Jump to content

Resposta a DDoS com baixo orçamento

rubensk

By rubensk
in Segurança

 Share

Recommended Posts

rubensk

rubensk

Posted
Posted

Nesta sexta houve uma apresentação bem interessante sobre DDoS, e um slide me parece bem útil para hospedagem.

 

Mitigação Home Made

 

Iptables SynProxy
Kernel 3.13, Red Hat 7
iptables -t raw -I PREROUTING -p tcp -m tcp --syn -j CT –notrack
iptables -I INPUT -p tcp -m tcp -m conntrack –ctstate UNTRACKED
-j SYNPROXY --sack-perm --timestamp --wscale 7 --mss 1460

 

Com isso dá para reagir a ataques de IP spoofing em TCP fazendo SynProxy a algo como 3 milhões de pacotes por segundo, algo que já bem considerável. 

 

Apresentação completa em

ftp://ftp.registro.br/pub/gter/gter39/08-AtaquesDdosPanoramaMitigacaoEvolucao.pdf

 

 

 

1

Wolfenstein

Wolfenstein

Posted
Posted

Mas ai você continuaria vulnerável a outros ataques como UDP Flood, PoD, etc. Mesmo assim as regras são bacanas.

Realmente é verdade, é preciso desenvolver soluções em UDP para ataques como via SSDP, NTP e DNS.

0
rubensk

rubensk

Posted
  • Author
Posted

Realmente é verdade, é preciso desenvolver soluções em UDP para ataques como via SSDP, NTP e DNS.

 

Exceto se você for um operador de serviços públicos como NTP e DNS, esse tráfego é simples e fácil de filtrar. E se ele está causando saturação, a resposta a ataques volumétricos é justamente o que a apresentação sugere contratar como serviço. 

 

Há soluções desenvolvidas para quem tem que responder essas aplicações, e se baseiam em lógica de aplicação para diferenciar requisições ilegítimas. Para DNS, uma das implementações é esta aqui:

https://github.com/oskar456/xt_dns

0
Julianodls

Julianodls

Posted
Posted

Nesta sexta houve uma apresentação bem interessante sobre DDoS, e um slide me parece bem útil para hospedagem.

 

Mitigação Home Made

 

Iptables SynProxy

Kernel 3.13, Red Hat 7

iptables -t raw -I PREROUTING -p tcp -m tcp --syn -j CT –notrack

iptables -I INPUT -p tcp -m tcp -m conntrack –ctstate UNTRACKED

-j SYNPROXY --sack-perm --timestamp --wscale 7 --mss 1460

 

Com isso dá para reagir a ataques de IP spoofing em TCP fazendo SynProxy a algo como 3 milhões de pacotes por segundo, algo que já bem considerável. 

 

Apresentação completa em

ftp://ftp.registro.br/pub/gter/gter39/08-AtaquesDdosPanoramaMitigacaoEvolucao.pdf

 

Para mim aparece erros ao tentar no linux centOS 6

 

Bad argument `–notrack'-t raw -I PREROUTING -p tcp -m tcp --syn -j CT –notrack
Try `iptables -h' or 'iptables --help' for more information.
root@srv [~]#
0
rubensk

rubensk

Posted
  • Author
Posted

 

Para mim aparece erros ao tentar no linux centOS 6

 

Bad argument `–notrack'-t raw -I PREROUTING -p tcp -m tcp --syn -j CT –notrack
Try `iptables -h' or 'iptables --help' for more information.
root@srv [~]#

 

 

Precisa do suporte ao CT Notrack compilado no kernel e no iptables. A mensagem de erro acima é por causa do iptables, mas precisa tanto no iptables quanto no kernel. 

Que kernel vem no centOS 6 ? O kernel que tem SYNPROXY é o 3.13, que no RedHat só vem a partir da versão 7. 

0

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Unfortunately, your content contains terms that we do not allow. Please edit your content to remove the highlighted words below.
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing

  • Recently Browsing   0 members

    • No registered users viewing this page.

×
×
  • Create New...

Important Information

Do you agree with our terms?

  I accept