[FUG-BR] RES: Evitando DoS com limite de conex ões
Joao Paulo Just escreveu: Olá, lista. Ultimamente tenho sido vítima de DoS no meu Apache. Várias conexões simultâneas do mesmo IP esgotavam os recursos do Apache. A solução imediata era bloquear o IP no IPFW, mas alguns dias depois, o atacante vinha com outro IP. Tentei fazer algo pelo httpd.conf, alterando configurações de time-out e keepalive, mas não adiantou. Até que eu decidi limitar o número de conexões entrantes com essa regra no IPFW: $cmd add pass tcp from any to me 80 via $pif setup limit src-addr 10 Assim, apenas 10 conexões de um mesmo IP poderão ser feitas na porta 80. Fiz isso hoje e vou aguardar pra ver se o DoS acontece de novo. O que vocês acham disso? Recomendam ou des-recomendam? Você trabalha com bgp ? Coloque o ip do meliante em blackhole e seja feliz ! Não tem solução melhor, pois o ataque é bloqueado no seu upstream (que tem BEM mais recursos de hardware e link que a gente). Se você fizer no seu firewall, o atacante continuará consumindo seu link até que seja bloqueado na sua rede. Sem falar que ainda pode derrubar o firewall e cair toda sua rede. Sds, -- Eduardo Schoedler - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: Evitando DoS com limite de conex ões
On Wed, 30 Dec 2009 11:42:30 -0200 Eduardo Schoedler eschoed...@viavale.com.br wrote: Você trabalha com bgp ? Coloque o ip do meliante em blackhole e seja feliz ! Não tem solução melhor, pois o ataque é bloqueado no seu upstream (que tem BEM mais recursos de hardware e link que a gente). Não tenho AS próprio pra fazer isso por conta própria e sempre que pedi pra operadora fazer algum bloqueio, ela fez caca e acabou me bloqueando pro mundo :p Se você fizer no seu firewall, o atacante continuará consumindo seu link até que seja bloqueado na sua rede. Sem falar que ainda pode derrubar o firewall e cair toda sua rede. Nesse caso, essa regra foi colocada no ipfw do servidor que está sendo atacado. -- João Paulo Just Diretor Técnico RG3.Net - http://www.rg3.net/ FCP - Furukawa Certified Professional -- Feira de Santana, BA, Brasil. +55 75 8104 8473 Blog: http://just.rg3.net/ - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: Evitando DoS com limite de conex ões
On Wed, 30 Dec 2009 14:24:08 -0300 Emmanuel Alves manel...@gmail.com wrote: eu utilizo o mod_evasive pra evitar este tipo de coisa. O ip é automaticamente colocado na lista negra por um tempo diretamente pelo firewall e o atacante não tem mais acesso a nada do servidor. Gostei da idéia. Vou dar uma olhadinha nele :) -- João Paulo Just Diretor Técnico RG3.Net - http://www.rg3.net/ FCP - Furukawa Certified Professional -- Feira de Santana, BA, Brasil. +55 75 8104 8473 Blog: http://just.rg3.net/ - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] RES: Evitando DoS com limite de conex ões
Joao Paulo Just escreveu: Não tenho AS próprio pra fazer isso por conta própria e sempre que pedi pra operadora fazer algum bloqueio, ela fez caca e acabou me bloqueando pro mundo :p Existem empresas que alugam seu AS, seria uma opção. Dessa forma, você poderia anunciar para blackhole o ip dos atacantes e bloquear na borda. Sds, -- Eduardo Schoedler - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: Evitando DoS com limite de conex ões
Existem empresas que alugam seu AS, seria uma opção. Dessa forma, você poderia anunciar para blackhole o ip dos atacantes e bloquear na borda. Se não estou enganado, blackhole para DDOS é feito com o IP de destino, não com os de origem, matando o tráfego entrante no roteador de borda da rede (por isso que os provedores *fizeram caca* bloqueando o acesso ao seu servidor). A melhor coisa é utilizar mesmo uma solução híbrida de timers no apache com limitantes no firewall da rede. Talvez fosse interessante um firewall em bridge para fazer esse controle de acesso. -- []´s Helio Loureiro http://helio.loureiro.eng.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd