Ir para conteúdo
  • Cadastre-se

Resposta a DDoS com baixo orçamento

rubensk

Por rubensk
em Segurança

 Compartilhar

Posts Recomendados

rubensk

rubensk

Postado
Postado

Nesta sexta houve uma apresentação bem interessante sobre DDoS, e um slide me parece bem útil para hospedagem.

 

Mitigação Home Made

 

Iptables SynProxy
Kernel 3.13, Red Hat 7
iptables -t raw -I PREROUTING -p tcp -m tcp --syn -j CT –notrack
iptables -I INPUT -p tcp -m tcp -m conntrack –ctstate UNTRACKED
-j SYNPROXY --sack-perm --timestamp --wscale 7 --mss 1460

 

Com isso dá para reagir a ataques de IP spoofing em TCP fazendo SynProxy a algo como 3 milhões de pacotes por segundo, algo que já bem considerável. 

 

Apresentação completa em

ftp://ftp.registro.br/pub/gter/gter39/08-AtaquesDdosPanoramaMitigacaoEvolucao.pdf

 

 

 

1
Link para o comentário
Compartilhar em outros sites
rubensk

rubensk

Postado
  • Autor
Postado

Realmente é verdade, é preciso desenvolver soluções em UDP para ataques como via SSDP, NTP e DNS.

 

Exceto se você for um operador de serviços públicos como NTP e DNS, esse tráfego é simples e fácil de filtrar. E se ele está causando saturação, a resposta a ataques volumétricos é justamente o que a apresentação sugere contratar como serviço. 

 

Há soluções desenvolvidas para quem tem que responder essas aplicações, e se baseiam em lógica de aplicação para diferenciar requisições ilegítimas. Para DNS, uma das implementações é esta aqui:

https://github.com/oskar456/xt_dns

0
Link para o comentário
Compartilhar em outros sites
Julianodls

Julianodls

Postado
Postado

Nesta sexta houve uma apresentação bem interessante sobre DDoS, e um slide me parece bem útil para hospedagem.

 

Mitigação Home Made

 

Iptables SynProxy

Kernel 3.13, Red Hat 7

iptables -t raw -I PREROUTING -p tcp -m tcp --syn -j CT –notrack

iptables -I INPUT -p tcp -m tcp -m conntrack –ctstate UNTRACKED

-j SYNPROXY --sack-perm --timestamp --wscale 7 --mss 1460

 

Com isso dá para reagir a ataques de IP spoofing em TCP fazendo SynProxy a algo como 3 milhões de pacotes por segundo, algo que já bem considerável. 

 

Apresentação completa em

ftp://ftp.registro.br/pub/gter/gter39/08-AtaquesDdosPanoramaMitigacaoEvolucao.pdf

 

Para mim aparece erros ao tentar no linux centOS 6

 

Bad argument `–notrack'-t raw -I PREROUTING -p tcp -m tcp --syn -j CT –notrack
Try `iptables -h' or 'iptables --help' for more information.
root@srv [~]#
0
Link para o comentário
Compartilhar em outros sites
rubensk

rubensk

Postado
  • Autor
Postado

 

Para mim aparece erros ao tentar no linux centOS 6

 

Bad argument `–notrack'-t raw -I PREROUTING -p tcp -m tcp --syn -j CT –notrack
Try `iptables -h' or 'iptables --help' for more information.
root@srv [~]#

 

 

Precisa do suporte ao CT Notrack compilado no kernel e no iptables. A mensagem de erro acima é por causa do iptables, mas precisa tanto no iptables quanto no kernel. 

Que kernel vem no centOS 6 ? O kernel que tem SYNPROXY é o 3.13, que no RedHat só vem a partir da versão 7. 

0
Link para o comentário
Compartilhar em outros sites

Participe da conversa

Você pode postar agora e se cadastrar mais tarde. Se você tem uma conta, faça o login para postar com sua conta.

Visitante
Infelizmente, seu conteúdo contém termos que não são permitimos. Edite seu conteúdo para remover as palavras destacadas abaixo.
Responder

×   Você colou conteúdo com formatação.   Remover formatação

  Apenas 75 emojis são permitidos.

×   Seu link foi automaticamente incorporado.   Mostrar como link

×   Seu conteúdo anterior foi restaurado.   Limpar o editor

×   Não é possível colar imagens diretamente. Carregar ou inserir imagens do URL.

×
 Compartilhar
Ir para a lista de tópicos

  • Quem Está Navegando   0 membros estão online

    • Nenhum usuário registrado visualizando esta página.
×
×
  • Criar Novo...

Informação Importante

Concorda com os nossos termos?

  I accept