Re: [FUG-BR] RES: Ataque de DDoS tem como evitar ?
Sem querer sair do contesto . Uma vez tive um ataque de DDoS, o IP era spoofado, vinha de n fontes diferente, mesmo colocando regras e tal só consegui amenizar pedindo para a embreatel bloquer a rede da telerda na epoca, 98% do ataque vinha de la, fique aproximandamente 5 dias com o problema iniciando as exato 8h00 atá as 18h00, 10 horas de ataque durante 3 dias depois de 5 dias a embratel liberou o roteador deles porque o ataque havia terminado. Conclusão da obra . 5 dias sem conexão com a rede da telerda imagine os prejuizos . E até agora nada foi identificado/solucionado e já se vão 2 longos anos O pior que o ataque era em portas que não podia ser fechadas 25 e 80 -- Nilton José Rizzo 805 Informatica Disseminado tecnologias 021 2413 9786 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: Ataque de DDoS tem como evitar ?
já não sei exatamente até onde funciona o antispoofing do PF mas ele também identifica... agora me corrijam caso isso não ocorra para ip's validos. abraços Em 06/09/07, Nilton Jose Rizzo[EMAIL PROTECTED] escreveu: Sem querer sair do contesto . Uma vez tive um ataque de DDoS, o IP era spoofado, vinha de n fontes diferente, mesmo colocando regras e tal só consegui amenizar pedindo para a embreatel bloquer a rede da telerda na epoca, 98% do ataque vinha de la, fique aproximandamente 5 dias com o problema iniciando as exato 8h00 atá as 18h00, 10 horas de ataque durante 3 dias depois de 5 dias a embratel liberou o roteador deles porque o ataque havia terminado. Conclusão da obra . 5 dias sem conexão com a rede da telerda imagine os prejuizos . E até agora nada foi identificado/solucionado e já se vão 2 longos anos O pior que o ataque era em portas que não podia ser fechadas 25 e 80 -- Nilton José Rizzo 805 Informatica Disseminado tecnologias 021 2413 9786 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Thiago J. Ruiz http://thiagoruiz.blogspot.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] RES: Ataque de DDoS tem como evitar ?
Um Cisco Guard Tx DDoS resolveria o problema. Atenciosamente, Rodrigo Calado. Analista de Suporte Sênior - Unix Like Cel.: (61) 9982-7222 -Mensagem original- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome de Marcio Antunes Enviada em: quarta-feira, 5 de setembro de 2007 17:05 Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Assunto: Re: [FUG-BR] Ataque de DDoS tem como evitar ? O pior ele ficar pagando 50 dolares.. pq intimidação é complicado.. o cara vai querer fazer isso novamente.. 1- conversar com a telecom para eles identificarem a origem e bloquearem; ele ja fez isso.. e esta em constante contanto.. porem ate agora nada fizeram.. 2 - trocar o bloco de ip do provedor (incluindo o ip do roteador de borda); Ja trocou.. o bloco de ip, trocou o roteador e nada 3 - pagar os 50 dólares. O pior ele ficar pagando 50 dolares.. pq intimidação é complicado.. o cara vai querer fazer isso novamente.. Em 05/09/07, Welkson Renny de Medeiros[EMAIL PROTECTED] escreveu: daria uma boa thread lá no GTS-L ou GTER... obrigar o cara a pagar para parar com o ataque ... rsrsrs :-) Sem mais, -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes [EMAIL PROTECTED] Powered by (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org - Original Message - From: Gilberto Villani Brito [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Wednesday, September 05, 2007 4:54 PM Subject: Re: [FUG-BR] Ataque de DDoS tem como evitar ? On 05/09/07, Marcio Antunes [EMAIL PROTECTED] wrote: Lista, Um amigo tem um pequeno provedor, ele esta sendo atacado há varios dias, ja tentou de todas as formas, até mesmo com a operadora e não conseguiu bloquear esse ataque, o atacante esta conseguindo deixar a navegação dele lenta. Sei que para esse tipo de ataque é quase impossivel evitar, ouvi dizer que o OpenBSD existe possibilide de barrar um ataque desse é verdade ? no FreeBSD é possivel ? será que usando regras PF ou IPFW é possivel Olha o e-mail que ele recebeu..do sacana.. = Ola. Sou dos USA e estou enviando ataques DDoS no seu servidor e brevemente estarei finalizando sua conta com ataques de 50gigabit direto no gateWAY,se fosse eu eu ja teria parado com o seu provedorzinho de bosta. O DDOS VAI COME QUENTE FILHO DA PUTA! O BONDE É XAPA KENTE MANÉ NINGUEM ME SEGURA FODA-SE A SEUS INDIOS FILHOS DA PUTA LAZARENTOS! PRA PARAR O ATAQUE EU QUERO 50 DOLLARES VIA: WWW.PAYPAL.COM :) GOOD NIGHT! Alguem teve algum caso parecido.. ? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Inicialmente eu acho que existe 3 soluções: 1 - conversar com a telecom para eles identificarem a origem e bloquearem; 2 - trocar o bloco de ip do provedor (incluindo o ip do roteador de borda); 3 - pagar os 50 dólares. Abraços -- Gilberto Villani Brito System Administrator Londrina - PR Brazil gilbertovb(a)gmail.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd No virus found in this incoming message. Checked by AVG Free Edition. Version: 7.5.485 / Virus Database: 269.13.5/990 - Release Date: 4/9/2007 22:36 No virus found in this outgoing message. Checked by AVG Free Edition. Version: 7.5.485 / Virus Database: 269.13.5/990 - Release Date: 4/9/2007 22:36 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: Ataque de DDoS tem como evitar ?
