Clicky

Jump to content
  • Sign Up
Sign in to follow this  
rubensk

Resposta a DDoS com baixo orçamento

Recommended Posts

Nesta sexta houve uma apresentação bem interessante sobre DDoS, e um slide me parece bem útil para hospedagem.

 

Mitigação Home Made

 

Iptables SynProxy
Kernel 3.13, Red Hat 7
iptables -t raw -I PREROUTING -p tcp -m tcp --syn -j CT –notrack
iptables -I INPUT -p tcp -m tcp -m conntrack –ctstate UNTRACKED
-j SYNPROXY --sack-perm --timestamp --wscale 7 --mss 1460

 

Com isso dá para reagir a ataques de IP spoofing em TCP fazendo SynProxy a algo como 3 milhões de pacotes por segundo, algo que já bem considerável. 

 

Apresentação completa em

ftp://ftp.registro.br/pub/gter/gter39/08-AtaquesDdosPanoramaMitigacaoEvolucao.pdf

 

 

 

  • Like 1

Share this post


Link to post
Share on other sites

Mas ai você continuaria vulnerável a outros ataques como UDP Flood, PoD, etc. Mesmo assim as regras são bacanas.

Realmente é verdade, é preciso desenvolver soluções em UDP para ataques como via SSDP, NTP e DNS.

Share this post


Link to post
Share on other sites

Realmente é verdade, é preciso desenvolver soluções em UDP para ataques como via SSDP, NTP e DNS.

 

Exceto se você for um operador de serviços públicos como NTP e DNS, esse tráfego é simples e fácil de filtrar. E se ele está causando saturação, a resposta a ataques volumétricos é justamente o que a apresentação sugere contratar como serviço. 

 

Há soluções desenvolvidas para quem tem que responder essas aplicações, e se baseiam em lógica de aplicação para diferenciar requisições ilegítimas. Para DNS, uma das implementações é esta aqui:

https://github.com/oskar456/xt_dns

Share this post


Link to post
Share on other sites

Nesta sexta houve uma apresentação bem interessante sobre DDoS, e um slide me parece bem útil para hospedagem.

 

Mitigação Home Made

 

Iptables SynProxy

Kernel 3.13, Red Hat 7

iptables -t raw -I PREROUTING -p tcp -m tcp --syn -j CT –notrack

iptables -I INPUT -p tcp -m tcp -m conntrack –ctstate UNTRACKED

-j SYNPROXY --sack-perm --timestamp --wscale 7 --mss 1460

 

Com isso dá para reagir a ataques de IP spoofing em TCP fazendo SynProxy a algo como 3 milhões de pacotes por segundo, algo que já bem considerável. 

 

Apresentação completa em

ftp://ftp.registro.br/pub/gter/gter39/08-AtaquesDdosPanoramaMitigacaoEvolucao.pdf

 

Para mim aparece erros ao tentar no linux centOS 6

 

Bad argument `–notrack'-t raw -I PREROUTING -p tcp -m tcp --syn -j CT –notrack
Try `iptables -h' or 'iptables --help' for more information.
root@srv [~]#

Share this post


Link to post
Share on other sites

 

Para mim aparece erros ao tentar no linux centOS 6

 

Bad argument `–notrack'-t raw -I PREROUTING -p tcp -m tcp --syn -j CT –notrack
Try `iptables -h' or 'iptables --help' for more information.
root@srv [~]#

 

 

Precisa do suporte ao CT Notrack compilado no kernel e no iptables. A mensagem de erro acima é por causa do iptables, mas precisa tanto no iptables quanto no kernel. 

Que kernel vem no centOS 6 ? O kernel que tem SYNPROXY é o 3.13, que no RedHat só vem a partir da versão 7. 

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.


  • Chatbox

    Load More
    You don't have permission to chat.


×
×
  • Create New...