Supuesto ataque ddos interno



  • saludos

    necesito un poco de ayuda en el siguiente caso, actualmente tengo la siguiente configuracion:

    router proveedor–---pfsense-------router inalambrico-------n clientes

    en el pfsense tengo bloqueado puertos 25-110-995...etc...solo les doy navegacion a los usuarios por el 80, pero he detectado que un supuesto ataque de ddos que han estado realizando hacia afuera por medio de la anterior configuracion saliendo por el 80, como puedo mitigar eso en el firewall o como lo podria hacer.



  • en el pfsense tengo bloqueado puertos 25-110-995…etc...solo les doy navegacion a los usuarios por el 80

    No entiendo muy bien cómo manejas las reglas. En principio está todo negado, salvo lo que autorices. Por eso inicialmente hay una regla default que permite todo, la cual conviene desactivar.

    que han estado realizando hacia afuera por medio de la anterior configuracion saliendo por el 80

    ¿Saliendo por el 80? ¿O yendo a un 80 como destino? No entiendo muy bien.

    Por favor, postea datos más específicos.



  • bueno el problema que me da es q esta saliendo por el puerto 80 aparentemente, segun spamhaus.org es una especie de spam que sale por el puerto 80 realizando ataques por ese puierto, aunque da nombre de virus variados que pueden salir por el puerto 25, ahora mi pregunta es si hay la posibilidad de controlar el puerto 25 que para mi es la salida del ataque….

    mi otra pregunta es si hay alguna herramienta como el iptraf que permite ver la cantidad de paquetes que envian los clientes hacia el server



  • o si se podria aplicar el spamd para la salida de las peticiones del puerto 25


  • Rebel Alliance

    Talvez con el paquete "ntop" puedas analizar el tema, y hallar al "culpable"…..



  • ok gracias….ya lo implementare



  • instale ntop ..pero el servicio en la la direccion x.x.x.x:3000 no carga…..pero veo el servicio del ntop corriendo, alguna ayuda por favor



  • ya vi el problema…el ntop cogio la interface wan del pf ....ya estoy viendo como la cambio a la LAN



  • Sigo sin entender qué instalación tienes… Si tu IP pública figura como spammer en http://www.spamhaus.org/ debes tener alguna de estas situaciones:

    1. Clientes de correo (Outlook, ThunderBird...) enviando (masivamente) a cuentas en servidores SMTP.
    2. Servidor de correo SMTP enlazando (masivamente) con SMTP en internet.
    3. Equipos con algún virus que está realizando envíos masivos hacia servidores SMTP.

    SMTP es TCP 25 en modo normal.

    Revisa entonces qué emplean/necesitan y están haciendo tus usuarios con la emisión de correo.

    No sé si puedes plantearte o no que nadie pueda enviar directamente correo a un SMTP. En mi lugar habitual de trabajo esto es así desde hace más de 10 años. Los usuarios están obligados a emplear correo web y en los casos que esto no puede ser (correos emitidos por servidores, fotocopiadoras...) hago pasar el correo por un servidor de correo que sólo se dedica a eso y está "bajo control".

    La emisión de correo es muy problemática y hay que tenerla muy bien controlada.



  • efectivamente asi esta….pero sucede que alguna maquina tiene un virus en la red wifi y es la que emitia el ataque tanto en el puerto 25 como al 80.....ya mitigue esos ataques en los equipos bases de la red wifi, dandoles controles en el firewall....y se detecto desde donde estan saliendo.....gracias por la ayuda...el ntop ayudo bastante.


Log in to reply