[Tutorial] Medidas para evitar ataques DDoS
#1

Medidas para evitar ataques DDoS


Introduзгo:

Os ataques DoS/DDoS tem vindo a aumentar bastante nos ъltimos meses, e com isso й preciso implementar medidas para evitar que seu servidor seja atacado. Se vocк й daqueles caras que prefere ter um servidor hospedado no seu computador para evitar gastar dinheiro e estб aguardando algum milagre, entгo jб pode fechar este tutorial.
Nгo hб nenhuma forma de evitar um ataque DDoS a 100% e muito menos num servidor online cujo o protocolo й 17 (UDP), o que podemos fazer й implementar medidas para reduzir a probalidade disto acontecer.



Ingredientes:

⦁ Virtual Private Server (VPS) Linux.
⦁ Cйrebro.



Procedimentos:

Em primeiro lugar devemos proteger a mбquina de ataques RANDOM que sгo feitos atravйs de portas aleatуrias que estejam abertas, й muito frequente atacarem a porta 22. Este tipo de ataque atualmente й muito perigoso, principalmente nos servidores da OVH, em que a proteзгo dos servidores dedicados em Layer 4 й quase perfeita, mas quando se trata de VPS a histуria й outra, hб vбrios metуdos RANDOM que fazem bypass aos planos bбsicos da OVH.

Soluзгo:

Configuramos algumas regras no iptables para permitir somente o seu IP a estabelecer uma conexгo а porta 22.

PHP Code:
iptables -F
iptables 
-A INPUT -s SEUIP -p tcp --dport 22 -j ACCEPT
iptables 
-A INPUT -p tcp --dport 22 -j DROP 
Em "SEUIP" deve modificar pelo seu IP pъblico, se vocк nгo sabe o seu IP pode verificar-lo neste site.

Se utilizar um servidor mysql, deverб fazer o mesmo procedimento para a porta 3306.

PHP Code:
iptables -A INPUT -s SEUIP -p tcp --dport 3306 -j ACCEPT
iptables 
-A INPUT -p tcp --dport 22 -j DROP 
Se vocк utilizar alguma conexгo remota para o mysql, por exemplo, um UCP terб de permitir o IP da mбquina em que estб hospedado o mesmo.




Em segundo temos de proteger contra os ataques ICMP que jб sгo velhos mas continuam a funcionar e bastantes empresas Hosting continuam vulnerбveis. Este tipo de ataque sгo os mais perturbadores, na minha opiniгo. Eu jб explorei esta vulnerabilidade muito a fundo, desenvolvi um script em lнnguagem C em que mandava milhares de requisiзхes a um servidor e o mesmo deixava de responder. Vou deixar abaixo um metуdo de proteзгo.

PHP Code:
iptables -A INPUT -p ICMP --icmp-type echo-request -m length --length 60:65535 -j ACCEPT
iptables 
-A INPUT -p ICMP --icmp-type echo-request -m pkttype --pkttype broadcast -j DROP
iptables 
-A INPUT -p ICMP --icmp-type echo-request -m limit --limit 3/-j ACCEPT
iptables 
-A INPUT -p ICMP --j DROP 



Em terceiro, hб os ataques UDP Flood que a maioria das empresas de hospedagem games oferece uma mitigaзгo. Vou deixar abaixo algumas regras.

PHP Code:
iptables -N UDP-FLOOD 
iptables 
-A INPUT -p udp --dport 7777 -m ttl --ttl-eq=128 -j UDP-FLOOD
iptables 
-A UDP-FLOOD -p udp --dport 7777 -m length --length 17:604 -j DROP 

Quarto e terminando, nгo faзam igual muitas pessoas que estou vendo... Muitos colocam o servidor e o UCP na mesma mбquina, isso й um erro extremo. Ao fazerem isto, a probalidade de receberem ataques triplica e nгo й recomendбvel ter um servidor web e game na mesma mбquina.

Hб outros mйtodos para derrubar um servidor, tal como exploits e tambйm falhas nos gamemodes. Este tutorial o foco й somente DoS e DDoS, para as outras formas farei um tutorial diferente.

Qualquer dъvida, deixem nos comentбrios.
Reply
#2

Caramba.

Nunca vi isso por aqui.

Koplan, obrigado por disponibilizar.

+rep
Reply
#3

Quote:
Originally Posted by HelderPT
View Post
Caramba.

Nunca vi isso por aqui.

Koplan, obrigado por disponibilizar.

+rep
Nгo precisa agradecer, o fуrum serve para compartilhar conhecimento.
Reply
#4

Show.
Reply
#5

Й sempre bom ter algumas essas proteзхes, mas isso sу vai adiantar contra script kiddies que vгo ao ****** e procuram IP Stresser e usam o primeiro site que aparecer. Mas, como a maioria dos retardados que mandam DDoS a servidores de SAMP sгo script kiddies, vale sempre a pena utilizar essas dicas.

