+ Responder ao Tópico



  1. #1

    Padrão limitar registros no /var/log/alguma_coisa

    oi, galera

    eu preciso limitar o numero de registros no meu log de firewall para evitar (eventualmente) um DoS se eu tiver um flood qualquer (digamos um ping -f).

    Sei que há um modo de limitar o numero de entradas iguais nos arquivos de log, mas tô revirando meus guardados e também o google e não consegui encontrar nada.. alguém lembra?

    grato.

  2. #2

    Padrão

    Cara, desculpa questionar mas... O que gera o DoS é o processamento das requisições e não os logs... Então se você quer simplesmente evitar um ataque DoS bloqueie esse tipo de ataque no iptables.
    Isso pode ser feito limitando o número de tentativas por segundo... Por exemplo, limitando ataques através de floods SYN:
    iptables -t filter -A INPUT -p tcp --syn -m limit --limit 2/s -j ACCEPT

    Ping of death:
    iptables -t filter -A INPUT -p icmp --icmp-type echo-request -m limit --limit 2/s -j ACCEPT
    iptables -t filter -A INPUT -p icmp --icmp-type echo-reply -m limit --limit 2/s -j ACCEPT

    Qualquer coisa posta ai...

  3. #3

    Padrão

    isso eu já fiz, magnum. Talvez eu não tenha sido o suficientemente claro:

    ping -f de 50 máquinas diferentes.. TUDO indo pro log vai ENTUPIR o syslogd e também o processamento, pra registrar tudo isso.

    aqui o anti-flood funciona MUITO BEM.. mas o que eu quero - e já vi algures - é que, log 5 linhas e pronto.. só vai logar de novo quando alguma coisa (origem) mudar

    esperimente colocar ANTES das suas regras um -j LOG, depois dê um ping -f e vai entender o que estou dizendo.

  4. #4

    Padrão

    Bem... A ideia do Log é pra colocar somente em tráfegos que precisam ser logados, e não pra todo o tráfego que passa pelo firewall, ai realmente deixa a máquina com processamento alto...

  5. #5

    Padrão

    sim.. eu estou logando apenas o que vai pro -j DROP e tenho visto coisas bem interessantes como, por exemplo, cn e tw doidinhos pra achar um mail-server (porta 25) ou proxy disponiveis alem de outros - possivelmente script-kiddies - que fazem varreduras de tempos em tempos.

    veja aqui um relatorio do logwatch:
    --------------------- iptables firewall Begin ------------------------


    Dropped 154 packets on interface eth0
    From 61.90.84.172 - 1 packet to tcp(23)
    From 79.180.147.22 - 1 packet to tcp(23)
    From 87.122.129.120 - 1 packet to tcp(23)
    From 88.80.7.248 - 1 packet to tcp(3128)
    From 89.20.132.44 - 3 packets to tcp(3128,6588,8080)
    From 114.44.144.40 - 3 packets to tcp(25)
    From 118.45.190.167 - 1 packet to tcp(22)
    From 118.167.132.80 - 7 packets to tcp(1080)
    From 122.118.2.244 - 6 packets to tcp(3128,8080)
    From 123.204.16.106 - 3 packets to tcp(25)
    From 129.143.116.10 - 26 packets to tcp(37677,41606,54774)
    From 130.133.35.8 - 25 packets to tcp(34079,44828,53109)
    From 152.46.7.222 - 27 packets to tcp(38570,49571,51495)
    From 189.55.88.78 - 1 packet to tcp(1433)
    From 189.55.196.150 - 3 packets to tcp(1433)
    From 189.55.200.21 - 2 packets to tcp(1433)
    From 189.55.240.166 - 2 packets to tcp(1433)
    From 193.1.193.67 - 32 packets to tcp(33003,39061,44887,49894,51784,51785,51786,51787)
    From 200.60.247.22 - 1 packet to tcp(23)
    From 200.163.122.51 - 1 packet to tcp(22)
    From 211.155.225.16 - 1 packet to tcp(1433)
    From 219.76.75.6 - 1 packet to tcp(22)
    From 219.84.232.13 - 3 packets to tcp(25)
    From 221.2.74.22 - 1 packet to tcp(7865)
    From 221.215.127.138 - 1 packet to tcp(1433)

    ---------------------- iptables firewall End -------------------------

    em sintese: é conveniente saber-se O QUE está batendo nas minhas portas, mas ping -f é um pé..

    btw, se eu não logar nada.. só vou ficar sabendo de alguma coisa DEPOIS da invasão, né?
    Última edição por irado; 27-11-2008 às 17:10.

  6. #6

    Padrão

    Se o problema são os pings tira o protocolo ICMP do log... Apesar de que nesse recorte do log não vi nenhum ICMP...

  7. #7

    Padrão

    Citação Postado originalmente por Magnun Ver Post
    Se o problema são os pings tira o protocolo ICMP do log... Apesar de que nesse recorte do log não vi nenhum ICMP...
    qualquer ping é removido pelo logwatch - não é significativo. E também não é todo dia/hora que alguém faz ping -f - eu mesmo é que tenho feito para fins de teste.

    de qualquer forma, foi resolvido grato pela atenção.