Bloquear todos os paises csf

[wasaade]

Olá Pessoal,

 

Seguinte, estamos recebendo muitos ataques, tentativas de force brute, ddos, ataque http etc... Mesmo com todos os procedimentos cabíveis está complicado, em cada dedicado temos média de 300 clientes de hospedagem de sites, e todo dia mais de 150 ips são banidos, isso em todos os 14 dedicados... A única solução que achamos que pode resolver definitivamente é bloquear totalmente IPS estrangeiros e deixar apenas os BR liberado pelo bloqueio de paises, e claro, liberar ranges da google, ovh, ec...

 

Alguém já fez isso? Teve alguma experiencia parecida? Sabe quais problemas podemos ter?

[Otavio]

@Wesley Saade o caso é isso não resolve muita coisa mais nos dias atuais a range de ips brs sujos destinados para estes ataques é grande 

Resumindo vai sanar momentaneamente se o atacante ver que os ips brasil estão liberados vai começar a usar os ips nacionais 

O mais certo é contratar um a proteção ddos externa e aplicar em todo seu dedicado trocando o ip principal do servidor e o ip dedicado de alguns clientes que possam estar recebendo o ataque.

 

 

Sucuri / Staminus / Cloudflare (plano Pago)

 

[Claudio]

Firewall Configuration >> CC_DENY = (Informe os países)
 

Aqui usamos os países: RU,IR,MY,CH,CZ,FI,IC,LT,MU,MT

Lista do código dos países: https://pt.wikipedia.org/wiki/Lista_de_códigos_FIPS_dos_países

[chuvadenovembro]

Se você vai restringir o acesso pelo csf, pode se preparar para aumento de carga do servidor...

Sobre as tentativas de ataque a força bruta, sinceramente é normal, desde que não comprometa a carga, sempre vai existir...

Recomendo que mantenha os acessos com senhas seguras, backups revisados e acesso ao servidor também com segurança...

[Claudio]

1 hora atrás, chuvadenovembro disse:

Se você vai restringir o acesso pelo csf, pode se preparar para aumento de carga do servidor...

Sobre as tentativas de ataque a força bruta, sinceramente é normal, desde que não comprometa a carga, sempre vai existir...

Recomendo que mantenha os acessos com senhas seguras, backups revisados e acesso ao servidor também com segurança...

Eu não tive qualquer problema com bloquear acesso de países de fora. Pelo contrário isso tem resolvido a vários meses.

[asih3872gfuajs]

Usa o ipset, faz um bloqueio de todo o tráfego, e adiciona uma whitelist pelos IPs do brasil. É a melhor forma de fazer esse bloqueio. Se você tentar bloquear tudo, vai ter tanto IP para checar que a conexão vai ficar absurdamente lenta, por isso a melhor forma é usar uma whitelist, e bloquear o resto, são menos ips...

[RobertSP]

Cabível processo se bloquear países sem deixar claro no contrato. Pior ainda querer bloquear o mundo e achar que nenhum cliente sairá prejudicado.

Fora que usar csf não é a melhor solução, como disseram, só aumenta a carga desse tráfego de fora a cada request.

[asih3872gfuajs]

Vamos falar de um caso em que tive que fazer isso... Trabalho com anti-ddos há algum tempo, e também em vários casos de ataques layer 7 grandes, como JSBypass.

Para se bloquear um ataque layer7, basicamente, você dropa todo mundo que não tiver javascript habilitado no browser. Os ataques Layer 7 normalmente são por reflexão, e nesses casos, não tem javascript habilitado. Isso resolve 80%, para não dizer quase 90% dos ataques layer7. Aí existem meia dúzia de delinquentes, que sabem, e tem infra., para fazer um ataque chamado JSBypass, ele ultrapassa esse bloqueio, justamente porque as requisições são feitas a partir de botnets com javascript habilitado. Aí, feeeerrou-se. Existem formas de mitigar JSBypass, mas não são nada fáceis, e você precisa de uma appliance dedicada para esse tipo de coisa. Ou seja, gasto pra @!$%#@!@ em hardware. Só via software, melhor desistir, nesses casos, hahaha. Nem cloudflare, nem nada segura.

Tenho uma comunidade open-source hospedada conosco, e eles são 100% sem fins lucrativos, mas tem mais de 50 mil visitantes mensais. É algo muito grande, e que gera um custo bem alto, mas não dá porcaria de retorno nenhum. Então, a parte da appliance, embora relativamente viável, nesse caso, não teria budget suficiente para esse cliente se manter numa proteção dessas. Então, o que fizemos foi subir uma ACL com bloqueio de todo tráfego, e liberar o tráfego para uma whitelist dos IPs no Brasil somado de alguns ips chaves, como os do google, bing, e outros que achamos necessário. Resolveu 98% dos ataques com layer 7, mas em troca, só entra brasileiro... Não teve nenhum problema majoritário, não afetou o crawl do google, nem nada do tipo.

Mas mesmo assim, 1% do tráfego é brasileiro, e tive que adicionar um script de contagem de ips no servidor que hospeda a comunidade. O script verifica a quantidade de conexões simultâneas no apache de cada IP, e dropa por 60s os IPs com mais de X conexões.

 

Essa é uma alternativa barata e fácil de se fazer, e relativamente eficaz. Mas considere que nesse caso, foi um projeto open-source, sem fins lucrativos, e não o site de uma empresa, e muito menos um servidor de clientes inteiros. Num servidor com vários clientes, podem ocorrer vários problemas: o cliente pode ter conexões com ips de fora do brasil, pode ter visitantes de fora, enfim, infinitas possibilidades...

Outra dica, adicionar um cache no conteúdo estático via ngnix, como o ENGINTRON, ajuda (ajuda, não faz milagre).

[Visitante]

Em 30/03/2017 em 12:42, Wesley Saade disse:

todo dia mais de 150 ips são banidos, isso em todos os 14 dedicados...

Completamente normal essa quantidade de bloqueios, somando todos esses servidores. A grande maioria deve ser bloqueios de brute-force no seu SSH, então mude a porta dele para algo diferente e só aí já vai ter uma grande redução.