Adaptação de SCRIPT - ANTI DDOS
-
Bom dia pessoal
Seguinte, encontrei um script feito para iptables que promete mitigar os problemas com DDOS.
A minha pergunta/sugestão seria: Existe a possibilidade de migrar esse script parar o PFsense?
Acredito que seria de grande valia já que este é um problema que assombrar a maioria dos sysadmin, pois normalmente não temos o que fazer.Segue o link do mesmo http://www.hackersgarage.com/wp-content/uploads/2011/08/antiDDoS.txt
-
leandruco,
A primeira vista, o diferencial deste script esta somente em habilitar todos as proteções existentes no iptables.
O pfSense vem bem fechado de fábrica. Da uma olhada nos limites de conexão para os protocolos que você tem aberto para a internet.
bogons networks também é uma boa pedida para a wan.
E é claro, pede dois servidores físicos para o seu chefe ;)
-
Opa marcello esses limites estariam em System Tunables?
-
leandruco,
As opções de limite são aplicadas na própria regra, basta clicar advanced para aparecer.
Depois que você definir os limites de conexão para suas regras, sugiro você instalar o pacote do cron e diminiur o tempo de vida das regras de bloqueio.
Não estou perto de um pfsense agora, mas daqui a pouco posto a tela do com com as alterações que julgo necessárias.Uma boa forma de proteger o servidor web é utilizar o varnish. Nos ambientes que já testei, a carga do servidor caiu consideravelmente.
att,
Marcello Coutinho -
Blz Marcello.
Em system tunables tbm tem umas configurações bacana em relação a tamanho de pacote e etc.
Acho que uma boa configurada nesta tela e os limites em cada regra devem ajudar. -
O script para aumentar a frequencia de execução é
/usr/bin/nice -n20 /usr/local/sbin/expiretable -v -t 120 virusprot
Qualquer ip que atingir o limite da regra, vai cai nesta tabela.
Para ver a quantidade de ips bloqueados vá em diagnostics-> tables.
-
Colegas,
Esse script que vc mencionou só vai aumentar a carga de processamento do firewall.
A unica solução contra DDoS de origem externo é reza, jogar paciência e tomar café..
basta o atacante tiver o triplo da sua banda, não tem pfsense, linux, freebsd, openbsd que suporte tanta requisição
para um determinado serviço.Existe alternativas, porem paliativas que não resolve por completo, ferramentas como LOIC e T50 em ambiente externo são terríveis,
recentemente nem mesmo o serpro, fbi, sony consegue suportar uma tamanha carga eu seus sites.Veja o novo alvo..
-
Pois é.
Eu sei disso mantunespb.
Mas como é um script novo achei que teria algo de diferente mas não funcioná não é só promessas.
O jeito é contar com o apoio das operadoras e paciência.