05.08.2018, 16:59
Medidas para evitar ataques DDoS
Introduзгo:
Os ataques DoS/DDoS tem vindo a aumentar bastante nos ъltimos meses, e com isso й preciso implementar medidas para evitar que seu servidor seja atacado. Se vocк й daqueles caras que prefere ter um servidor hospedado no seu computador para evitar gastar dinheiro e estб aguardando algum milagre, entгo jб pode fechar este tutorial.
Nгo hб nenhuma forma de evitar um ataque DDoS a 100% e muito menos num servidor online cujo o protocolo й 17 (UDP), o que podemos fazer й implementar medidas para reduzir a probalidade disto acontecer.
Ingredientes:
⦁ Virtual Private Server (VPS) Linux.
⦁ Cйrebro.
Procedimentos:
Em primeiro lugar devemos proteger a mбquina de ataques RANDOM que sгo feitos atravйs de portas aleatуrias que estejam abertas, й muito frequente atacarem a porta 22. Este tipo de ataque atualmente й muito perigoso, principalmente nos servidores da OVH, em que a proteзгo dos servidores dedicados em Layer 4 й quase perfeita, mas quando se trata de VPS a histуria й outra, hб vбrios metуdos RANDOM que fazem bypass aos planos bбsicos da OVH.
Soluзгo:
Configuramos algumas regras no iptables para permitir somente o seu IP a estabelecer uma conexгo а porta 22.
PHP Code:
iptables -F
iptables -A INPUT -s SEUIP -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j DROP
Se utilizar um servidor mysql, deverб fazer o mesmo procedimento para a porta 3306.
PHP Code:
iptables -A INPUT -s SEUIP -p tcp --dport 3306 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j DROP
Em segundo temos de proteger contra os ataques ICMP que jб sгo velhos mas continuam a funcionar e bastantes empresas Hosting continuam vulnerбveis. Este tipo de ataque sгo os mais perturbadores, na minha opiniгo. Eu jб explorei esta vulnerabilidade muito a fundo, desenvolvi um script em lнnguagem C em que mandava milhares de requisiзхes a um servidor e o mesmo deixava de responder. Vou deixar abaixo um metуdo de proteзгo.
PHP Code:
iptables -A INPUT -p ICMP --icmp-type echo-request -m length --length 60:65535 -j ACCEPT
iptables -A INPUT -p ICMP --icmp-type echo-request -m pkttype --pkttype broadcast -j DROP
iptables -A INPUT -p ICMP --icmp-type echo-request -m limit --limit 3/s -j ACCEPT
iptables -A INPUT -p ICMP -f -j DROP
Em terceiro, hб os ataques UDP Flood que a maioria das empresas de hospedagem games oferece uma mitigaзгo. Vou deixar abaixo algumas regras.
PHP Code:
iptables -N UDP-FLOOD
iptables -A INPUT -p udp --dport 7777 -m ttl --ttl-eq=128 -j UDP-FLOOD
iptables -A UDP-FLOOD -p udp --dport 7777 -m length --length 17:604 -j DROP
Quarto e terminando, nгo faзam igual muitas pessoas que estou vendo... Muitos colocam o servidor e o UCP na mesma mбquina, isso й um erro extremo. Ao fazerem isto, a probalidade de receberem ataques triplica e nгo й recomendбvel ter um servidor web e game na mesma mбquina.
Hб outros mйtodos para derrubar um servidor, tal como exploits e tambйm falhas nos gamemodes. Este tutorial o foco й somente DoS e DDoS, para as outras formas farei um tutorial diferente.
Qualquer dъvida, deixem nos comentбrios.