Jump to content

Bloquear Paises


lost666

Recommended Posts

é possivel eu bloquear todos os paises para se conectarem ao meu dedicado liberando apenas o brasil, isso vai bloquear os ataques DDoS?

 

Meu servidor esta nos EUA, se eu bloquear os EUA vai ter algum problema?

Link to comment
Share on other sites

Ao bloquear todos os países, uma ou todas as opções abaixo poderão acontecer:

 

a# O alto volume de regras poderá tornar seu sistema lento, degradando performance;

b# Você perderá indexação pelos mecanismos de busca

 

Se você receber um forte ataque, seu servidor ficará ocupado processando as regras do firewall, o que tornará seu sistema instável, podendo até parar.

 

Se não lhe restar outra alternativa, o CSF (caso esteja ativado em seu servidor) possui uma opção para isso. procure por CC_DENY.

Link to comment
Share on other sites

eu ja tenho o csf ativo e ja vi tambem sobre esta opçao, meu servidor fica poucos minutos sobre ataques DDoS e entao fica em null route, tenho quase certeza que estao usando g3m, seria possivel eu usar algum filtro para pegar os ip's que estao causando ataques ou descobrir a rage deles?

Link to comment
Share on other sites

eu ja tenho o csf ativo e ja vi tambem sobre esta opçao, meu servidor fica poucos minutos sobre ataques DDoS e entao fica em null route, tenho quase certeza que estao usando g3m, seria possivel eu usar algum filtro para pegar os ip's que estao causando ataques ou descobrir a rage deles?

Olha eu uso esse aqui para ver ataques de ip etc DDos deflate..

Para colocar ele em seu dedicado basta seguir as instrução do site http://deflate.medialayer.com/ ;

 

Ele vai ajudar, de vez enquanto você pode logar no SSH e digitar esse comando:

netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

 

 

Ele irá mostrar o numero de conexões que cada ip está tendo com teu vps/dedicado, se o numero tiver passado de 80 vá no CSF Firewall e bloqueia o ip.....

Link to comment
Share on other sites

Olha eu uso esse aqui para ver ataques de ip etc DDos deflate..

Para colocar ele em seu dedicado basta seguir as instrução do site http://deflate.medialayer.com/ ;

 

Ele vai ajudar, de vez enquanto você pode logar no SSH e digitar esse comando:

netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

 

 

Ele irá mostrar o numero de conexões que cada ip está tendo com teu vps/dedicado, se o numero tiver passado de 80 vá no CSF Firewall e bloqueia o ip.....

 

Também não é assim, passou de 80 bloqueia. Tem alguns serviços que usa isso de conexão ou até mais, como o CloudFlare por exemplo. Antes de bloquear, procure saber de que o IP é.

 Super T Host | Revenda de Hospedagem SSD a partir de R$ 59,95 por mês
 Utilize o cupom PDH e ganhe 60% de desconto nos 3 primeiros meses nos planos de Revenda.
 www.superthost.com.br - WhatsApp 21 4125 4334

Link to comment
Share on other sites

eu ja tenho o csf ativo e ja vi tambem sobre esta opçao, meu servidor fica poucos minutos sobre ataques DDoS e entao fica em null route, tenho quase certeza que estao usando g3m, seria possivel eu usar algum filtro para pegar os ip's que estao causando ataques ou descobrir a rage deles?

 

 

Bom, não vai adiantar você bloquear os países, pois se estão utilizando o geminid (vulgo g3m). É uma tool em C que utiliza raw sockets (IP Spoofing). Não vai adiantar você bloquear as ranges, muito menos usar o CSF ou DDoS Deflate. O g3m por padrão possui TTL > 150 (255 para ser mais específico, mas devido aos Routers/Rotas perde +- 10 TTL). Caso o g3m não esteja modificado, use as seguintes regras para 'minimizar' o efeito do mesmo, assim não terá um alto consumo de IRQ.

 

iptables -I INPUT -i eth0 -m ttl --ttl-gt 150 -j DROP

iptables -I OUTPUT -p icmp -j DROP 

 

A primeira regra é para 'dropar' conexões acima de 150 de TTL, e a segunda é para bloquear saída de ICMP, evitando que o seu servidor responda os pedidos ICMP.

Link to comment
Share on other sites

se for ataque somente na porta 80, bloqueia o acesso aos outros paises por .htaccess

 

Caso for o "g3m", não vai adiantar, pois se o atacante estiver utilizando a opção de TCP SYN, ele vai enviar o request para o apache/webserver, e o mesmo vai responder para os IPs falsos (IP Spoofing) um pacote TCP SYN + ACK :(

Link to comment
Share on other sites

tenho quase certeza que é g3m vou usar o ip tables que o Erick passou

 

 

seria possivel criar um servidor de proxy automatico dentro de um servidor linux?

testei o SOCAT

 

socat TCP-LISTEN:7171,fork TCP:IP:7171

 

 

mas o socat me redireciona para o outro ip na port 7171, eu precisava usar a conexão do dedicado que esta o socat e me conectar ao outro ip, existem programas para isso como servidores de tunnel (proxyfier) mas queria fazer isso de um modo automático

Link to comment
Share on other sites

veja o que eu fiz

 

...g. "US,GB,DE"

CC_DENY = "CN"
CC_ALLOW = ""
 
# An al

...

 

dei reload no csf

 

bloqueio da China entao testei usando um proxy web

 

113.105.65.111 8080 cn.png China

 

e mesmo assim consegui acessar meu site

Link to comment
Share on other sites

Guest
This topic is now closed to further replies.
  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

Do you agree with our terms?