lost666 Posted May 4, 2013 Share Posted May 4, 2013 é possivel eu bloquear todos os paises para se conectarem ao meu dedicado liberando apenas o brasil, isso vai bloquear os ataques DDoS? Meu servidor esta nos EUA, se eu bloquear os EUA vai ter algum problema? Link to comment Share on other sites More sharing options...
Eltern Posted May 4, 2013 Share Posted May 4, 2013 Ao bloquear todos os países, uma ou todas as opções abaixo poderão acontecer: a# O alto volume de regras poderá tornar seu sistema lento, degradando performance; b# Você perderá indexação pelos mecanismos de busca Se você receber um forte ataque, seu servidor ficará ocupado processando as regras do firewall, o que tornará seu sistema instável, podendo até parar. Se não lhe restar outra alternativa, o CSF (caso esteja ativado em seu servidor) possui uma opção para isso. procure por CC_DENY. Link to comment Share on other sites More sharing options...
lost666 Posted May 4, 2013 Author Share Posted May 4, 2013 eu ja tenho o csf ativo e ja vi tambem sobre esta opçao, meu servidor fica poucos minutos sobre ataques DDoS e entao fica em null route, tenho quase certeza que estao usando g3m, seria possivel eu usar algum filtro para pegar os ip's que estao causando ataques ou descobrir a rage deles? Link to comment Share on other sites More sharing options...
PauloCesarBR Posted May 5, 2013 Share Posted May 5, 2013 eu ja tenho o csf ativo e ja vi tambem sobre esta opçao, meu servidor fica poucos minutos sobre ataques DDoS e entao fica em null route, tenho quase certeza que estao usando g3m, seria possivel eu usar algum filtro para pegar os ip's que estao causando ataques ou descobrir a rage deles? Olha eu uso esse aqui para ver ataques de ip etc DDos deflate.. Para colocar ele em seu dedicado basta seguir as instrução do site http://deflate.medialayer.com/ ; Ele vai ajudar, de vez enquanto você pode logar no SSH e digitar esse comando: netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n Ele irá mostrar o numero de conexões que cada ip está tendo com teu vps/dedicado, se o numero tiver passado de 80 vá no CSF Firewall e bloqueia o ip..... Link to comment Share on other sites More sharing options...
Thiago Sabaia Posted May 5, 2013 Share Posted May 5, 2013 Olha eu uso esse aqui para ver ataques de ip etc DDos deflate.. Para colocar ele em seu dedicado basta seguir as instrução do site http://deflate.medialayer.com/ ; Ele vai ajudar, de vez enquanto você pode logar no SSH e digitar esse comando: netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n Ele irá mostrar o numero de conexões que cada ip está tendo com teu vps/dedicado, se o numero tiver passado de 80 vá no CSF Firewall e bloqueia o ip..... Também não é assim, passou de 80 bloqueia. Tem alguns serviços que usa isso de conexão ou até mais, como o CloudFlare por exemplo. Antes de bloquear, procure saber de que o IP é. █ Super T Host | Revenda de Hospedagem SSD a partir de R$ 59,95 por mês █ Utilize o cupom PDH e ganhe 60% de desconto nos 3 primeiros meses nos planos de Revenda. █ www.superthost.com.br - WhatsApp 21 4125 4334 Link to comment Share on other sites More sharing options...
Guest Posted May 5, 2013 Share Posted May 5, 2013 eu ja tenho o csf ativo e ja vi tambem sobre esta opçao, meu servidor fica poucos minutos sobre ataques DDoS e entao fica em null route, tenho quase certeza que estao usando g3m, seria possivel eu usar algum filtro para pegar os ip's que estao causando ataques ou descobrir a rage deles? Bom, não vai adiantar você bloquear os países, pois se estão utilizando o geminid (vulgo g3m). É uma tool em C que utiliza raw sockets (IP Spoofing). Não vai adiantar você bloquear as ranges, muito menos usar o CSF ou DDoS Deflate. O g3m por padrão possui TTL > 150 (255 para ser mais específico, mas devido aos Routers/Rotas perde +- 10 TTL). Caso o g3m não esteja modificado, use as seguintes regras para 'minimizar' o efeito do mesmo, assim não terá um alto consumo de IRQ. iptables -I INPUT -i eth0 -m ttl --ttl-gt 150 -j DROP iptables -I OUTPUT -p icmp -j DROP A primeira regra é para 'dropar' conexões acima de 150 de TTL, e a segunda é para bloquear saída de ICMP, evitando que o seu servidor responda os pedidos ICMP. Link to comment Share on other sites More sharing options...
Mr Bomber Posted May 5, 2013 Share Posted May 5, 2013 se for ataque somente na porta 80, bloqueia o acesso aos outros paises por .htaccess Link to comment Share on other sites More sharing options...
Guest Posted May 5, 2013 Share Posted May 5, 2013 se for ataque somente na porta 80, bloqueia o acesso aos outros paises por .htaccess Caso for o "g3m", não vai adiantar, pois se o atacante estiver utilizando a opção de TCP SYN, ele vai enviar o request para o apache/webserver, e o mesmo vai responder para os IPs falsos (IP Spoofing) um pacote TCP SYN + ACK :( Link to comment Share on other sites More sharing options...
lost666 Posted May 5, 2013 Author Share Posted May 5, 2013 tenho quase certeza que é g3m vou usar o ip tables que o Erick passou seria possivel criar um servidor de proxy automatico dentro de um servidor linux? testei o SOCAT socat TCP-LISTEN:7171,fork TCP:IP:7171 mas o socat me redireciona para o outro ip na port 7171, eu precisava usar a conexão do dedicado que esta o socat e me conectar ao outro ip, existem programas para isso como servidores de tunnel (proxyfier) mas queria fazer isso de um modo automático Link to comment Share on other sites More sharing options...
lost666 Posted May 5, 2013 Author Share Posted May 5, 2013 veja o que eu fiz ...g. "US,GB,DE" CC_DENY = "CN" CC_ALLOW = "" # An al ... dei reload no csf bloqueio da China entao testei usando um proxy web 113.105.65.111 8080 China e mesmo assim consegui acessar meu site Link to comment Share on other sites More sharing options...
Recommended Posts