Recebendo Ataque Udp Flood.

[Igor Barros]

Pessoal, boa tarde.

Estou tendo alguns problemas com UDP Flood e eu gostaria de uma ajuda de vocês.

Atualmente estou usando CSF + DDoS Deflate (não ajuda em nada) + LFD.

Cheguei a ver o Snort, mas não consegui informações necessárias para instalar e configurar ele no linux.

Atualizar o iptables para a versão mais nova (1.4.13) seria uma boa?

Minha versão atual é a 1.3.5, mas não acho repositórios para instalar a versão 1.4.13 pelo yum.

Alguém tem algum em mente?

Deixei em anexo alguns pacotes capturados para que vocês possam visualizar com o WireShark (http://www.wireshark.org/).

Fico no aguardo de uma ajuda de vocês.

Abraços,

Igor Barros.

[Visitante]

Qual seu sistema operacional? Qual seu Processador? Quanto de Link você tem?

[Igor Barros]

Qual seu sistema operacional? Qual seu Processador? Quanto de Link você tem?

CentOS virtualizado com o VMware ESXi 4.1 (administrado por mim).

Processador Xeon E3-1230 4x3.2Ghz

1Gbps de link.

Isso ajuda em que? As definições de proteção não são as mesmas para todos os Sistemas/Hardwares ?

[Visitante]

CentOS virtualizado com o VMware ESXi 4.1 (administrado por mim).

Processador Xeon E3-1230 4x3.2Ghz

1Gbps de link.

Isso ajuda em que? As definições de proteção não são as mesmas para todos os Sistemas/Hardwares ?

Olá, geralmente quando um servidor é alvo de um ataque DDoS ou DoS, a kernel é um item fundamental para o desempenho e estabilidade do servidor, veja as diferenças entre o linux e o windows.

Explique melhor sobre o ataque, qual é a magnitude? que tipo de ataque está sofrendo? é UDP Flood de altos pacotes ou pacotes spoofing? a CPU eleva muito? Responda essas perguntas, irei tentar lhe ajudar :)

[Igor Barros]

Olá, geralmente quando um servidor é alvo de um ataque DDoS ou DoS, a kernel é um item fundamental para o desempenho e estabilidade do servidor, veja as diferenças entre o linux e o windows.

Explique melhor sobre o ataque, qual é a magnitude? que tipo de ataque está sofrendo? é UDP Flood de altos pacotes ou pacotes spoofing? a CPU eleva muito? Responda essas perguntas, irei tentar lhe ajudar :)

Alguns pacotes capturados com o tcpdump.

http://igorbarros.com.br/pacotes.zip

Resultado uname -a:

Linux GameTalk-SRV2 2.6.18-308.1.1.el5 #1 SMP Wed Mar 7 04:16:51 EST 2012 x86_64 x86_64 x86_64 GNU/Linux

Isso te ajuda? :)

[Visitante]

Aparentemente isso é um IP spoofado, apenas da range 201, é bem dificil encontrar uma solução para IP spoofing, até porque digite top ou htop e veja o consumo de sua CPU, evite o máximo salvar qualquer log ou algum processo de muitas timer(atualizações por segundo) Pois isso vai agravar mais ainda o seu caso, sabe me responder qual a quantidade de pacotes por segundo? seu TS3 caiu e a máquina ficou estável?

@Edit

Só uma dica, não abra iftop nesses casos, vai é travar sua máquina mais ainda.

[Igor Barros]

Aparentemente isso é um IP spoofado, apenas da range 201, é bem dificil encontrar uma solução para IP spoofing, até porque digite top ou htop e veja o consumo de sua CPU, evite o máximo salvar qualquer log ou algum processo de muitas timer(atualizações por segundo) Pois isso vai agravar mais ainda o seu caso, sabe me responder qual a quantidade de pacotes por segundo? seu TS3 caiu e a máquina ficou estável?

@Edit

Só uma dica, não abra iftop nesses casos, vai é travar sua máquina mais ainda.

Vamos lá..

Sim, é ip spoofado.

Os logs são necessários para uma melhor análise após/durante o ataque.

Faço log apenas do firewall (pacotes e bloqueios que estão sendo feitos).

A quantidade de pacotes por segundo eu não sei te informar, como posso verificar isto?

Meu servidor não caiu/cai, ele apenas fica com 4% de pacotes perdidos porque eu bloqueei toda a saída da máquina.

Pelo que observei nos pacotes capturados pelo tcpdump, ele envia um pacote manipulado, fazendo com que meu servidor acreditasse estar recebendo requisições ICMP de vários ips distintos e o meu servidor respondia a todos.. ai era onde morava a merda..

