Problema Com Ataques. Firewall Fisico

[Kelvin Matheus]

Olá Pessoal,

 

Estou a três dias já quebrando cabeça e não sei mais o que fazer.

 

Tenho alguns clientes no meu servidor (88), e cada dia que passa com esse problema perco alguns.

 

O que acontece é que antes o servidor estava em uma VM de 8GB RAM dual Core. Eu tinha o CSF como firewall e estava dando de conta bem demais do serviço, mas algum filho da mãe esta atacando o servidor com ataques de computadores zumbis, quando verifico as conexões existem bem uns 200 ips diferentes com 1, 2, 5 conexoes apenas congestinando.

 

O que fiz? Contratei junto com a Limestone um servidor dedicado Xeon de 16GB RAM e criei uma VM com todos os recursos alocados para essa VM, instalei um novo cPanel e migrei os clientes.

 

Junto contratei o firewall Cisco Asa 5505. Ainda estou recebendo os ataques e os sites estão lentos, quando o apache simplesmente cai e da pau. Isso tudo porque? Não sei mecher no firewall, obvio. Paguei a limestone para configurarem porém desde ontem ainda estou aguardando contato, não da pra esperar a boa vontade deles infelizmente.

 

Vim aqui como ultima alternativa já que não gosto de congestionar o forum com duvidas triviais, mas agora realmente estou necessitando de ajuda da galera do forum ou de algum profissional entendido em segurança para me auxiliar de maneira paga.

 

Minhas duvidas são...

 

1 - Devo manter CSF + O firewall Fisico trabalhando?
2 - Posso deixar o CSF do jeito que vem instalado ou preciso fazer alguma configuração adicional para não atrapalhar o firewall fisico?

3 - Existe algum site, tutorial, guia, video que ensine a trabalhar com a configuração do Cisco Asa 5505? Porque já pesquisei pra dedeu e não encontro nada simples de se entender, nada simples mesmo para que eu tente saber se é ou não aquilo que eu preciso.

4 - Conhecem alguma empresa ou profissional que me possa dar esse auxilio na configuração para resolver esse problema dos ataques?

 

Agradeço desde já a ajuda.

[Paulo Zivieri]

Muitas vezes um simples tunning no apache e no CSF resolve. Recomendo que contrate um especialista para cuidar de sua estrutura. :)

[joaopaulo]

Esse é o problema, um mini DOS bem feito é dificil de controlar. Até porque o Firewall Físico vai entender que são acessos normais (se são 200 conexões com 3 requests e se ter certeza que são requisições HTTP). os Ips são Nacionais? Se forem estrangeiros, tem um método ortodoxo do Jordan na seção de tutoriais para bloquear faixas de IP de outros países.

 

O que você pode fazer é aumentar o ServerLImit/MaxClients/MaxSpareServers do Apache.

[paulovinicius]

olá, sou especialista em infraestrutura de redes em servidores de grande porte, bom primeiro peço que você copia suas regras do iptables e me mande no e-mail:[email protected] para min averiguar/alterar e também pode te auxiliar com as configurações corretas, devo lembrar a todos que sofre com ataques DDoS todas as plataformas linux possui firewall iptables basta saber configurar corretamente que ele é eficiente. e Windows também existe proteção no seu próprio firewall, e basta saber configurar corretamente.

[Ruy_Go]

olá, sou especialista em infraestrutura de redes em servidores de grande porte, bom primeiro peço que você copia suas regras do iptables e me mande no e-mail:[email protected] para min averiguar/alterar e também pode te auxiliar com as configurações corretas, devo lembrar a todos que sofre com ataques DDoS todas as plataformas linux possui firewall iptables basta saber configurar corretamente que ele é eficiente. e Windows também existe proteção no seu próprio firewall, e basta saber configurar corretamente.

Paulo,

Depende muito, trabalho na área a

Muito tempo e sei que o iptables e fino quando bem configurado, porém existem certos tipos de ataques de negação que utilizam táticas e meios onde o iptables e outros ativos como o Cisco asa entre outros são ineficientes, mas como o Sr mencionou, um iptables bem configurado resolve e muito o problema.

Sent from my iPhone using Tapatalk

[Visitante]

Infelizmente não é possível mitigar a maioria dos ataques de negação de serviço com iptables ou firewall do windows. Os dois são capazes de "mitigar" ataques de baixa escala, porém, o seu servidor pode ser levado a baixo fácilmente com ataques Layer7, Reflexões DNS, IP Spoofados disparando contra o seu apache ou até mesmo a sua porta ssh. 

 

Faça o seguinte, no momento do ataque, crie um arquivo de log do tcpdump e deixe lá salvando as informações do pacote, use o seguinte comando:

 

 

tcpdump -w ataque.pcap -i eth0

 

Após alguns segundos, dê CTRL + C e faça upload do arquivo.pcap e poste aqui, ou se possível, me envie por MP.

