Prevención de ataques por DDOS



  • Estimados, tengo un problema: tengo en una ip publica un servidor y estoy sufriendo de ataques por denegación de servicios (DDOS), alguien sabe como provenir esto usando pfsense ???



  • o bien controlar el udp flood ????



  • Saludos mi estimado  seria interesante conocer el servicio que esta siendo atacado para ofrecer posibles soluciones..



  • nadie parece saber como controlar esto  :'(



  • usa snort,

    hay una regla para blokear la ip desde la cual te estan atacando.

    Saludos!



  • y si atacan 100 o 200 simultáneos? no existe nada para detectar y bloquear la ip automáticamente??



  • en general detecta un atake ddos, y bloquea el trafico desde las ips origen asi sean  100,000



  • podrías decirme cual es la opción en especifico que hace esta tarea??, ya que busco y no encuentro
    voy a probar y comento que tal me fue



  • tengo un ejemplo practico del problema:
    usando la app UDP UNICORN desde un equipo dentro de la lan envió packetes al pfsense y este los recibe. la idea es hacer que este detecte que es un ataque y bloquee la ip. sera esto posible?



  • ¿Qué servicio tienes publicado por UDP? ¿Un DNS, un NTP…?



  • Nuevamente como lo hice al principio y como lo acota el maestro bellera se requiere saber que servicios tienes publicados o presenta el ataque ddos las soluciones a estos inconvenientes son variables en funcion a estos



  • como ya comente antes, con el software UDP UNICORN (para windows) puedo flodear pfsense, a pesar de tener UDP completamente bloqueado, finalmente satura mi enlace dedicado. si ya tengo bloqueado UDP completo por que se sigue saturando pfsense??



  • Interesante…

    Parece que no hay manera de evitar esto con un cortafuegos, pues son peticiones a atender...

    Google flood pfsense

    https://forum.pfsense.org/index.php?topic=57709.msg308697#msg308697

    http://wiki.mikrotik.com/wiki/DoS_attack_protection (siempre va bien mirar a Mikrotik -bien documentado-)

    Google flood ataque

    http://www.securitybydefault.com/2010/02/syn-flood-que-es-y-como-mitigarlo.html

    Google flood prevent freebsd

    http://nixcraft.com/showthread.php/16587-FreeBSD-PF-shell-script-to-block-Syn-Flood-DDoS-Attacks

    Al final hay un script basado en detectar los estados problemáticos y borrarlos. Parece una buena solución para mitigarlo.

    Algunas de las medidas explicadas en http://www.sectechno.com/quick-tips-to-fight-ddos-attack/ están implementadas en System: Advanced: System Tunables



  • Hola, si estas sufriendo ataques DOS, esos IP's ya investigastes de donde vienen?
      A lo mejor bloqueado el rango de IP's por pais te ayudaria.
      Por ejemplo no creo que tengas negocios con Irlanda del norte por asi decirlo.
      Saludos.



  • Debes leer, se ayuda en lo que se puede la mayoria de foristas siempre estan atentos y siempre te daran un norte para que puedas solucionar tu problema, pero obviamente tienes que poner de tu parte,
    si no quieres leer nadie vendra a darte las soluciones en la mano.

    Te dije al principio: usa SNORT hay reglas para responder a los atakes DDOS.

    Lee como instalar SNORT, registra tu OINKCODE.

    UNA VEZ que hayas terminado de hacer eso, DEBES crear reglas para WAN y para LAN, si quieres FLOODEAR tu FIREWALL desde adentro DEBES CREAR LA REGLA ANTIFLOOD DESDE LAN.