Bloqueei a entrada e a saida de pacotes ICMP, logo os pacotes chegam, mas "não afetam" a minha estrutura.

Queria um jeito de bloquear a entrada dele por software.

O bom é que mesmo com o ataque, nenhuma das outras máquinas virtuais sofrem como o ataque.

Gostei do jeito que a vmware isola os recursos do servidor em geral.

[JonasPGH]

Ataques de IP spoofado eu já estou acostumado a receber,até ontem fiquei 3 dias recebendo ataques desse tipo sem parar,algumas coisas que eu faço parar ajudar a não travar minha maquina é fechar a PORT que está recebendo os ataques usando DROP com iptables e limitar pacotes maiores que 40bytes na port,geralmente ajuda bastante a mitigar o ataque,mas eu ouvi falar que com Firewall Hardware Juniper com IP-Sec é capaz de proteger desse tipo de ataque.

[Visitante]

Vamos lá..

Sim, é ip spoofado.

Os logs são necessários para uma melhor análise após/durante o ataque.

Faço log apenas do firewall (pacotes e bloqueios que estão sendo feitos).

A quantidade de pacotes por segundo eu não sei te informar, como posso verificar isto?

Meu servidor não caiu/cai, ele apenas fica com 4% de pacotes perdidos porque eu bloqueei toda a saída da máquina.

Pelo que observei nos pacotes capturados pelo tcpdump, ele envia um pacote manipulado, fazendo com que meu servidor acreditasse estar recebendo requisições ICMP de vários ips distintos e o meu servidor respondia a todos.. ai era onde morava a merda..

Bloqueei a entrada e a saida de pacotes ICMP, logo os pacotes chegam, mas "não afetam" a minha estrutura.

Queria um jeito de bloquear a entrada dele por software.

O bom é que mesmo com o ataque, nenhuma das outras máquinas virtuais sofrem como o ataque.

Gostei do jeito que a vmware isola os recursos do servidor em geral.

Sim, exatamente, A Kernel do VMware tem uma ótima infra estrutura enquanto á isso. Más, fique ciente que não adianta BLOQUEAR os pacotes pelo simples motivo de que o netfilter(iptables) ficar rodando a cada 1/s pra bloquear IPs vai levar a sua máquina a um uso de CPU muito alto, caso seu servidor for fraco pode chegar até travar o seu servidor em geral, a unica solução para um IP spoofing é o DROP dos pacotes ou um redirecionamento de porta.

Ataques de IP spoofado eu já estou acostumado a receber,até ontem fiquei 3 dias recebendo ataques desse tipo sem parar,algumas coisas que eu faço parar ajudar a não travar minha maquina é fechar a PORT que está recebendo os ataques usando DROP com iptables e limitar pacotes maiores que 40bytes na port,geralmente ajuda bastante a mitigar o ataque,mas eu ouvi falar que com Firewall Hardware Juniper com IP-Sec é capaz de proteger desse tipo de ataque.

Não, os pacotes desse tipo de ataque constumam ser de 0 bytes, Não existe um metódo até hoje que possa fazer todas essas conexões com quaisquer dados , Ele faz o requisito da conexão, porém sem qualquer tráfego, sim, o juniper é IP-sec, o IP-sec acredito que solucione esse problema.

[fred]

Ataques de IP spoofado eu já estou acostumado a receber,até ontem fiquei 3 dias recebendo ataques desse tipo sem parar,algumas coisas que eu faço parar ajudar a não travar minha maquina é fechar a PORT que está recebendo os ataques usando DROP com iptables e limitar pacotes maiores que 40bytes na port,geralmente ajuda bastante a mitigar o ataque,mas eu ouvi falar que com Firewall Hardware Juniper com IP-Sec é capaz de proteger desse tipo de ataque.

 

desculpe reativar o topico mais estou precisando exatamente disso que vc citou acima, drop com limite de byte maiores que 40.

aqui eu liberei 2 portas udp que uso e o resto ficou bloqueadas assim:

 

iptables -A INPUT -p udp --sport 53 -j ACCEPT

iptables -A INPUT -p udp --sport 3306 -j ACCEPT

iptables -A INPUT -p udp -j DROP

 

soh que eu queria alem disso bloquear por limite de bytes, pois ainda recebo uns ataques na porta 53 e vi que todos tem 53bytes, entao se eu limitar igual vc falou acho que ira resolver. tem como vc passar o comando? abracos.