rubensk Posted May 30, 2015 Share Posted May 30, 2015 Nesta sexta houve uma apresentação bem interessante sobre DDoS, e um slide me parece bem útil para hospedagem. Mitigação Home Made Iptables SynProxy Kernel 3.13, Red Hat 7 iptables -t raw -I PREROUTING -p tcp -m tcp --syn -j CT –notrack iptables -I INPUT -p tcp -m tcp -m conntrack –ctstate UNTRACKED -j SYNPROXY --sack-perm --timestamp --wscale 7 --mss 1460 Com isso dá para reagir a ataques de IP spoofing em TCP fazendo SynProxy a algo como 3 milhões de pacotes por segundo, algo que já bem considerável. Apresentação completa em ftp://ftp.registro.br/pub/gter/gter39/08-AtaquesDdosPanoramaMitigacaoEvolucao.pdf 1 Quote Link to comment Share on other sites More sharing options...
Pedro Sodre Posted May 31, 2015 Share Posted May 31, 2015 Mas ai você continuaria vulnerável a outros ataques como UDP Flood, PoD, etc. Mesmo assim as regras são bacanas. 0 Quote Link to comment Share on other sites More sharing options...
Wolfenstein Posted May 31, 2015 Share Posted May 31, 2015 Mas ai você continuaria vulnerável a outros ataques como UDP Flood, PoD, etc. Mesmo assim as regras são bacanas. Realmente é verdade, é preciso desenvolver soluções em UDP para ataques como via SSDP, NTP e DNS. 0 Quote Link to comment Share on other sites More sharing options...
rubensk Posted May 31, 2015 Author Share Posted May 31, 2015 Realmente é verdade, é preciso desenvolver soluções em UDP para ataques como via SSDP, NTP e DNS. Exceto se você for um operador de serviços públicos como NTP e DNS, esse tráfego é simples e fácil de filtrar. E se ele está causando saturação, a resposta a ataques volumétricos é justamente o que a apresentação sugere contratar como serviço. Há soluções desenvolvidas para quem tem que responder essas aplicações, e se baseiam em lógica de aplicação para diferenciar requisições ilegítimas. Para DNS, uma das implementações é esta aqui: https://github.com/oskar456/xt_dns 0 Quote Link to comment Share on other sites More sharing options...
Julianodls Posted May 31, 2015 Share Posted May 31, 2015 Nesta sexta houve uma apresentação bem interessante sobre DDoS, e um slide me parece bem útil para hospedagem. Mitigação Home Made Iptables SynProxy Kernel 3.13, Red Hat 7 iptables -t raw -I PREROUTING -p tcp -m tcp --syn -j CT –notrack iptables -I INPUT -p tcp -m tcp -m conntrack –ctstate UNTRACKED -j SYNPROXY --sack-perm --timestamp --wscale 7 --mss 1460 Com isso dá para reagir a ataques de IP spoofing em TCP fazendo SynProxy a algo como 3 milhões de pacotes por segundo, algo que já bem considerável. Apresentação completa em ftp://ftp.registro.br/pub/gter/gter39/08-AtaquesDdosPanoramaMitigacaoEvolucao.pdf Para mim aparece erros ao tentar no linux centOS 6 Bad argument `–notrack'-t raw -I PREROUTING -p tcp -m tcp --syn -j CT –notrack Try `iptables -h' or 'iptables --help' for more information. root@srv [~]# 0 Quote Link to comment Share on other sites More sharing options...
rubensk Posted May 31, 2015 Author Share Posted May 31, 2015 Para mim aparece erros ao tentar no linux centOS 6 Bad argument `–notrack'-t raw -I PREROUTING -p tcp -m tcp --syn -j CT –notrack Try `iptables -h' or 'iptables --help' for more information. root@srv [~]# Precisa do suporte ao CT Notrack compilado no kernel e no iptables. A mensagem de erro acima é por causa do iptables, mas precisa tanto no iptables quanto no kernel. Que kernel vem no centOS 6 ? O kernel que tem SYNPROXY é o 3.13, que no RedHat só vem a partir da versão 7. 0 Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.