Em 07/04/2012 08:15, Marco Aurélio V. da Silva escreveu: > Caro Marcelo, > > Não chequei isto, como faço pra ver se ele está sendo spoofado ? E não tem > um firewall antes do meu servidor. > > Mais uma vez agradeço a atenção recebida.
Opa Marco, Só fazer um tcpdump na máquina 111.111.111.111 ou wireshark se for um windows server e ver se os pacotes de ataque estão saindo dele. Se estiverem, sua máquina pode estar comprometida e nesse caso vais precisar fazer uma busca minuciosa nela, começando pelos processos que estão rodando. Existem comprometimentos onde não vais ver nada rodando com o ps e nesse caso binários ou até mesmo o kernel pode ter dançado. Bem mas não vamos sofrer antes do tempo. rsrssrs Se estiverem sendo spoofados e ambos os servidores estiverem na mesma rede local você pode bloquear os pacotes que estiverem vindo com IP origem 111.111.111.111 mas cujo mac address não seja igual à da máquina 111.111.111.111. > > > Marco Aurélio V. da Silva > [email protected] > [email protected] > msn: [email protected] > Prodata Inf. e Cadastros LTDA > (33) 3322-4444 > -----Mensagem Original----- > From: Marcelo Gondim > Sent: Friday, April 06, 2012 9:33 AM > To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" > Subject: ***SPAM*** Re: [FUG-BR] ***SPAM*** Re: ***SPAM*** Re: ***SPAM*** > Re: Traduzir regra do TCPDUMP para o IPFW > > Em 05/04/2012 18:28, Marco Aurélio V. da Silva escreveu: >> Caro Marcelo, >> >> O 111.111.111.111 é o servidor de dns e correio, e o 222.222.222.222 é a >> maquina de monitoramento. > Opa Marco. Já checou se o ataque está vindo do seu servidor > 111.111.111.111 ou se está sendo spoofado? Se está sendo spoofado você > tem algum Firewall antes de chegar nos seus servidores ou eles estão de > cara pra Internet? > >> Marco Aurélio V. da Silva >> [email protected] >> [email protected] >> msn: [email protected] >> Prodata Inf. e Cadastros LTDA >> (33) 3322-4444 >> -----Mensagem Original----- >> From: Marcelo Gondim >> Sent: Thursday, April 05, 2012 3:43 PM >> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" >> Subject: ***SPAM*** Re: [FUG-BR] ***SPAM*** Re: ***SPAM*** Re: Traduzir >> regra do TCPDUMP para o IPFW >> >> Em 05/04/2012 14:58, Marco Aurélio V. da Silva escreveu: >>> Caro Marcelo, >>> >>> Entendido, a minha preocupação com a porta 53 é que não sei se tinha >>> falado >>> antes, mas este servidor é um servidor de dns e email, e este servidor o >>> 222.222.222.222 é uma maquina de monitoramento da rede que envia pacotes >>> snmp para o servidor, por isto libero a saida pra ele de pacotes udp que >>> não >>> sejam pela porta 53. >> Perae vamos dar nome aos bois. :) 222.222.222.222 é a maquina servidor >> de dns, correio e também monitoramento? >> Precisamos separar quem é quem pra poder fazer a coisa certa. >> >> >>> Agradeço a atenção recebida. >>> >>> Marco Aurélio V. da Silva >>> [email protected] >>> [email protected] >>> msn: [email protected] >>> Prodata Inf. e Cadastros LTDA >>> (33) 3322-4444 >>> -----Mensagem Original----- >>> From: Marcelo Gondim >>> Sent: Thursday, April 05, 2012 11:31 AM >>> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" >>> Subject: ***SPAM*** Re: [FUG-BR] ***SPAM*** Re: Traduzir regra do