Jump to content

Recebendo Ataque Udp Flood.


Igor Barros

Recommended Posts

Pessoal, boa tarde.

Estou tendo alguns problemas com UDP Flood e eu gostaria de uma ajuda de vocês.

Atualmente estou usando CSF + DDoS Deflate (não ajuda em nada) + LFD.

Cheguei a ver o Snort, mas não consegui informações necessárias para instalar e configurar ele no linux.

Atualizar o iptables para a versão mais nova (1.4.13) seria uma boa?

Minha versão atual é a 1.3.5, mas não acho repositórios para instalar a versão 1.4.13 pelo yum.

Alguém tem algum em mente?

Deixei em anexo alguns pacotes capturados para que vocês possam visualizar com o WireShark (http://www.wireshark.org/).

Fico no aguardo de uma ajuda de vocês.

Abraços,

Igor Barros.

Link to comment
Share on other sites

Qual seu sistema operacional? Qual seu Processador? Quanto de Link você tem?

CentOS virtualizado com o VMware ESXi 4.1 (administrado por mim).

Processador Xeon E3-1230 4x3.2Ghz

1Gbps de link.

Isso ajuda em que? As definições de proteção não são as mesmas para todos os Sistemas/Hardwares ?

Link to comment
Share on other sites

CentOS virtualizado com o VMware ESXi 4.1 (administrado por mim).

Processador Xeon E3-1230 4x3.2Ghz

1Gbps de link.

Isso ajuda em que? As definições de proteção não são as mesmas para todos os Sistemas/Hardwares ?

Olá, geralmente quando um servidor é alvo de um ataque DDoS ou DoS, a kernel é um item fundamental para o desempenho e estabilidade do servidor, veja as diferenças entre o linux e o windows.

Explique melhor sobre o ataque, qual é a magnitude? que tipo de ataque está sofrendo? é UDP Flood de altos pacotes ou pacotes spoofing? a CPU eleva muito? Responda essas perguntas, irei tentar lhe ajudar :)

Link to comment
Share on other sites

Olá, geralmente quando um servidor é alvo de um ataque DDoS ou DoS, a kernel é um item fundamental para o desempenho e estabilidade do servidor, veja as diferenças entre o linux e o windows.

Explique melhor sobre o ataque, qual é a magnitude? que tipo de ataque está sofrendo? é UDP Flood de altos pacotes ou pacotes spoofing? a CPU eleva muito? Responda essas perguntas, irei tentar lhe ajudar :)

Alguns pacotes capturados com o tcpdump.

http://igorbarros.com.br/pacotes.zip

Resultado uname -a:

Linux GameTalk-SRV2 2.6.18-308.1.1.el5 #1 SMP Wed Mar 7 04:16:51 EST 2012 x86_64 x86_64 x86_64 GNU/Linux

Isso te ajuda? :)

Link to comment
Share on other sites

Aparentemente isso é um IP spoofado, apenas da range 201, é bem dificil encontrar uma solução para IP spoofing, até porque digite top ou htop e veja o consumo de sua CPU, evite o máximo salvar qualquer log ou algum processo de muitas timer(atualizações por segundo) Pois isso vai agravar mais ainda o seu caso, sabe me responder qual a quantidade de pacotes por segundo? seu TS3 caiu e a máquina ficou estável?

@Edit

Só uma dica, não abra iftop nesses casos, vai é travar sua máquina mais ainda.

Link to comment
Share on other sites

Aparentemente isso é um IP spoofado, apenas da range 201, é bem dificil encontrar uma solução para IP spoofing, até porque digite top ou htop e veja o consumo de sua CPU, evite o máximo salvar qualquer log ou algum processo de muitas timer(atualizações por segundo) Pois isso vai agravar mais ainda o seu caso, sabe me responder qual a quantidade de pacotes por segundo? seu TS3 caiu e a máquina ficou estável?

@Edit

Só uma dica, não abra iftop nesses casos, vai é travar sua máquina mais ainda.

Vamos lá..

Sim, é ip spoofado.

Os logs são necessários para uma melhor análise após/durante o ataque.

Faço log apenas do firewall (pacotes e bloqueios que estão sendo feitos).

A quantidade de pacotes por segundo eu não sei te informar, como posso verificar isto?

Meu servidor não caiu/cai, ele apenas fica com 4% de pacotes perdidos porque eu bloqueei toda a saída da máquina.

Pelo que observei nos pacotes capturados pelo tcpdump, ele envia um pacote manipulado, fazendo com que meu servidor acreditasse estar recebendo requisições ICMP de vários ips distintos e o meu servidor respondia a todos.. ai era onde morava a merda..

