estiver utilizando a opção de TCP SYN, ele vai enviar o request para o apache/webserver, e o mesmo vai responder para os IPs falsos (IP Spoofing) um pacote TCP SYN + ACK :(

Link para o comentário
Compartilhar em outros sites
lost666

lost666

Postado
  • Autor
Postado

tenho quase certeza que é g3m vou usar o ip tables que o Erick passou

 

 

seria possivel criar um servidor de proxy automatico dentro de um servidor linux?

testei o SOCAT

 

socat TCP-LISTEN:7171,fork TCP:IP:7171

 

 

mas o socat me redireciona para o outro ip na port 7171, eu precisava usar a conexão do dedicado que esta o socat e me conectar ao outro ip, existem programas para isso como servidores de tunnel (proxyfier) mas queria fazer isso de um modo automático

Link para o comentário
Compartilhar em outros sites
lost666

lost666

Postado
  • Autor
Postado

veja o que eu fiz

 

...g. "US,GB,DE"

CC_DENY = "CN"
CC_ALLOW = ""
 
# An al

...

 

dei reload no csf

 

bloqueio da China entao testei usando um proxy web

 

113.105.65.111 8080 cn.png China

 

e mesmo assim consegui acessar meu site

Link para o comentário
Compartilhar em outros sites
Visitante
Este tópico está impedido de receber novos posts.
 Compartilhar
Ir para a lista de tópicos

  • Quem Está Navegando   0 membros estão online

    • Nenhum usuário registrado visualizando esta página.
×
×
  • Criar Novo...

Informação Importante

Concorda com os nossos termos?

  I accept