TCPDUMP >>> para o IPFW >>> >>> Em 05/04/2012 10:06, Marco Aurélio V. da Silva escreveu: >>>> Caro Marcelo, >>>> >>>> Eu consegui bloquear o ataque com a seguinte regra: >>>> /sbin/ipfw add 150 deny log udp from any to any src-ip 111.111.111.111 >>>> not >>>> src-port 53 not dst-port 53 not dst-ip 222.222.222.222 via re0 >>>> e ta funcionando legal. >>> Não entendi a sua preocupação com a porta 53. Eu tentaria uma regra mais >>> global: >>> >>> ipfw add 150 deny log udp from 111.111.111.111 to any >>> >>> Igual à "Oi simples assim" rsrsrsr >>> >>> Logicamente que existem outras coisas legais para se colocar nas regras >>> do Firewall, por exemplo eu gosto de usar o setup com limit nas regras >>> entrantes, bloquear pacotes com flags estranhas e um outro que seria: >>> >>> net.link.ether.ipfw=1 mas cuidado se você habilitar esse cara e sua >>> última regra for drop pra tudo, você vai bloquear seu acesso remoto sem >>> dó nem piedade. Precisa ter uma regra dessas aqui com ele habilitado: >>> >>> ipfw add allow all from any to any layer2 mac-type ipv4,arp,rarp >>> >>> Aí sim você está liberando no layer 2 pacotes do tipo ipv4, arp e rarp o >>> que não for drop neles. :) só não pode esquecer do ipv6 se tiver >>> trânsito ipv6. Já peguei umas coisas muito estranhas vindo do meu clear >>> channel com essa regra. :) >>> >>> Abaixo uma tabela que fiz para essa regra aí acima: >>> >>> ip - 0x0800 >>> ipv4 - 0x0800 >>> ipv6 - 0x86dd >>> arp - 0x0806 >>> rarp - 0x8035 >>> vlan - 0x8100 >>> loop - 0x9000 >>> trail - 0x1000 >>> at - 0x809b >>> atalk - 0x809b >>> aarp - 0x80f3 >>> pppoe_disc - 0x8863 >>> pppoe_sess - 0x8864 >>> ipx_8022 - 0x00E0 >>> ipx_8023 - 0x0000 >>> ipx_ii - 0x8137 >>> ipx_snap - 0x8137 >>> ipx - 0x8137 >>> ns - 0x0600 >>> >>> Eu sou partidário do mantenha tudo o mais simples possível. :) >>> >>>> Os fragmentos de um dos ataques coletados pelo tcpdump segue abaixo: >>>> IP (tos 0x0, ttl 64, id 54066, offset 0, flags [none], proto UDP (17), >>>> length 29, bad cksum 0 (->12a0)!) 111.111.111.111.50222> >>>> 91.204.161.226.55624: [bad udp cksum 4e08!] UDP, length 1 >>>> IP (tos 0x0, ttl 64, id 54067, offset 0, flags [none], proto UDP (17), >>>> length 29, bad cksum 0 (->129f)!) 111.111.111.111.50222> >>>> 91.204.161.226.55624: [bad udp cksum 4e08!] UDP, length 1 >>>> IP (tos 0x0, ttl 64, id 54068, offset 0, flags [none], proto UDP (17), >>>> length 29, bad cksum 0 (->129e)!) 111.111.111.111.50222> >>>> 91.204.161.226.55624: [bad udp cksum 4e08!] UDP, length 1 >>>> IP (tos 0x0, ttl 64, id 54069, offset 0, flags [none], proto UDP (17), >>>> length 29, bad cksum 0 (->129d)!) 111.111.111.111.50222> >>>> 91.204.161.226.55624: [bad udp cksum 4e08!] UDP, length 1 >>>> IP (tos 0x0, ttl 64, id 54070, offset 0, flags [none], proto UDP (17), >>>> length 29, bad cksum 0 (->129c)!) 