Clicky

Ir para conteúdo

rubensk

Resposta a DDoS com baixo orçamento

Posts Recomendados

Nesta sexta houve uma apresentação bem interessante sobre DDoS, e um slide me parece bem útil para hospedagem.

 

Mitigação Home Made

 

Iptables SynProxy
Kernel 3.13, Red Hat 7
iptables -t raw -I PREROUTING -p tcp -m tcp --syn -j CT –notrack
iptables -I INPUT -p tcp -m tcp -m conntrack –ctstate UNTRACKED
-j SYNPROXY --sack-perm --timestamp --wscale 7 --mss 1460

 

Com isso dá para reagir a ataques de IP spoofing em TCP fazendo SynProxy a algo como 3 milhões de pacotes por segundo, algo que já bem considerável. 

 

Apresentação completa em

ftp://ftp.registro.br/pub/gter/gter39/08-AtaquesDdosPanoramaMitigacaoEvolucao.pdf

 

 

 

  • Gostei! 1

Compartilhar este post


Link para o post
Compartilhar em outros sites

Mas ai você continuaria vulnerável a outros ataques como UDP Flood, PoD, etc. Mesmo assim as regras são bacanas.

Realmente é verdade, é preciso desenvolver soluções em UDP para ataques como via SSDP, NTP e DNS.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Realmente é verdade, é preciso desenvolver soluções em UDP para ataques como via SSDP, NTP e DNS.

 

Exceto se você for um operador de serviços públicos como NTP e DNS, esse tráfego é simples e fácil de filtrar. E se ele está causando saturação, a resposta a ataques volumétricos é justamente o que a apresentação sugere contratar como serviço. 

 

Há soluções desenvolvidas para quem tem que responder essas aplicações, e se baseiam em lógica de aplicação para diferenciar requisições ilegítimas. Para DNS, uma das implementações é esta aqui:

https://github.com/oskar456/xt_dns

Compartilhar este post


Link para o post
Compartilhar em outros sites

Nesta sexta houve uma apresentação bem interessante sobre DDoS, e um slide me parece bem útil para hospedagem.

 

Mitigação Home Made

 

Iptables SynProxy

Kernel 3.13, Red Hat 7

iptables -t raw -I PREROUTING -p tcp -m tcp --syn -j CT –notrack

iptables -I INPUT -p tcp -m tcp -m conntrack –ctstate UNTRACKED

-j SYNPROXY --sack-perm --timestamp --wscale 7 --mss 1460

 

Com isso dá para reagir a ataques de IP spoofing em TCP fazendo SynProxy a algo como 3 milhões de pacotes por segundo, algo que já bem considerável. 

 

Apresentação completa em

ftp://ftp.registro.br/pub/gter/gter39/08-AtaquesDdosPanoramaMitigacaoEvolucao.pdf

 

Para mim aparece erros ao tentar no linux centOS 6

 

Bad argument `–notrack'-t raw -I PREROUTING -p tcp -m tcp --syn -j CT –notrack
Try `iptables -h' or 'iptables --help' for more information.
root@srv [~]#

Compartilhar este post


Link para o post
Compartilhar em outros sites

 

Para mim aparece erros ao tentar no linux centOS 6

 

Bad argument `–notrack'-t raw -I PREROUTING -p tcp -m tcp --syn -j CT –notrack
Try `iptables -h' or 'iptables --help' for more information.
root@srv [~]#

 

 

Precisa do suporte ao CT Notrack compilado no kernel e no iptables. A mensagem de erro acima é por causa do iptables, mas precisa tanto no iptables quanto no kernel. 

Que kernel vem no centOS 6 ? O kernel que tem SYNPROXY é o 3.13, que no RedHat só vem a partir da versão 7. 

Compartilhar este post


Link para o post
Compartilhar em outros sites

Participe da conversa

Você pode postar agora e se cadastrar mais tarde. Se você tem uma conta, faça o login para postar com sua conta.

Visitante
Responder

×   Você colou conteúdo com formatação.   Remover formatação

  Apenas 75 emojis são permitidos.

×   Seu link foi automaticamente incorporado.   Mostrar como link

×   Seu conteúdo anterior foi restaurado.   Limpar o editor

×   Não é possível colar imagens diretamente. Carregar ou inserir imagens do URL.


  • Quem Está Navegando   0 membros estão online

    Nenhum usuário registrado visualizando esta página.



×
×
  • Criar Novo...