Ataques de negação

[rodrigo286]

Olá pessoal, sou novo aqui e espero poder aprender muito com vocês e se possível compartilhar algo do meu conhecimento.

 

Eu tenho um local do lado da minha casa, bem refrigerado, APC e com fibras da VIVO.

 

Como um DC "home-made".

 

A um tempo ofereço hospedagem de jogos a um preço bem camarada.

 

E por isso tenho uma gama de bons clientes pois meu preço é bom e o suporte também e é raro dar algum tipo de problema.

 

Acontece que estou levando alguns ataques que estão me tirando o sono, lembrando que não sei diferenciar DoS de DDos, e por isso não sei que tipo estou recebendo, somente que o DDoS é mais dificil de fugir.

 

Eu tinha o link de 50 Mbps de Download e 25 Mbps de Upload, com os ataques aumentei para 100 Mbps de Download e 50 Mbps de Upload, ajudou mas agora estou levando alguns ataques mais fortes.

 

Tenho ainda mais um Upgrade para fazer que é 200 Mbps de Download e 100 Mbps de Upload, porem ai vou ter que trabalhar com VLAN 10.

 

A minha duvida é tem algo que eu possa fazer? Usar um firewall de borda, um Juniper ou Checkpoint ou algo do tipo que me ajude nessa questão?

 

Ou devo investir em um link diferenciado ou algo do tipo?

 

Ou é questão de procurar um colocation ou dedicado por que não tem solução?

 

Abraço.

[Thiago Sabaia]

O recomendado é você instalar um firewall fisico, caso não tenha condições no momento, instale pelo menos o ConfigServer Firewall caso utilize Linux, escrevi um tutorial um tempo atrás aqui no fórum de como instalar em servidores que não usam cPanel, depois de instalar você roda um comando para tentar listar o IP de onde vem o ataque.

 

Tutorial do ConfigServer Firewall 

Comando para listar IPs.

netstat -an | grep 'tcp\|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

veja o ip que estiver com muitas conexões ativas e faça o bloqueio no firewall.

Enviado de meu XT1040 usando Tapatalk

[rodrigo286]

Oi Thiago, então eu já faço isso, uso o CSF que inclusive me ajuda e muito...

 

Ele segurou sempre as porradas, mas agora não está mais 100%

 

Será que bloquear o IP daria conta de parar o ataque? Pois eles continuaria batendo na minha maquina.

 

Uma vez recebei um ataque e ataquei o IP de volta e o ataque parava, no caso quando vou olhar no log do CSF são tantos IPs que não tenho ideia do que fazer.

 

Abraço.

[Thiago Sabaia]

Oi Thiago, então eu já faço isso, uso o CSF que inclusive me ajuda e muito...

 

Ele segurou sempre as porradas, mas agora não está mais 100%

 

Será que bloquear o IP daria conta de parar o ataque? Pois eles continuaria batendo na minha maquina.

 

Uma vez recebei um ataque e ataquei o IP de volta e o ataque parava, no caso quando vou olhar no log do CSF são tantos IPs que não tenho ideia do que fazer.

 

Abraço.

 

Geralmente esses ataques são para algum página que tem algum conteudo, você bloqueando ele no firewall, ele vai para uma página apenas de texto(aquela informando que foi bloqueado) ou terá o acesso nulo. Logo o ataque não terá tanto efeito. Uma dica também é bloquear alguns países no firewall, como india, russia, china, etc.

[rodrigo286]

Então no caso, eu tenho somente serviço de jogos nessas maquinas.

 

Libero algumas portas TCP e UDP.

 

Também deixar somente o BR com acesso.

 

E por ultimo pelo que vi são vários IPs parece algo como botnet.

 

Abraço e obrigado.

[LucianoZ]

Oi Thiago, então eu já faço isso, uso o CSF que inclusive me ajuda e muito...

 

Ele segurou sempre as porradas, mas agora não está mais 100%

 

Será que bloquear o IP daria conta de parar o ataque? Pois eles continuaria batendo na minha maquina.

 

Uma vez recebei um ataque e ataquei o IP de volta e o ataque parava, no caso quando vou olhar no log do CSF são tantos IPs que não tenho ideia do que fazer.

 

Abraço.

 

se for só jogadores brasileiros, mete um bloqueio nos ips internacional, problema resolvido.

Procura por CC_DENY, não é a melhor escolha mais resolve de primeira instancia. 

[rodrigo286]

Entendi no caso hoje uso:

 

CC_ALLOW_FILTER = "BR"

 

Somente isso não adianta? tenho que em conjunto usar o:

 

CC_DENY = "CN,PK,NG,BD,IR,KZ,BY,US,GB,DE"

 

Correto?

 

Abraço e muito obrigado.

[lyra]

se for só jogadores brasileiros, mete um bloqueio nos ips internacional, problema resolvido.

Procura por CC_DENY, não é a melhor escolha mais resolve de primeira instancia. 

 

A lógica é que o tráfego vai continuar saturando o link dele.. ou não?

[rodrigo286]

A lógica é que o tráfego vai continuar saturando o link dele.. ou não?

 

Essa é minha duvida, será que desse modo o ataque sature menos meu link?

 

Abraço.

[lyra]

Essa é minha duvida, será que desse modo o ataque sature menos meu link?

 

Abraço.

 

Bom, não há como comprovar sem por em prática.

 

Aqui na empresa temos um link apenas para receber ataques. Todos os ranges de fora do Brasil entram pelo nosso tunel, já quando o problema vem do Brasil, direciono ao PTT e fico despreocupado.

 

Você faz BGP no Vivo Fibra?

Editado Março 9, 2015 por edvan
Fora das regras... palavrão!