[ipsBruno]

Bloqueando DDOS


Bom, vou fazer este tutorial aqui pois peguei uma maquina Linux e tive constantes ataques. Em virtude disto, contatei um amigo meu aqui que me deu umas dicas. Essa dica й valiosa e sу testei em maquinas Linux Ubuntu (minha versгo era 12.04 acho). Aqui bloqueou TODOS ataques, TODOS mesmo.

Instalando ConfigServer Firewall

CSF й uma ferramenta para Linux que auxilia no barramento de ataques DDOS atrбves de IPTables

Primeiro, logue no SSH e baixe o pacote CSF digitando

wget http://www.configserver.com/free/csf.tgz


Agora descompacte o arquivo .tgz digitando:

tar -zxf csf.tgz



Agora mude a pasta atual, para nova pasta extraнda, digitando

cd csf

E entгo, finalmente, rode o .sh para instalar o csf.

./install.sh

Apуs isto, vocк vai precisar editar os arquivos de configuraзгo do csf. Antes de tudo, desligue o CSF caso ele jб esteja ligado

csf -x

Configurando CSF

Antes de ler essa parte, pelo amor, preste atenзгo porque qualquer erro pode bloquear o acesso a maquina, dando um trabalho a mais para desbloquear. Eu na primeira vez que mexi com isto consegui bloquear o apache, teamspeak, samp, ssh e todos serviзos que requeriam conexгo da maquina. Entгo, preste muita atenзгo para nгo ocorrer imprevistos.

Para configurar o csf, vamos precisar modificar o arquivo do programa. Para esta tarefa, aconselho o uso do WinSCP ] que facilita nessas operaзхes, mas se vocк se acha foderoso suficiente para editar o arquivo via SSH, que mal tem?

Digite o comando para voltar para pasta padrгo

csf ~

Agora, digite o comando para ir para pasta de configuraзхes

cd /etc/csf/

Apуs isto, edite o arquivo

pico csf.conf

Agora, descendo a barra de rolagem com PAGE DOWN procure pelo seguinte trecho:

UDP_IN = "varias portas"

ao encontrar este trecho, vai para o final da string, deixando

UDP_IN = "varias portas, 7777, 22"

e logo abaixo tambйm terб

UDP_OUT ="varias portas"

tambйm deixe

UDP_OUT = "varias portas, 7777, 22"

para liberar as portas ssh (22) e sa:mp (7777) se seu servidor estiver alocado em outra porta, troque 7777 para porta que vocк vai usar

Apуs isto, continue dando PAGE DOWN atй achar SYN_FLOOD, deixe o SYN_FLOOD = "0"

Entгo, apуs editar todo arquivo CSF, dк CTRL + X para fechar o pico, e tecle Y para confirmar as alteraзхes.


Apуs isto, rode normalmente o csf digitando o comando csf -e ..


LEMBRANDO: Caso quiser bloquear IPS vocк pode dar csf -d IP assim bloquearб conexхes de um determinado IP, no meu caso, eu recebia ataques de botnets estrangeiros, entгo bloquei todas faixas de IPS vindo de fora do Brasil e nгo sofri mais ataques. Porйm, tem um detalhe, ao bloquear IPS estrangeiros seu servidor sу poderб ser acessado por gente brasileira, entгo, bastante cuidado nessa parte.

Lembrando, se bloquear faixas de IP estrangeiro, seu servidor nunca mais vai cair com ataques DDOS, atй porque, quase 100% deles sгo feitos via IPS estrangeiros que tem uma maior potencia na maquina. Ataque DDOS proveniente do Brasil й fraco em sua grande maior.


Se eu fizer mais um tutorial, ensinarei como detectar os ataques DDOS com csf e com netstat.

Espero que gostem deste

Fonte: http://projetomp.com.br
Programa utilizado: http://configserver.com/cp/csf.html
Criador do Tutorial: Bruno da Silva
Agradecimentos: Carlos Heitor Lain

[ipsBruno]

Postagem reservada para futuros adendos.

