+ Responder ao Tópico



  1. #1

    Padrão Ataque de DOS pelo PPPoE

    Bom dia pessoal, essa semana passei por uma experiencia nova.
    Um cliente meu é estudante de informática e de quando em quando ele inventa alguma coisa pra me dar trabalho. Dessa vez ele usou alguma coisa pra fazer um ataque de DOS contra meu MK no serviço de PPPoE que ativei.
    Funciona da seguinte forma: o atacante dispara um turbilhão de pedidos de conecção, ainda não sei qual é a ferramenta que é utilizada pra isso e com um determinado tempo o servidor trava a interface e o serviço pára de vez.
    Só foi possível identificar o ataque porque alterei as configurações de log para armazenarem em disco e até 10.000 linhas. Desse ponto em diante a anomalia que aparecia era um monte de pedidos de conecção falhadas e uma atraz da outra.
    Bom, eu sei que o máximo de concções PPP que o MK aceita, são 5.000 e acho que é aí que esse ataque se baseia ....
    Meu MK é 2.9.27.
    Se alguem teve essa experiencia e conseguiu resolver sem processar ou "cortar" o cliente, eu gostaria de saber como foi ......
    Obrigado a todos.

  2. #2

    Padrão

    amigo, se vc usa interface wireless pros clientes, cadastra todos eles, na acess list, coloca tmbm SSID oculta. assim só seus clientes se conectam a rede, teu problema aí é colocar mais segurança.

    Amarra tambem ip ao MAC, etc...


    qualquer coisa falae
    abraços



  3. #3
    xargs -n 1 kill -9 Avatar de sergio
    Ingresso
    Jan 2004
    Localização
    Capital do Triângulo
    Posts
    5.202
    Posts de Blog
    9

    Padrão

    Primeiro crie um filtro de bridge, onde só aceite os protocolos pppoe-discovery e pppoe-session, depois outro filtro com estes mesmos protocolos limitando a taxa por segundos e o burst.

    Espero que funcione, nesta versão do MT.

  4. #4

    Padrão

    Citação Postado originalmente por carlucio Ver Post
    amigo, se vc usa interface wireless pros clientes, cadastra todos eles, na acess list, coloca tmbm SSID oculta. assim só seus clientes se conectam a rede, teu problema aí é colocar mais segurança.

    Amarra tambem ip ao MAC, etc...


    qualquer coisa falae
    abraços
    Isso já foi feito, o problema é que é o próprio cliente que tá gerando o ataque! Já liguei pra ele e ele fez de conta que não era com ele, mas na segunda vou enviar uma notificação registrada ....



  5. #5

    Padrão

    Citação Postado originalmente por sergio Ver Post
    Primeiro crie um filtro de bridge, onde só aceite os protocolos pppoe-discovery e pppoe-session, depois outro filtro com estes mesmos protocolos limitando a taxa por segundos e o burst.

    Espero que funcione, nesta versão do MT.
    Primeiramente obrigado por responder.
    Se vc estiver falando da bridge nas APs, fica complicado por que são fornecedores heterogêneos.
    Se estiver falando do servidor, ele não funciona em modo bridge.
    Como resolver então?

  6. #6
    xargs -n 1 kill -9 Avatar de sergio
    Ingresso
    Jan 2004
    Localização
    Capital do Triângulo
    Posts
    5.202
    Posts de Blog
    9

    Padrão

    Citação Postado originalmente por armc_2003 Ver Post
    Primeiramente obrigado por responder.
    Se vc estiver falando da bridge nas APs, fica complicado por que são fornecedores heterogêneos.
    Se estiver falando do servidor, ele não funciona em modo bridge.
    Como resolver então?
    Crie uma bridge e adicione apenas a interface que escuta o PPPoE. Isto só serve para criar os filtros mencionados, portanto não é praxe este tipo de configuração.



  7. #7

  8. #8

    Padrão

    Ativa a função TCP Syn Cookie no firewall connections tracking.



  9. #9
    Moderador Avatar de Bruno
    Ingresso
    Nov 2002
    Localização
    Guarapuava-PR
    Posts
    3.925
    Posts de Blog
    1

    Padrão

    ja passei por isto
    o que o pessoal falou ai e funcionou perfeito

  10. #10

    Padrão Gostaria de saber com fazer isso!

    Amigos gostaria de um passo passo se alguem puder me ajudar já que eu não tenho muita experiencia e montei um servidor em ppoe e gostaria de tomar as precauções já que o servidor de algum concorrente pode usar isso ou até mesmo a meninada para me derrubar!

    Agradeço atenção de todos!

    Valeu!



  11. #11

    Padrão

    Gente, desativei o serviço até poder colocar em produção novamente. Vou refazer tudo e achar onde eu errei para que acontecesse esse problema desagradável.
    Assim que voltar o serviço novamente, irei postar os resultados.
    Agradeço os colegas que me ajudaram.

  12. #12
    Mikrotik inSide Avatar de luizbe
    Ingresso
    Sep 2005
    Localização
    Governador Valadares
    Posts
    1.212
    Posts de Blog
    1

    Padrão

    ar.. não tem como setar um limite de tentativas do usuario nao?
    ;\



  13. #13

    Padrão

    Citação Postado originalmente por luizbe Ver Post
    ar.. não tem como setar um limite de tentativas do usuario nao?
    ;\
    quem souber, me fala.