rubensk #1 Postado Maio 30, 2015 Nesta sexta houve uma apresentação bem interessante sobre DDoS, e um slide me parece bem útil para hospedagem. Mitigação Home Made Iptables SynProxy Kernel 3.13, Red Hat 7 iptables -t raw -I PREROUTING -p tcp -m tcp --syn -j CT –notrack iptables -I INPUT -p tcp -m tcp -m conntrack –ctstate UNTRACKED -j SYNPROXY --sack-perm --timestamp --wscale 7 --mss 1460 Com isso dá para reagir a ataques de IP spoofing em TCP fazendo SynProxy a algo como 3 milhões de pacotes por segundo, algo que já bem considerável. Apresentação completa em ftp://ftp.registro.br/pub/gter/gter39/08-AtaquesDdosPanoramaMitigacaoEvolucao.pdf 1 Citar Compartilhar este post Link para o post Compartilhar em outros sites
Pedro Sodre #2 Postado Maio 31, 2015 Mas ai você continuaria vulnerável a outros ataques como UDP Flood, PoD, etc. Mesmo assim as regras são bacanas. Citar Ocultar assinatura de Pedro Sodre Ocultar todas assinaturas Recomendo: MobaXterm Compartilhar este post Link para o post Compartilhar em outros sites
Wolfenstein #3 Postado Maio 31, 2015 Mas ai você continuaria vulnerável a outros ataques como UDP Flood, PoD, etc. Mesmo assim as regras são bacanas. Realmente é verdade, é preciso desenvolver soluções em UDP para ataques como via SSDP, NTP e DNS. Citar Compartilhar este post Link para o post Compartilhar em outros sites
rubensk Autor do tópico #4 Postado Maio 31, 2015 Realmente é verdade, é preciso desenvolver soluções em UDP para ataques como via SSDP, NTP e DNS. Exceto se você for um operador de serviços públicos como NTP e DNS, esse tráfego é simples e fácil de filtrar. E se ele está causando saturação, a resposta a ataques volumétricos é justamente o que a apresentação sugere contratar como serviço. Há soluções desenvolvidas para quem tem que responder essas aplicações, e se baseiam em lógica de aplicação para diferenciar requisições ilegítimas. Para DNS, uma das implementações é esta aqui: https://github.com/oskar456/xt_dns Citar Compartilhar este post Link para o post Compartilhar em outros sites
Julianodls #5 Postado Maio 31, 2015 Nesta sexta houve uma apresentação bem interessante sobre DDoS, e um slide me parece bem útil para hospedagem. Mitigação Home Made Iptables SynProxy Kernel 3.13, Red Hat 7 iptables -t raw -I PREROUTING -p tcp -m tcp --syn -j CT –notrack iptables -I INPUT -p tcp -m tcp -m conntrack –ctstate UNTRACKED -j SYNPROXY --sack-perm --timestamp --wscale 7 --mss 1460 Com isso dá para reagir a ataques de IP spoofing em TCP fazendo SynProxy a algo como 3 milhões de pacotes por segundo, algo que já bem considerável. Apresentação completa em ftp://ftp.registro.br/pub/gter/gter39/08-AtaquesDdosPanoramaMitigacaoEvolucao.pdf Para mim aparece erros ao tentar no linux centOS 6 Bad argument `–notrack'-t raw -I PREROUTING -p tcp -m tcp --syn -j CT –notrack Try `iptables -h' or 'iptables --help' for more information. root@srv [~]# Citar Compartilhar este post Link para o post Compartilhar em outros sites
rubensk Autor do tópico #6 Postado Maio 31, 2015 Para mim aparece erros ao tentar no linux centOS 6 Bad argument `–notrack'-t raw -I PREROUTING -p tcp -m tcp --syn -j CT –notrack Try `iptables -h' or 'iptables --help' for more information. root@srv [~]# Precisa do suporte ao CT Notrack compilado no kernel e no iptables. A mensagem de erro acima é por causa do iptables, mas precisa tanto no iptables quanto no kernel. Que kernel vem no centOS 6 ? O kernel que tem SYNPROXY é o 3.13, que no RedHat só vem a partir da versão 7. Citar Compartilhar este post Link para o post Compartilhar em outros sites
