Adaptação de SCRIPT - ANTI DDOS



  • Bom dia pessoal
    Seguinte, encontrei um script feito para iptables que promete mitigar os problemas com DDOS.
    A minha pergunta/sugestão seria: Existe a possibilidade de  migrar esse script parar o PFsense?
    Acredito que seria de grande valia já que este é um problema que assombrar a maioria dos sysadmin, pois normalmente não temos o que fazer.

    Segue o link do mesmo http://www.hackersgarage.com/wp-content/uploads/2011/08/antiDDoS.txt



  • leandruco,

    A primeira vista, o diferencial deste script esta somente em habilitar todos as proteções existentes no iptables.

    O pfSense vem bem fechado de fábrica. Da uma olhada nos limites de conexão para os protocolos que você tem aberto para a internet.

    bogons networks também é uma boa pedida para a wan.

    E é claro, pede dois servidores físicos para o seu chefe  ;)



  • Opa marcello esses limites estariam em System Tunables?



  • leandruco,

    As opções de limite são aplicadas na própria regra, basta clicar advanced para aparecer.

    Depois que você definir os limites de conexão para suas regras, sugiro você instalar o pacote do cron e diminiur o tempo de vida das regras de bloqueio.
    Não estou perto de um pfsense agora, mas daqui a pouco posto a tela do com com as alterações que julgo necessárias.

    Uma boa forma de proteger o servidor web é utilizar o varnish. Nos ambientes que já testei, a carga do servidor caiu consideravelmente.

    att,
    Marcello Coutinho



  • Blz Marcello.
    Em system tunables tbm tem umas configurações bacana em relação a tamanho de pacote e etc.
    Acho que uma boa configurada nesta tela e os limites em cada regra devem ajudar.



  • O script para aumentar a frequencia de execução é

    /usr/bin/nice -n20 /usr/local/sbin/expiretable -v -t 120 virusprot

    Qualquer ip que atingir o limite da regra, vai cai nesta tabela.

    Para ver a quantidade de ips bloqueados  vá em diagnostics-> tables.



  • Colegas,

    Esse script que vc mencionou só vai aumentar a carga de processamento do firewall.

    A unica solução contra DDoS de origem externo é reza, jogar paciência e tomar café..

    basta o atacante tiver o triplo da sua banda, não tem pfsense, linux, freebsd, openbsd que suporte tanta requisição
    para um determinado serviço.

    Existe alternativas, porem paliativas que não resolve por completo, ferramentas como LOIC e T50 em ambiente externo são terríveis,
    recentemente nem mesmo o serpro, fbi, sony consegue suportar uma tamanha carga eu seus sites.

    Veja o novo alvo..

    http://info.abril.com.br/noticias/seguranca/anonymous-anuncia-ataque-a-bancos-no-brasil-30012012-9.shl



  • Pois é.
    Eu sei disso mantunespb.
    Mas como é um script novo achei que teria algo de diferente mas não funcioná não é só promessas.
    O jeito é contar com o apoio das operadoras e paciência.


Log in to reply