111.111.111.111.50222> >>>> 91.204.161.226.55624: [bad udp cksum 4e08!] UDP, length 1 >>>> >>>> Com a regra funcionando estou logando tb as tentativas de ataque, segue >>>> fragmentos do log do ipfw. >>>> Apr 4 10:01:09 ns1 kernel: ipfw: 150 Deny UDP 111.111.111.111:51541 >>>> 94.125.182.234:39863 out via re0 >>>> Apr 4 10:01:09 ns1 kernel: ipfw: 150 Deny UDP 111.111.111.111:51078 >>>> 94.125.182.234:21345 out via re0 >>>> Apr 4 10:01:09 ns1 kernel: ipfw: 150 Deny UDP 111.111.111.111:49361 >>>> 94.125.182.234:63380 out via re0 >>>> Apr 4 10:01:09 ns1 kernel: ipfw: 150 Deny UDP 111.111.111.111:52813 >>>> 94.125.182.234:52468 out via re0 >>>> Apr 4 10:01:09 ns1 kernel: ipfw: 150 Deny UDP 111.111.111.111:63571 >>>> 94.125.182.234:27017 out via re0 >>>> Apr 4 10:01:09 ns1 kernel: ipfw: 150 Deny UDP 111.111.111.111:63269 >>>> 94.125.182.234:24971 out via re0 >>>> Apr 4 10:01:09 ns1 kernel: ipfw: 150 Deny UDP 111.111.111.111:62786 >>>> 94.125.182.234:34251 out via re0 >>>> >>>> As tentativas de ataque continuam, mas estaum parando todas na regra >>>> acima. >>>> Se alguém tiver alguma sugestão para melhorar a regra. >>>> >>>> Desde já agradeço a atenção recebida. >>>> >>>> Marco Aurélio V. da Silva >>>> [email protected] >>>> [email protected] >>>> msn: [email protected] >>>> Prodata Inf. e Cadastros LTDA >>>> (33) 3322-4444 >>>> -----Mensagem Original----- >>>> From: Marcelo Gondim >>>> Sent: Wednesday, April 04, 2012 4:29 PM >>>> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" >>>> Subject: ***SPAM*** Re: [FUG-BR] Traduzir regra do TCPDUMP para o IPFW >>>> >>>> Em 04/04/2012 12:31, [email protected] escreveu: >>>>>> Caros, >>>>>> >>>>>> Como seria a tradução desta escuta do tcpdump para uma regra do ipfw >>>>>> para >>>>>> travar este mesmo trafego ? >>>>>> >>>>>> tcpdump -i re0 -n -q -vvv udp and src 111.111.111.111 and not port 53 >>>>>> and >>>>>> not dst 222.222.222.222 >>>>>> >>>>>> Desde já agradeço a atenção recebida. >>>>>> >>>>>> Marco Aurélio V. da Silva >>>> Me parece que você está tentando bloquear um ataque e coletou o ataque >>>> com as regras filtradas acima. Ao invés de tentar fazer uma regra >>>> baseada no filtro acima, poste pra gente o resultado que foi o ataque >>>> para que a gente lhe mostre uma regra adequada ao ataque e não ao >>>> filtro. ;) Pode mascarar seu IP público. >>>> >>>>> [SNIP] >>>>> Boa tarde. >>>>> >>>>> Você aplicou três operadores lógicos "AND", ou seja, tudo precisa ser >>>>> verdadeiro, logo, a porta de origem e destino não podem ser 53, em >>>>> ambos >>>>> os hosts. Procede? >>>>> >>>>> Se sim, sua regra de bloqueio fica assim: >>>>> >>>>> ipfw add deny udp from 111.111.111.111 not domain to not >>>>> 222.222.222.222 >>>>> not domain >>>>> >>>>> Essa é a regra que atende "ipsis litteris" o que seu TCPDUMP está >>>>> capturando. Entretanto, "ipsis verbis", é isso mesmo que você precisa? >>>>> Se >>>>> fosse um diálogo entre dois humanos, como você pediria a contraparte >>>>> para >>>>> bloquear? >>>>> >>>>> Pressupondo que você deseja que o host 111.111.111.11 somente trafegue >>>>> UDP >>>>> se for requisição DNS para o servidor 222.222.222.222, negando todo o >>>>> tráfego UDP restante, então a regra fica diferente, sendo: >>>>> >>>>> #Negar todo o tráfego UDP originado em 111.111.111.111, exceto >>>>> requisições >>>>> DNS para 222.222.222.222 >>>>> ipfw add deny udp from 111.111.111.111 to not 222.222.222.222 not >>>>> domain >>>>> >>>>> Espero ter ajudado. >>>>> >>>>> Saudações, >>>>> >>>>> Trober >>>>> - >>>>> - >>>>> - >>>>> - >>>>> - >>>>> >>>>> >>>>> ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
