Nesta sexta houve uma apresentação bem interessante sobre DDoS, e um slide me parece bem útil para hospedagem.

 

Mitigação Home Made

 

Iptables SynProxy
Kernel 3.13, Red Hat 7
iptables -t raw -I PREROUTING -p tcp -m tcp --syn -j CT –notrack
iptables -I INPUT -p tcp -m tcp -m conntrack –ctstate UNTRACKED
-j SYNPROXY --sack-perm --timestamp --wscale 7 --mss 1460

 

Com isso dá para reagir a ataques de IP spoofing em TCP fazendo SynProxy a algo como 3 milhões de pacotes por segundo, algo que já bem considerável. 

 

Apresentação completa em

ftp://ftp.registro.br/pub/gter/gter39/08-AtaquesDdosPanoramaMitigacaoEvolucao.pdf

 

 

 

Mas ai você continuaria vulnerável a outros ataques como UDP Flood, PoD, etc. Mesmo assim as regras são bacanas.

Mas ai você continuaria vulnerável a outros ataques como UDP Flood, PoD, etc. Mesmo assim as regras são bacanas.

Realmente é verdade, é preciso desenvolver soluções em UDP para ataques como via SSDP, NTP e DNS.

Realmente é verdade, é preciso desenvolver soluções em UDP para ataques como via SSDP, NTP e DNS.

 

Exceto se você for um operador de serviços públicos como NTP e DNS, esse tráfego é simples e fácil de filtrar. E se ele está causando saturação, a resposta a ataques volumétricos é justamente o que a apresentação sugere contratar como serviço. 

 

Há soluções desenvolvidas para quem tem que responder essas aplicações, e se baseiam em lógica de aplicação para diferenciar requisições ilegítimas. Para DNS, uma das implementações é esta aqui:

https://github.com/oskar456/xt_dns

Nesta sexta houve uma apresentação bem interessante sobre DDoS, e um slide me parece bem útil para hospedagem.

 

Mitigação Home Made

 

Iptables SynProxy

Kernel 3.13, Red Hat 7

iptables -t raw -I PREROUTING -p tcp -m tcp --syn -j CT –notrack

iptables -I INPUT -p tcp -m tcp -m conntrack –ctstate UNTRACKED

-j SYNPROXY --sack-perm --timestamp --wscale 7 --mss 1460

 

Com isso dá para reagir a ataques de IP spoofing em TCP fazendo SynProxy a algo como 3 milhões de pacotes por segundo, algo que já bem considerável. 

 

Apresentação completa em

ftp://ftp.registro.br/pub/gter/gter39/08-AtaquesDdosPanoramaMitigacaoEvolucao.pdf

 

Para mim aparece erros ao tentar no linux centOS 6

 

Bad argument `–notrack'-t raw -I PREROUTING -p tcp -m tcp --syn -j CT –notrack

Try `iptables -h' or 'iptables --help' for more information.

root@srv [~]#

 

Para mim aparece erros ao tentar no linux centOS 6

 

Bad argument `–notrack'-t raw -I PREROUTING -p tcp -m tcp --syn -j CT –notrack

Try `iptables -h' or 'iptables --help' for more information.

root@srv [~]#

 

 

Precisa do suporte ao CT Notrack compilado no kernel e no iptables. A mensagem de erro acima é por causa do iptables, mas precisa tanto no iptables quanto no kernel. 

Que kernel vem no centOS 6 ? O kernel que tem SYNPROXY é o 3.13, que no RedHat só vem a partir da versão 7.