Em relaзгo а OVH, essa empresa й muito usada a nнvel mundial, e por isso й alvo de muitos ataques, logo hб centenas de mйtodos especializados contra esse tipo de mбquinas. Se for um ataque bem feito sу й parado banindo os IPs manualmente (o que em alguns mйtodos й impossнvel) ou usando uma firewall fнsica.

E uma coisa, qual й a razгo de a probabilidade dos ataques triplicar tendo uma pбgina web e um servidor de SAMP no mesmo servidor? Isso faria sentido se o IP do SAMP estivesse protegido, mas como nгo estб, o mбximo que pode acontecer й atacarem o servidor e cair o SAMP e o Web Server.
Reply
#6

Quote:
Originally Posted by bruxo00
View Post
Й sempre bom ter algumas essas proteзхes, mas isso sу vai adiantar contra script kiddies que vгo ao ****** e procuram IP Stresser e usam o primeiro site que aparecer. Mas, como a maioria dos retardados que mandam DDoS a servidores de SAMP sгo script kiddies, vale sempre a pena utilizar essas dicas.

Em relaзгo а OVH, essa empresa й muito usada a nнvel mundial, e por isso й alvo de muitos ataques, logo hб centenas de mйtodos especializados contra esse tipo de mбquinas. Se for um ataque bem feito sу й parado banindo os IPs manualmente (o que em alguns mйtodos й impossнvel) ou usando uma firewall fнsica.

E uma coisa, qual й a razгo de a probabilidade dos ataques triplicar tendo uma pбgina web e um servidor de SAMP no mesmo servidor? Isso faria sentido se o IP do SAMP estivesse protegido, mas como nгo estб, o mбximo que pode acontecer й atacarem o servidor e cair o SAMP e o Web Server.
Porque atualmente й muito fбcil derrubar um website, ainda mais do que um servidor SA-MP. Um simples ataque Layer 7 (que quase nenhuma empresa tem uma verdadeira proteзгo contra este tipo de ataque) poderia travar a mбquina por completo, caso a mбquina atingir o limite de recursos, coisa que й bem fбcil e nгo й necessбrio muitas mбquinas atacantes para o fazer.

E tambйm, poderia abrir verraduras na Firewall porque iria ter de permitir o trбfego TCP para uma grande lista de usuбrios, enquanto que tendo sу um servidor SA-MP, pode permitir somente na porta 22 para o seu IP e bloquear o resto.

Tal como eu referi acima, nunca й possнvel proteger-se a 100% contra ataques DDoS. A mitigaзгo tem um limite, se o ataque й bastante grande, com botnet's e grandes ataques spoof torna-se fбcil derrubar dedicados da OVH e tambйm grandes servidores.
Reply
#7

Quote:
Originally Posted by Koplan
View Post
Porque atualmente й muito fбcil derrubar um website, ainda mais do que um servidor SA-MP. Um simples ataque Layer 7 (que quase nenhuma empresa tem uma verdadeira proteзгo contra este tipo de ataque) poderia travar a mбquina por completo, caso a mбquina atingir o limite de recursos, coisa que й bem fбcil e nгo й necessбrio muitas mбquinas atacantes para o fazer.

E tambйm, poderia abrir verraduras na Firewall porque iria ter de permitir o trбfego TCP para uma grande lista de usuбrios, enquanto que tendo sу um servidor SA-MP, pode permitir somente na porta 22 para o seu IP e bloquear o resto.

Tal como eu referi acima, nunca й possнvel proteger-se a 100% contra ataques DDoS. A mitigaзгo tem um limite, se o ataque й bastante grande, com botnet's e grandes ataques spoof torna-se fбcil derrubar dedicados da OVH e tambйm grandes servidores.
Em relaзгo aos servidores web serem alvos fбceis, й uma verdade, mas hoje em dia toda a gente tem acesso a serviзos do tipo da Cloudflare (que tкm planos gratuitos), que nunca mostram o IP da mбquina onde estб o webserver ao utilizador, que logo aqui jб й uma coisa excelente, tкm proteзхes contra bots, ddos, optimizam o cуdigo em "tempo real", etc. Nгo й um sistema infalнvel, mas й um sistema muito bom. Se eles suportassem gameservers й que ia ser excelente.
Reply
#8

Quote:
Originally Posted by bruxo00
View Post
Em relaзгo aos servidores web serem alvos fбceis, й uma verdade, mas hoje em dia toda a gente tem acesso a serviзos do tipo da Cloudflare (que tкm planos gratuitos), que nunca mostram o IP da mбquina onde estб o webserver ao utilizador, que logo aqui jб й uma coisa excelente, tкm proteзхes contra bots, ddos, optimizam o cуdigo em "tempo real", etc. Nгo й um sistema infalнvel, mas й um sistema muito bom. Se eles suportassem gameservers й que ia ser excelente.
CloudFlare й um bom serviзo para otimizar o cуdigo, e sem dъvidas protege de ataques dos Script Kiddies, mas quem tem mais conhecimento sabe como passar pela proteзгo da CF, que й bem fбcil por sinal. Hб dezenas de formas para obter o IP real da mбquina, tal como tambйm formas de fazer bypass ao JS da "pбgina" de proteзгo aos ataques L7 sem necessitares do IP.
Reply
#9