Estou mexendo com Linux a pouco menos de 1 mкs, se tiver algum erro com relaзгo aos comandos favor reportar. Qualquer erro ortogrбfico no tutorial tambйm podem me reportar, fiz o tutorial rapidamente sу para dar uma ideia а quem jб tem uma maquina Linux e tenta evitar esses problemas.

Postei aqui porque й um tutorial fora do assunto de programaзгo, alйm do mais, nгo й nenhum tipo de lanзamento

[GReeN_WOoD]

Excelente Bruno! Teria como o SR criar uma lista de IPS estrangeiros para facilitar nosso procedimento !?!
GRATO! +REP.

[ipsBruno]

O Carlos fez um script antigamente para fazer isto, acho que deletei aqui, entгo vou recriar em PHP ou Pawn, sу um momento


EDITADO:

Aqui, vai dar a lista de IPs estrangeiros.
http://mixmusicas.com.br/estrageiros.php

Vai dar os comandos, sу colar no SSH (clicando com botгo direito do mouse) e dar ENTER, vai bloquear esses IPS nгo-nacionais. (Isso й pra quem MORA NO BRASIL, vai bloquear IPS de Portugal. ATENCAO)


Cуdigo usado:

PHP код:

<?php
    # Pais: BRASIL
    # Cуdigo ISO: BR
    # Total  de redes liberadas: 273
    # Total endereзos liberados:  42,337,792
    # Listas retiradas do site: https://under-linux.org/showthread.php?t...0.30412322
    # Por Bruno da Silva
    $i = 0;
    while($i < 255) {
        $i++;
        switch($i) {
            case 139: continue;
            case 143: continue;
            case 144: continue;
            case 146: continue;
            case 147: continue;
            case 150: continue;
            case 152: continue;
            case 155: continue;
            case 157: continue;
            case 161: continue;
            case 164: continue;
            case 170: continue;
            case 177: continue;
            case 189: continue;
            case 192: continue;
            case 198: continue;
            case 200: continue;
            case 201: continue;
            case 206: continue;
            default: print("csf -d ".$i.".0.0.0/8<br/>");
        }    
            
    }
?>

[Saw_BR]

parabйns pela postagem, mesmo que hoje se precise de protecгo IN hardware/software e um bom monitoramento para mitigar isso.

[ipsBruno]

Os ataques DDOS ocorrem quando й um grande nъmero de dados enviado em pouco tempo. Bloqueando essas conexхes o servidor nгo aceitarб qualquer tipo de dado do ip que estб atacando, logo, o cara precisaria milhares de maquinas para poder fazer requisiзхes curtas e leves a cada segundo, e ainda assim eu nгo sei se ele conseguiria derrubar a maquina.

Vale lembrar, se se isto for um VPS vocк nгo estб totalmente seguro, porque se o hacker mandar ataques para outro servidor do dedicado (outro VPS hospedado na mesma maquina que a sua) seu servidor vai cair junto. Entгo й aconselhбvel fazer este procedimentos nos outros caras que usam sua hospedagem, ou pegar um dedicado logo.

[GM_KoDi]

Уtimo +REP

[AndersonAq]

Pega em Linux CentOS?

[ipsBruno]

Pegar pega, mas nгo sei exatamente como instalar pois testei apenas em Ubuntu.

[ErickOwnZ]

Nгo serб um software que irб barrar um DDoS, infelizmente. Principalmente quando o ataque for superior a banda de seu servidor.

[toxiic]

Quote:

Originally Posted by ErickOwnZ Nгo serб um software que irб barrar um DDoS, infelizmente. Principalmente quando o ataque for superior a banda de seu servidor.

