Adaptação de SCRIPT - ANTI DDOS

leandruco · Jan 30, 2012, 12:17 PM

Bom dia pessoal
Seguinte, encontrei um script feito para iptables que promete mitigar os problemas com DDOS.
A minha pergunta/sugestão seria: Existe a possibilidade de migrar esse script parar o PFsense?
Acredito que seria de grande valia já que este é um problema que assombrar a maioria dos sysadmin, pois normalmente não temos o que fazer.

Segue o link do mesmo http://www.hackersgarage.com/wp-content/uploads/2011/08/antiDDoS.txt

marcelloc · Jan 30, 2012, 12:34 PM

leandruco,

A primeira vista, o diferencial deste script esta somente em habilitar todos as proteções existentes no iptables.

O pfSense vem bem fechado de fábrica. Da uma olhada nos limites de conexão para os protocolos que você tem aberto para a internet.

bogons networks também é uma boa pedida para a wan.

E é claro, pede dois servidores físicos para o seu chefe ;)

leandruco · Jan 30, 2012, 12:34 PM

Opa marcello esses limites estariam em System Tunables?

marcelloc · Jan 30, 2012, 12:51 PM

leandruco,

As opções de limite são aplicadas na própria regra, basta clicar advanced para aparecer.

Depois que você definir os limites de conexão para suas regras, sugiro você instalar o pacote do cron e diminiur o tempo de vida das regras de bloqueio.
Não estou perto de um pfsense agora, mas daqui a pouco posto a tela do com com as alterações que julgo necessárias.

Uma boa forma de proteger o servidor web é utilizar o varnish. Nos ambientes que já testei, a carga do servidor caiu consideravelmente.

att,
Marcello Coutinho

leandruco · Jan 30, 2012, 1:02 PM

Blz Marcello.
Em system tunables tbm tem umas configurações bacana em relação a tamanho de pacote e etc.
Acho que uma boa configurada nesta tela e os limites em cada regra devem ajudar.

marcelloc · Jan 30, 2012, 4:22 PM

O script para aumentar a frequencia de execução é

/usr/bin/nice -n20 /usr/local/sbin/expiretable -v -t 120 virusprot

Qualquer ip que atingir o limite da regra, vai cai nesta tabela.

Para ver a quantidade de ips bloqueados vá em diagnostics-> tables.

mantunespb · Jan 30, 2012, 5:20 PM

Colegas,

Esse script que vc mencionou só vai aumentar a carga de processamento do firewall.

A unica solução contra DDoS de origem externo é reza, jogar paciência e tomar café..

basta o atacante tiver o triplo da sua banda, não tem pfsense, linux, freebsd, openbsd que suporte tanta requisição
para um determinado serviço.

Existe alternativas, porem paliativas que não resolve por completo, ferramentas como LOIC e T50 em ambiente externo são terríveis,
recentemente nem mesmo o serpro, fbi, sony consegue suportar uma tamanha carga eu seus sites.

Veja o novo alvo..

http://info.abril.com.br/noticias/seguranca/anonymous-anuncia-ataque-a-bancos-no-brasil-30012012-9.shl

leandruco · Jan 30, 2012, 6:51 PM

Pois é.
Eu sei disso mantunespb.
Mas como é um script novo achei que teria algo de diferente mas não funcioná não é só promessas.
O jeito é contar com o apoio das operadoras e paciência.