Bloqueei a entrada e a saida de pacotes ICMP, logo os pacotes chegam, mas "não afetam" a minha estrutura.

Queria um jeito de bloquear a entrada dele por software.

O bom é que mesmo com o ataque, nenhuma das outras máquinas virtuais sofrem como o ataque.

Gostei do jeito que a vmware isola os recursos do servidor em geral.

Link to comment
Share on other sites

Ataques de IP spoofado eu já estou acostumado a receber,até ontem fiquei 3 dias recebendo ataques desse tipo sem parar,algumas coisas que eu faço parar ajudar a não travar minha maquina é fechar a PORT que está recebendo os ataques usando DROP com iptables e limitar pacotes maiores que 40bytes na port,geralmente ajuda bastante a mitigar o ataque,mas eu ouvi falar que com Firewall Hardware Juniper com IP-Sec é capaz de proteger desse tipo de ataque.

Link to comment
Share on other sites

Vamos lá..

Sim, é ip spoofado.

Os logs são necessários para uma melhor análise após/durante o ataque.

Faço log apenas do firewall (pacotes e bloqueios que estão sendo feitos).

A quantidade de pacotes por segundo eu não sei te informar, como posso verificar isto?

Meu servidor não caiu/cai, ele apenas fica com 4% de pacotes perdidos porque eu bloqueei toda a saída da máquina.

Pelo que observei nos pacotes capturados pelo tcpdump, ele envia um pacote manipulado, fazendo com que meu servidor acreditasse estar recebendo requisições ICMP de vários ips distintos e o meu servidor respondia a todos.. ai era onde morava a merda..

Bloqueei a entrada e a saida de pacotes ICMP, logo os pacotes chegam, mas "não afetam" a minha estrutura.

Queria um jeito de bloquear a entrada dele por software.

O bom é que mesmo com o ataque, nenhuma das outras máquinas virtuais sofrem como o ataque.

Gostei do jeito que a vmware isola os recursos do servidor em geral.

Sim, exatamente, A Kernel do VMware tem uma ótima infra estrutura enquanto á isso. Más, fique ciente que não adianta BLOQUEAR os pacotes pelo simples motivo de que o netfilter(iptables) ficar rodando a cada 1/s pra bloquear IPs vai levar a sua máquina a um uso de CPU muito alto, caso seu servidor for fraco pode chegar até travar o seu servidor em geral, a unica solução para um IP spoofing é o DROP dos pacotes ou um redirecionamento de porta.

Ataques de IP spoofado eu já estou acostumado a receber,até ontem fiquei 3 dias recebendo ataques desse tipo sem parar,algumas coisas que eu faço parar ajudar a não travar minha maquina é fechar a PORT que está recebendo os ataques usando DROP com iptables e limitar pacotes maiores que 40bytes na port,geralmente ajuda bastante a mitigar o ataque,mas eu ouvi falar que com Firewall Hardware Juniper com IP-Sec é capaz de proteger desse tipo de ataque.

Não, os pacotes desse tipo de ataque constumam ser de 0 bytes, Não existe um metódo até hoje que possa fazer todas essas conexões com quaisquer dados , Ele faz o requisito da conexão, porém sem qualquer tráfego, sim, o juniper é IP-sec, o IP-sec acredito que solucione esse problema.

Link to comment
Share on other sites

Ataques de IP spoofado eu já estou acostumado a receber,até ontem fiquei 3 dias recebendo ataques desse tipo sem parar,algumas coisas que eu faço parar ajudar a não travar minha maquina é fechar a PORT que está recebendo os ataques usando DROP com iptables e limitar pacotes maiores que 40bytes na port,geralmente ajuda bastante a mitigar o ataque,mas eu ouvi falar que com Firewall Hardware Juniper com IP-Sec é capaz de proteger desse tipo de ataque.

 

desculpe reativar o topico mais estou precisando exatamente disso que vc citou acima, drop com limite de byte maiores que 40.

aqui eu liberei 2 portas udp que uso e o resto ficou bloqueadas assim:

 

iptables -A INPUT -p udp --sport 53 -j ACCEPT

iptables -A INPUT -p udp --sport 3306 -j ACCEPT

iptables -A INPUT -p udp -j DROP

 

soh que eu queria alem disso bloquear por limite de bytes, pois ainda recebo uns ataques na porta 53 e vi que todos tem 53bytes, entao se eu limitar igual vc falou acho que ira resolver. tem como vc passar o comando? abracos.

Link to comment
Share on other sites

Guest
This topic is now closed to further replies.
  • Recently Browsing   0 members

    • No registered users viewing this page.

×
×
  • Create New...

Important Information

Do you agree with our terms?