    
    11/21/14 13:31:27	3	UDP	Generic Protocol Command Decode	192.168.5.192
    Icon Reverse Resolve with DNS  Add this alert to the Suppress List and track by_src IP	0	192.168.5.254
    Icon Reverse Resolve with DNS  Add this alert to the Suppress List and track by_dst IP	0	123:8
    Add this alert to the Suppress List  Force-disable this rule and remove it from current rules set.	(spp_frag3) Fragmentation overlap
    11/21/14
    13:31:27	3	UDP	Generic Protocol Command Decode	192.168.5.192
    Icon Reverse Resolve with DNS  Add this alert to the Suppress List and track by_src IP	0	192.168.5.254
    Icon Reverse Resolve with DNS  Add this alert to the Suppress List and track by_dst IP	0	123:8
    Add this alert to the Suppress List  Force-disable this rule and remove it from current rules set.	(spp_frag3) Fragmentation overlap
    11/21/14
    13:31:27	3	UDP	Generic Protocol Command Decode	192.168.5.192
    Icon Reverse Resolve with DNS  Add this alert to the Suppress List and track by_src IP	0	192.168.5.254
    Icon Reverse Resolve with DNS  Add this alert to the Suppress List and track by_dst IP	0	123:8
    Add this alert to the Suppress List  Force-disable this rule and remove it from current rules set.	(spp_frag3) Fragmentation overlap
    11/21/14
    13:31:27	3	UDP	Generic Protocol Command Decode	192.168.5.192
    Icon Reverse Resolve with DNS  Add this alert to the Suppress List and track by_src IP	54395	192.168.5.254
    Icon Reverse Resolve with DNS  Add this alert to the Suppress List and track by_dst IP	58693	123:8
    Add this alert to the Suppress List  Force-disable this rule and remove it from current rules set.	(spp_frag3) Fragmentation overlap
    11/21/14
    13:31:18	3	UDP	Generic Protocol Command Decode	192.168.5.192
    Icon Reverse Resolve with DNS  Add this alert to the Suppress List and track by_src IP	0	192.168.5.254
    Icon Reverse Resolve with DNS  Add this alert to the Suppress List and track by_dst IP	0	123:8
    Add this alert to the Suppress List  Force-disable this rule and remove it from current rules set.	(spp_frag3) Fragmentation overlap
    11/21/14
    13:31:18	3	UDP	Generic Protocol Command Decode	192.168.5.192
    Icon Reverse Resolve with DNS  Add this alert to the Suppress List and track by_src IP	0	192.168.5.254
    Icon Reverse Resolve with DNS  Add this alert to the Suppress List and track by_dst IP	0	123:8
    Add this alert to the Suppress List  Force-disable this rule and remove it from current rules set.	(spp_frag3) Fragmentation overlap
    11/21/14
    13:31:18	3	UDP	Generic Protocol Command Decode	192.168.5.192
    Icon Reverse Resolve with DNS  Add this alert to the Suppress List and track by_src IP	0	192.168.5.254
    Icon Reverse Resolve with DNS  Add this alert to the Suppress List and track by_dst IP	0	123:8
    Add this alert to the Suppress List  Force-disable this rule and remove it from current rules set.	(spp_frag3) Fragmentation overlap
    11/21/14
    13:31:18	3	UDP	Generic Protocol Command Decode	192.168.5.192
    Icon Reverse Resolve with DNS  Add this alert to the Suppress List and track by_src IP	0	192.168.5.254
    Icon Reverse Resolve with DNS  Add this alert to the Suppress List and track by_dst IP	0	123:8
    Add this alert to the Suppress List  Force-disable this rule and remove it from current rules set.	(spp_frag3) Fragmentation overlap
    11/21/14
    13:31:18	3	UDP	Generic Protocol Command Decode	192.168.5.192
    Icon Reverse Resolve with DNS  Add this alert to the Suppress List and track by_src IP	54395	192.168.5.254
    Icon Reverse Resolve with DNS  Add this alert to the Suppress List and track by_dst IP	33902	123:8
    Add this alert to the Suppress List  Force-disable this rule and remove it from current rules set.	(spp_frag3) Fragmentation overlap
    11/21/14
    13:31:18	3	UDP	Generic Protocol Command Decode	192.168.5.192
    Icon Reverse Resolve with DNS  Add this alert to the Suppress List and track by_src IP	0	192.168.5.254
    Icon Reverse Resolve with DNS  Add this alert to the Suppress List and track by_dst IP	0	123:8
    Add this alert to the Suppress List  Force-disable this rule and remove it from current rules set.	(spp_frag3) Fragmentation overlap
    11/21/14
    13:31:18	3	UDP	Generic Protocol Command Decode	192.168.5.192
    Icon Reverse Resolve with DNS  Add this alert to the Suppress List and track by_src IP	54395	192.168.5.254
    Icon Reverse Resolve with DNS  Add this alert to the Suppress List and track by_dst IP	10526	123:8
    Add this alert to the Suppress List  Force-disable this rule and remove it from current rules set.	(spp_frag3) Fragmentation overlap
    

    Ese es un log, en unas pruebas que hice dentro de mi red, floodeando mi firewall desde mi computadora.
    Si detecta el atake entonces es posible rechazarlo.

    Ya mas no puedo hacer por ti.

    PD. No me acuerdo del passwd de mi otra cuenta y el correo que estaba vinculado ya no existe, hay manera de recuperar mi antiguo user ?  :-\



  • @trasher:

    PD. No me acuerdo del passwd de mi otra cuenta y el correo que estaba vinculado ya no existe, hay manera de recuperar mi antiguo user ?  :-\

    Complicado, supongo. Puedo administrar mensajes pero no usuarios.

    Tendrías que dirigirte a alguno de los administradores "generales":

    https://forum.pfsense.org/index.php?action=mlist;sort=id_group;start=0



  • https://forum.pfsense.org/index.php?topic=26966.0

    según ese hilo, no es posible bloquear ataques ddos con pfsense, solo queda pedir al isp que bloquee las ip atacantes por mi, que esta en una capa mas baja. alguna idea?





  • Ya te dijeron anteriormente que uses bloqueo de IP por paises, eso debe servirte, para ello instala pfBlocker desde System/Packages. Saludos




 

© Copyright 2002 - 2018 Rubicon Communications, LLC | Privacy Policy