Quote:
Originally Posted by Koplan
View Post
CloudFlare й um bom serviзo para otimizar o cуdigo, e sem dъvidas protege de ataques dos Script Kiddies, mas quem tem mais conhecimento sabe como passar pela proteзгo da CF, que й bem fбcil por sinal. Hб dezenas de formas para obter o IP real da mбquina, tal como tambйm formas de fazer bypass ao JS da "pбgina" de proteзгo aos ataques L7 sem necessitares do IP.
Pois, jб ando fora desse "mundo" hб algum tempo, nгo sabia que era assim tгo fбcil descobrir o IP real da mбquina pelo cloudflare!
Reply
#10

Quote:
Originally Posted by Locky_
Посмотреть сообщение
Hб sites que fazem isso por vocк. Mas nгo funciona com todos que os utilizam. Acredito que os planos pagos do CloudFlare e alguns outros recursos do mesmo, podem deixar o IP real da hospedagem do site camuflados.
A ъnica coisa que esses sites fazem й armazenar o IP do URL no momento em que alguйm pede. Exemplo: antes de eu ativar a cloudflare no meu site.com, alguйm foi a um desses cloudflare resolvers e o site guardou a informaзгo que o site.com estб hospedado em 200.200.200.200. Agora, mesmo que eu ative o cloudflare as pessoas que vгo ao resolver vгo conseguir ver que o site.com estб associado ao 200.200.200.200, mas apenas porque o site logou o IP antes de o cloudflare ser ativado. Por isso й que alguns funcionam e outros nгo.
Reply
#11

Quote:
Originally Posted by Koplan
View Post
Nгo precisa agradecer, o fуrum serve para compartilhar conhecimento.
Й uma pena que nem todo mundo pense como vocк ;-;
Reply
#12

Algo muito interessante, e isso com certeza й algo necessбrio para o pessoal que trabalha com VPS Linux e tem problemas, isso ameniza consideravelmente o nъmero de ataques.

Entre o ano de 2013 e 2014 eu tentei mexer com o iptables, e algumas outras ferramentas que nгo me lembro na internet para bloquear os ataques que eu tinha em meu servidor, nunca tive sucesso, na йpoca eu era bem novo em questгo, mas isso й algo muito bom, na йpoca eu vi o tutorial do ipsBruno tambйm.

+REPP
Reply
#13

Interessante! Embora eu possua servidores locais (PC prуprio para server etc) e utilize as funcionalidades que o mikrotik router OS ofereзa para barrar ataques etc!
Achei essa um soluзгo interessante!
Parabens
+Resp!
Reply
#14

o problema sгo os exploits, recentemente um cara descobriu um que nгo й possivel impedilo, sem um hotfix no SA:MP

mas kalcor estб cagando para updates!
Reply
#15

Excelente tutorial complementar
Reply
#16

Atualmente, sу existe uma proteзгo totalmente funcional quando se trata de redes: blockchain.
Reply
#17

Quote:
Originally Posted by RazorGuigo
Посмотреть сообщение
o problema sгo os exploits, recentemente um cara descobriu um que nгo й possivel impedilo, sem um hotfix no SA:MP

mas kalcor estб cagando para updates!
Os exploits й um grande problema tambйm. Mas como й algo mais avanзado, nada que os Skids vгo fazer.
Reply
#18

Quote:
Originally Posted by Koplan
Посмотреть сообщение
Os exploits й um grande problema tambйm. Mas como й algo mais avanзado, nada que os Skids vгo fazer.
o problema se um cara desses, disponibiliza isso para Skids, PS: nгo hб como corrigir este ataque se uma atualizaзгo no SA:MP (mesmo utilizando Pawn.RakNet ou Memory Hack, nгo tem como interceptar o ataque)

https://www.*******.com/channel/UC9j...4dtS2Vg/videos
Reply
#19

Quote:
Originally Posted by RazorGuigo
Посмотреть сообщение
o problema se um cara desses, disponibiliza isso para Skids, PS: nгo hб como corrigir este ataque se uma atualizaзгo no SA:MP (mesmo utilizando Pawn.RakNet ou Memory Hack, nгo tem como interceptar o ataque)

https://www.*******.com/channel/UC9j...4dtS2Vg/videos
Nada demais, й sу uma vulnerabilidade no plugin SKY e jб teve um hotfix, nгo tem nada haver com o SA-MP.
Reply
#20

Quote:
Originally Posted by Koplan
Посмотреть сообщение
Nada demais, й sу uma vulnerabilidade no plugin SKY e jб teve um hotfix, nгo tem nada haver com o SA-MP.
https://github.com/oscar-broman/SKY/pull/17

Mais especificamente, mandar NaN nos pacotes de sync faz o servidor entrar em loop infinito, algo que jб consertei no meu pull-request. Se alguйm usa o plugin, recomendo atualizar:

https://mirror.jeroendeneef.com/samp...d4389c195ffc6/
Reply


Forum Jump:


Users browsing this thread: 1 Guest(s)