Exatamente ;]

[Chefгo]

Quote:

Originally Posted by ErickOwnZ Nгo serб um software que irб barrar um DDoS, infelizmente. Principalmente quando o ataque for superior a banda de seu servidor.

essa й a pura verdade do mundo ^^
mais eu nem queria comentar isso!
eu queria dar uma esperanзa para os noobs kkkkkk

[StrondA_]

Se fosse simples assim barrar ataques DDoS de grande escala as empresas de grande porte hoje estariam com um preзo mais acessнvel, pois qualquer um os bloquearia.

obs: dependendo da faixa que vocк bloquear seu servidor nгo irб aparecer na lista do sa-mp. 'internet'

[ipsBruno]

Quote:

Originally Posted by StrondA_ Se fosse simples assim barrar ataques DDoS de grande escala as empresas de grande porte hoje estariam com um preзo mais acessнvel, pois qualquer um os bloquearia. obs: dependendo da faixa que vocк bloquear seu servidor nгo irб aparecer na lista do sa-mp. 'internet'

Bem lembrado, se bloquear a faixa de IP do SA:MP vai acontecer isto mesmo. Tem que liberar dai sa-mp.com em csf.dydns

Quote:

Originally Posted by ErickOwnZ Nгo serб um software que irб barrar um DDoS, infelizmente. Principalmente quando o ataque for superior a banda de seu servidor.

Claro, mas como o ataque vai conseguir alocar banda no meu servidor ele estiver bloqueando os dados? .. O que pode fazer й usar vбrias maquinas para floodar a conexгo fazendo cansar o firewall. Agora, enviar "packets gigantes" de um ip bloqueado com uma internet gigantescamente boa nгo vai derrubar o servidor tгo fбcil, eu fiz alguns testes.

Meu VPS era de 10 mbps, eu tentei atacar com uns 150 dedicados e vps empresariais tudo em uma vez sу (alguns com 1gbps de uplink) e com estes 150 ips bloqueados eu nгo consegui lagar o site. Isto porque os dedicados nгo conseguiam fazer a conexгo, logo nгo poderiam alocar nenhum dado na banda do VPS, tornando impossнvel o ataque.

[steki.]

Lembrando que esse tutorial sу serve para ataques DDoS da camada 7. As outras abaixo requerem outras medidas.

[ipsBruno]

Quote:

Originally Posted by steki. Lembrando que esse tutorial sу serve para ataques DDoS da camada 7. As outras abaixo requerem outras medidas.

Camada de aplicaзгo? Ele bloqueia as conexхes, logo nem chega na camada de aplicaзгo. Й camada de rede ou de transporte (4 ou 3) .. acredito.

[ErickOwnZ]

Quote:

Originally Posted by ipsBruno Bem lembrado, se bloquear a faixa de IP do SA:MP vai acontecer isto mesmo. Tem que liberar dai sa-mp.com em csf.dydns Claro, mas como o ataque vai conseguir alocar banda no meu servidor ele estiver bloqueando os dados? .. O que pode fazer й usar vбrias maquinas para floodar a conexгo fazendo cansar o firewall. Agora, enviar "packets gigantes" de um ip bloqueado com uma internet gigantescamente boa nгo vai derrubar o servidor tгo fбcil, eu fiz alguns testes. Meu VPS era de 10 mbps, eu tentei atacar com uns 150 dedicados e vps empresariais tudo em uma vez sу (alguns com 1gbps de uplink) e com estes 150 ips bloqueados eu nгo consegui lagar o site. Isto porque os dedicados nгo conseguiam fazer a conexгo, logo nгo poderiam alocar nenhum dado na banda do VPS, tornando impossнvel o ataque.

Ok, jovem. O ataque vai alocar a banda de download, e nгo de upload. Vocк vai conseguir enviar pacotes, porйm, vai ter perda de pacotes no download. Nгo adianta vocк bloquear um ataque atravйs de um mero software, e continuar recebendo o ataque na NIC (Network interface controller)

Se fosse tгo fбcil assim, a maioria dos IDCs nгo gastariam pilhas de dinheiro com upstreams de qualidade.

Se vocк bloquear no servidor, o servidor vai DROPAR os pacotes, nгo vai responder, porйm, o ataque vai continuar chegando em seu servidor, e vai continuar chegando em seu router/switch.

[Locky_]

Funciona em CentOS \o/
Instalei em uma outra mбquina minha.
Sу uma parte do tutorial que й diferenciada.

"pico csf.conf"
no centos й
"nano csf.conf"

e o resto й igual

[GWMPT]

Se fosse assim tгo facil "barrar ataques DDOS definitivamente" com o software, as datacenters nunca teriam gastado dinheiro com o hardware da cisco...