Um Cisco Guard Tx DDoS resolveria o problema. Ate que resolveria.. porem quanto seria o valor ? isso seria talvez para uma empresa grande.. ele tem um provedor com link de 10 gb. Vou tentar fazer um servidor com regras PF.. alguem disse que foi discutido aqui na lista ? não me lembro..foi em qual assunto ?? ataque tambem ?? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: Ataque de DDoS tem como evitar ?
http://silverwraith.com/papers/freebsd-ddos.php http://kerneltrap.org/node/544 http://www.mydigitallife.info/2007/08/15/install-mod_evasive-for-apache-to-prevent-ddos-attacks/ Precisa de cisco ... mais ? http://www.google.com.br/search?hl=pt-BRclient=firefox-arls=org.mozilla%3Aen-US%3Aofficialhs=nf1q=freebsd+DDoS+AttacksbtnG=Pesquisarmeta= []'s Em Qua, 2007-09-05 às 17:36 -0300, Marcio Antunes escreveu: Um Cisco Guard Tx DDoS resolveria o problema. Ate que resolveria.. porem quanto seria o valor ? isso seria talvez para uma empresa grande.. ele tem um provedor com link de 10 gb. Vou tentar fazer um servidor com regras PF.. alguem disse que foi discutido aqui na lista ? não me lembro..foi em qual assunto ?? ataque tambem ?? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: Ataque de DDoS tem como evitar ?
Tá, o Firewall pode bloquear, mas não vai engargalar o roteador?? Abs[] Em 05/09/07, Marcelo Soares da Costa [EMAIL PROTECTED] escreveu: http://silverwraith.com/papers/freebsd-ddos.php http://kerneltrap.org/node/544 http://www.mydigitallife.info/2007/08/15/install-mod_evasive-for-apache-to-prevent-ddos-attacks/ Precisa de cisco ... mais ? http://www.google.com.br/search?hl=pt-BRclient=firefox-arls=org.mozilla%3Aen-US%3Aofficialhs=nf1q=freebsd+DDoS+AttacksbtnG=Pesquisarmeta= []'s Em Qua, 2007-09-05 às 17:36 -0300, Marcio Antunes escreveu: Um Cisco Guard Tx DDoS resolveria o problema. Ate que resolveria.. porem quanto seria o valor ? isso seria talvez para uma empresa grande.. ele tem um provedor com link de 10 gb. Vou tentar fazer um servidor com regras PF.. alguem disse que foi discutido aqui na lista ? não me lembro..foi em qual assunto ?? ataque tambem ?? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- -- Segurança da Informação se faz com tecnologia, processos e pessoas, e a formação destas exige mais que uma seqüência de treinamentos. Porque você treina macacos. Pessoas,você educa. Se a gente se lança sem vigor, sete de dez ações tomadas não dão certo. É extremamente difícil tomar decisões num estado de agitação. Por outro lado, se sem se preocupar com as conseqüências menores, abordamos os problemas com o espíito afiado como uma lâmina, sempre encontramos a solução em menos tempo do que é necessáio para respirar sete vezes. Nabeshima Naoshige (1538-1618) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: Ataque de DDoS tem como evitar ?
O conselho básico é descartar pacotes e não responder pacotes descartados , isso é default no FreeBSD , vc pode ajudar seu sistema implementando mais alguma coisinha dessa ai , aumentando a granulação etc . O roteador deve operar acima da capacidade do seu link fisico , então isso não seria problema para ele , e nem pro seu BSD, o problema mesmo é entupir seu link com pacotes mesmo que sem respostas do seu firewall/roteador , por isso sugiri algo como honeypot ou a estratégia de inseto ou seja finja de morto , deixe ele pensar que vc saiu do ar , portsentry e snort tambem podem te ajudar nessa tarefa. Agora o mais importante é LOGAR TUDO QUE FOR POSSIVEL para repassar depois para operadora de provedores de onde supostamente partiram os ataques , avisar o cert é outra estratégia altamente recomendada. Em Qua, 2007-09-05 às 17:59 -0300, Jose Augusto escreveu: Tá, o Firewall pode bloquear, mas não vai engargalar o roteador?? Abs[] Em 05/09/07, Marcelo Soares da Costa [EMAIL PROTECTED] escreveu: http://silverwraith.com/papers/freebsd-ddos.php http://kerneltrap.org/node/544 http://www.mydigitallife.info/2007/08/15/install-mod_evasive-for-apache-to-prevent-ddos-attacks/ Precisa de cisco ... mais ? http://www.google.com.br/search?hl=pt-BRclient=firefox-arls=org.mozilla%3Aen-US%3Aofficialhs=nf1q=freebsd+DDoS+AttacksbtnG=Pesquisarmeta= []'s Em Qua, 2007-09-05 às 17:36 -0300, Marcio Antunes escreveu: Um Cisco Guard Tx DDoS resolveria o problema. Ate que resolveria.. porem quanto seria o valor ? isso seria talvez para uma empresa grande.. ele tem um provedor com link de 10 gb. Vou tentar fazer um servidor com regras PF.. alguem disse que foi discutido aqui na lista ? não me lembro..foi em qual assunto ?? ataque tambem ?? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd