rodrigo286 Posted March 9, 2015 Share Posted March 9, 2015 Olá pessoal, sou novo aqui e espero poder aprender muito com vocês e se possível compartilhar algo do meu conhecimento. Eu tenho um local do lado da minha casa, bem refrigerado, APC e com fibras da VIVO. Como um DC "home-made". A um tempo ofereço hospedagem de jogos a um preço bem camarada. E por isso tenho uma gama de bons clientes pois meu preço é bom e o suporte também e é raro dar algum tipo de problema. Acontece que estou levando alguns ataques que estão me tirando o sono, lembrando que não sei diferenciar DoS de DDos, e por isso não sei que tipo estou recebendo, somente que o DDoS é mais dificil de fugir. Eu tinha o link de 50 Mbps de Download e 25 Mbps de Upload, com os ataques aumentei para 100 Mbps de Download e 50 Mbps de Upload, ajudou mas agora estou levando alguns ataques mais fortes. Tenho ainda mais um Upgrade para fazer que é 200 Mbps de Download e 100 Mbps de Upload, porem ai vou ter que trabalhar com VLAN 10. A minha duvida é tem algo que eu possa fazer? Usar um firewall de borda, um Juniper ou Checkpoint ou algo do tipo que me ajude nessa questão? Ou devo investir em um link diferenciado ou algo do tipo? Ou é questão de procurar um colocation ou dedicado por que não tem solução? Abraço. 0 Quote Link to comment Share on other sites More sharing options...
Thiago Sabaia Posted March 9, 2015 Share Posted March 9, 2015 O recomendado é você instalar um firewall fisico, caso não tenha condições no momento, instale pelo menos o ConfigServer Firewall caso utilize Linux, escrevi um tutorial um tempo atrás aqui no fórum de como instalar em servidores que não usam cPanel, depois de instalar você roda um comando para tentar listar o IP de onde vem o ataque. Tutorial do ConfigServer Firewall Comando para listar IPs. netstat -an | grep 'tcp\|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n veja o ip que estiver com muitas conexões ativas e faça o bloqueio no firewall. Enviado de meu XT1040 usando Tapatalk 0 Quote thiagosabaia.net Link to comment Share on other sites More sharing options...
rodrigo286 Posted March 9, 2015 Author Share Posted March 9, 2015 Oi Thiago, então eu já faço isso, uso o CSF que inclusive me ajuda e muito... Ele segurou sempre as porradas, mas agora não está mais 100% Será que bloquear o IP daria conta de parar o ataque? Pois eles continuaria batendo na minha maquina. Uma vez recebei um ataque e ataquei o IP de volta e o ataque parava, no caso quando vou olhar no log do CSF são tantos IPs que não tenho ideia do que fazer. Abraço. 0 Quote Link to comment Share on other sites More sharing options...
Thiago Sabaia Posted March 9, 2015 Share Posted March 9, 2015 Oi Thiago, então eu já faço isso, uso o CSF que inclusive me ajuda e muito... Ele segurou sempre as porradas, mas agora não está mais 100% Será que bloquear o IP daria conta de parar o ataque? Pois eles continuaria batendo na minha maquina. Uma vez recebei um ataque e ataquei o IP de volta e o ataque parava, no caso quando vou olhar no log do CSF são tantos IPs que não tenho ideia do que fazer. Abraço. Geralmente esses ataques são para algum página que tem algum conteudo, você bloqueando ele no firewall, ele vai para uma página apenas de texto(aquela informando que foi bloqueado) ou terá o acesso nulo. Logo o ataque não terá tanto efeito. Uma dica também é bloquear alguns países no firewall, como india, russia, china, etc. 0 Quote thiagosabaia.net Link to comment Share on other sites More sharing options...
rodrigo286 Posted March 9, 2015 Author Share Posted March 9, 2015 Então no caso, eu tenho somente serviço de jogos nessas maquinas. Libero algumas portas TCP e UDP. Também deixar somente o BR com acesso. E por ultimo pelo que vi são vários IPs parece algo como botnet. Abraço e obrigado. 0 Quote Link to comment Share on other sites More sharing options...
LucianoZ Posted March 9, 2015 Share Posted March 9, 2015 Oi Thiago, então eu já faço isso, uso o CSF que inclusive me ajuda e muito... Ele segurou sempre as porradas, mas agora não está mais 100% Será que bloquear o IP daria conta de parar o ataque? Pois eles continuaria batendo na minha maquina. Uma vez recebei um ataque e ataquei o IP de volta e o ataque parava, no caso quando vou olhar no log do CSF são tantos IPs que não tenho ideia do que fazer. Abraço. se for só jogadores brasileiros, mete um bloqueio nos ips internacional, problema resolvido. Procura por CC_DENY, não é a melhor escolha mais resolve de primeira instancia. 0 Quote Chamou? Estamos ai! Link to comment Share on other sites More sharing options...
rodrigo286 Posted March 9, 2015 Author Share Posted March 9, 2015 Entendi no caso hoje uso: CC_ALLOW_FILTER = "BR" Somente isso não adianta? tenho que em conjunto usar o: CC_DENY = "CN,PK,NG,BD,IR,KZ,BY,US,GB,DE" Correto? Abraço e muito obrigado. 0 Quote Link to comment Share on other sites More sharing options...
lyra Posted March 9, 2015 Share Posted March 9, 2015 se for só jogadores brasileiros, mete um bloqueio nos ips internacional, problema resolvido. Procura por CC_DENY, não é a melhor escolha mais resolve de primeira instancia. A lógica é que o tráfego vai continuar saturando o link dele.. ou não? 0 Quote Link to comment Share on other sites More sharing options...
rodrigo286 Posted March 9, 2015 Author Share Posted March 9, 2015 A lógica é que o tráfego vai continuar saturando o link dele.. ou não? Essa é minha duvida, será que desse modo o ataque sature menos meu link? Abraço. 0 Quote Link to comment Share on other sites More sharing options...
lyra Posted March 9, 2015 Share Posted March 9, 2015 (edited) Essa é minha duvida, será que desse modo o ataque sature menos meu link? Abraço. Bom, não há como comprovar sem por em prática. Aqui na empresa temos um link apenas para receber ataques. Todos os ranges de fora do Brasil entram pelo nosso tunel, já quando o problema vem do Brasil, direciono ao PTT e fico despreocupado. Você faz BGP no Vivo Fibra? Edited March 9, 2015 by edvan Fora das regras... palavrão! 0 Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.