 

[quote

 

quando verifico as conexões existem bem uns 200 ips diferentes com 1, 2, 5 conexoes apenas congestinando.

 

 

Geralmente quando é aberta 1 conexão, é possível que seja um ataque utilizando raw sockets (IP Spoofing) (Milhares de remetentes), caso você for verificar com netstat, iftop, o mesmo pode causar até o travamento de seu servidor. 

[paulovinicius]

amigo, ataques de negação de serviço se dirige somente ao pacotes ICMP qualquer programa,comando vai usar o icmp pra obter resposta do servidor sendo assim com um numero grande de computadores atacando a rede o servidor sobrecarrega e cai porque não aguento responder solicitação ICMP aqui estão 3 regrinhas básicas que usei no servidor do tse quando um bando de hacker atacaram com negação de serviço.

 

# Generated by iptables-save v1.4.7 on Fri Oct  4 21:59:58 2013
*raw
:PREROUTING ACCEPT [71852:105487000]
:OUTPUT ACCEPT [39232:2667393]
COMMIT
# Completed on Fri Oct  4 21:59:58 2013
# Generated by iptables-save v1.4.7 on Fri Oct  4 21:59:58 2013
*mangle
:PREROUTING ACCEPT [71852:105487000]
:INPUT ACCEPT [71852:105487000]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [39232:2667393]
:POSTROUTING ACCEPT [39232:2667393]
COMMIT
# Completed on Fri Oct  4 21:59:58 2013
# Generated by iptables-save v1.4.7 on Fri Oct  4 21:59:58 2013
*filter
:FORWARD ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
# bloquear ataques icmp entrada
-A INPUT -p icmp -j DROP
# bloquear ataques icmp saida
-A OUTPUT -p icmp -j DROP
# bloquear icmp localhost
-A FORWARD -p icmp -j DROP
COMMIT
# Completed on Fri Oct  4 21:59:58 2013
 

[Robertohp]

amigo, ataques de negação de serviço se dirige somente ao pacotes ICMP qualquer programa,comando vai usar o icmp pra obter resposta do servidor sendo assim com um numero grande de computadores atacando a rede o servidor sobrecarrega e cai porque não aguento responder solicitação ICMP aqui estão 3 regrinhas básicas que usei no servidor do tse quando um bando de hacker atacaram com negação de serviço.

 

# Generated by iptables-save v1.4.7 on Fri Oct  4 21:59:58 2013

*raw

:PREROUTING ACCEPT [71852:105487000]

:OUTPUT ACCEPT [39232:2667393]

COMMIT

# Completed on Fri Oct  4 21:59:58 2013

# Generated by iptables-save v1.4.7 on Fri Oct  4 21:59:58 2013

*mangle

:PREROUTING ACCEPT [71852:105487000]

:INPUT ACCEPT [71852:105487000]

:FORWARD ACCEPT [0:0]

:OUTPUT ACCEPT [39232:2667393]

:POSTROUTING ACCEPT [39232:2667393]

COMMIT

# Completed on Fri Oct  4 21:59:58 2013

# Generated by iptables-save v1.4.7 on Fri Oct  4 21:59:58 2013

*filter

:FORWARD ACCEPT [0:0]

:INPUT ACCEPT [0:0]

:OUTPUT ACCEPT [0:0]

# bloquear ataques icmp entrada

-A INPUT -p icmp -j DROP

# bloquear ataques icmp saida

-A OUTPUT -p icmp -j DROP

# bloquear icmp localhost

-A FORWARD -p icmp -j DROP

COMMIT

# Completed on Fri Oct  4 21:59:58 2013

 

Em qual arquivo devo enviar essa regra?

VocÊ tem alguma regra de proteção contra udp e tcp flood?

[paulovinicius]

Em qual arquivo devo enviar essa regra?

VocÊ tem alguma regra de proteção contra udp e tcp flood?

 

oi essa regra você cria ela normal no terminal 

 

iptables -A INPUT -p icmp -j DROP

iptables -A OUTPUT -p icmp -j DROP

iptables -A FORWARD -p icmp -j DROP

 

eu vou montar uma regra aqui para UDP e TCP flood daqui a pouco eu posto aqui.

[paulovinicius]

aqui esta amigo só dijitar no terminal.

 

# echo "1" > /proc/sys/net/ipv4/tcp_syncookies

Então, com isso o servidor SÓ irá alocar recursos após receber o ACK com Ic e Is+1, evitando clientes "fantasmas", ou seja, aqueles que mandam um pacote SYN com um IP falso e não recebem o pacote com SYN-ACK com Ic+1 e Is.