+ Responder ao Tópico



  1. #1

    Padrão Ataque de DOS pelo PPPoE

    Bom dia pessoal, essa semana passei por uma experiencia nova.
    Um cliente meu é estudante de informática e de quando em quando ele inventa alguma coisa pra me dar trabalho. Dessa vez ele usou alguma coisa pra fazer um ataque de DOS contra meu MK no serviço de PPPoE que ativei.
    Funciona da seguinte forma: o atacante dispara um turbilhão de pedidos de conecção, ainda não sei qual é a ferramenta que é utilizada pra isso e com um determinado tempo o servidor trava a interface e o serviço pára de vez.
    Só foi possível identificar o ataque porque alterei as configurações de log para armazenarem em disco e até 10.000 linhas. Desse ponto em diante a anomalia que aparecia era um monte de pedidos de conecção falhadas e uma atraz da outra.
    Bom, eu sei que o máximo de concções PPP que o MK aceita, são 5.000 e acho que é aí que esse ataque se baseia ....
    Meu MK é 2.9.27.
    Se alguem teve essa experiencia e conseguiu resolver sem processar ou "cortar" o cliente, eu gostaria de saber como foi ......
    Obrigado a todos.

  2. #2

    Padrão

    amigo, se vc usa interface wireless pros clientes, cadastra todos eles, na acess list, coloca tmbm SSID oculta. assim só seus clientes se conectam a rede, teu problema aí é colocar mais segurança.

    Amarra tambem ip ao MAC, etc...


    qualquer coisa falae
    abraços

  3. #3
    xargs -n 1 kill -9 Avatar de sergio
    Ingresso
    Jan 2004
    Localização
    Capital do Triângulo
    Posts
    5.201
    Posts de Blog
    9

    Padrão

    Primeiro crie um filtro de bridge, onde só aceite os protocolos pppoe-discovery e pppoe-session, depois outro filtro com estes mesmos protocolos limitando a taxa por segundos e o burst.

    Espero que funcione, nesta versão do MT.

  4. #4

    Padrão

    Citação Postado originalmente por carlucio Ver Post
    amigo, se vc usa interface wireless pros clientes, cadastra todos eles, na acess list, coloca tmbm SSID oculta. assim só seus clientes se conectam a rede, teu problema aí é colocar mais segurança.

    Amarra tambem ip ao MAC, etc...


    qualquer coisa falae
    abraços
    Isso já foi feito, o problema é que é o próprio cliente que tá gerando o ataque! Já liguei pra ele e ele fez de conta que não era com ele, mas na segunda vou enviar uma notificação registrada ....

  5. #5

    Padrão

    Citação Postado originalmente por sergio Ver Post
    Primeiro crie um filtro de bridge, onde só aceite os protocolos pppoe-discovery e pppoe-session, depois outro filtro com estes mesmos protocolos limitando a taxa por segundos e o burst.

    Espero que funcione, nesta versão do MT.
    Primeiramente obrigado por responder.
    Se vc estiver falando da bridge nas APs, fica complicado por que são fornecedores heterogêneos.
    Se estiver falando do servidor, ele não funciona em modo bridge.
    Como resolver então?

  6. #6
    xargs -n 1 kill -9 Avatar de sergio
    Ingresso
    Jan 2004
    Localização
    Capital do Triângulo
    Posts
    5.201
    Posts de Blog
    9

    Padrão

    Citação Postado originalmente por armc_2003 Ver Post
    Primeiramente obrigado por responder.
    Se vc estiver falando da bridge nas APs, fica complicado por que são fornecedores heterogêneos.
    Se estiver falando do servidor, ele não funciona em modo bridge.
    Como resolver então?
    Crie uma bridge e adicione apenas a interface que escuta o PPPoE. Isto só serve para criar os filtros mencionados, portanto não é praxe este tipo de configuração.

  7. #7

  8. #8

    Padrão

    Ativa a função TCP Syn Cookie no firewall connections tracking.

  9. #9
    Moderador Avatar de Bruno
    Ingresso
    Nov 2002
    Localização
    Guarapuava-PR
    Posts
    4.181
    Posts de Blog
    1

    Padrão

    ja passei por isto
    o que o pessoal falou ai e funcionou perfeito

  10. #10

    Padrão Gostaria de saber com fazer isso!

    Amigos gostaria de um passo passo se alguem puder me ajudar já que eu não tenho muita experiencia e montei um servidor em ppoe e gostaria de tomar as precauções já que o servidor de algum concorrente pode usar isso ou até mesmo a meninada para me derrubar!

    Agradeço atenção de todos!

    Valeu!

  11. #11

    Padrão

    Gente, desativei o serviço até poder colocar em produção novamente. Vou refazer tudo e achar onde eu errei para que acontecesse esse problema desagradável.
    Assim que voltar o serviço novamente, irei postar os resultados.
    Agradeço os colegas que me ajudaram.

  12. #12
    Mikrotik inSide Avatar de luizbe
    Ingresso
    Sep 2005
    Localização
    Governador Valadares
    Posts
    1.212
    Posts de Blog
    1

    Padrão

    ar.. não tem como setar um limite de tentativas do usuario nao?
    ;\

  13. #13

    Padrão

    Citação Postado originalmente por luizbe Ver Post
    ar.. não tem como setar um limite de tentativas do usuario nao?
    ;\
    quem souber, me fala.

  14. #14

    Padrão Re: Ataque de DOS pelo PPPoE

    Estou tendo esse ataque! um determinado mac realiza tentativas seguidas sem sucesso o que prejudica os demais acessos.

  15. #15

    Padrão Re: Ataque de DOS pelo PPPoE

    Tive problemas de ataques DOS não apenas no serviço PPPoE, mas também nos serviços DNS ... E todos vinham da rede interna... Clientes chatos que querem estressar a rede. Pega tutorialzinho na internet e roda script pra ferrar com provedor. Minha solução foi colocar regras especificar no firewall do roteador do cliente. Todos os roteadores entregues aos clientes bloqueiam comunicação PPPoE e DNS para o nosso servidor quando o trafego vem da rede interna do cliente. Isso faz com que apenas o roteador consiga fazer a comunicação PPPoE e DNS para o nosso servidor.... Zerou os ataques...

  16. #16

    Padrão Re: Ataque de DOS pelo PPPoE

    Seu PPPoE server esta com a opção "one per host" ativado?