+ Responder ao Tópico



  1. #1

    Padrão Alguma solução em Linux?

    Olá pessoal,

    Trabalho com Linux desde 1996 e a área que mais atuei foi a de segurança. Uma das coisas difíceis de se evitar são esses ataques DDoS de redes botnet. O flood é tanto que o link se esgota rapidamente independente de regras. Estou à procura de soluções opensource para minimizar ao máximo esse tipo de problema. Pensei em até um projeto mas como não sou desenvolvedor em C não tenho como começar. Mas posso colocar a idéia aqui.

    A idéia que tive era de montar um Linux fazendo Firewall/Bridge com um sistema de detecção do attack e após identificar os hosts no momento do ataque, o sistema criaria aliases com esses IPs bloqueando assim o roteamento dos pacotes para o servidor de destino. Seria uma maneira de evitar que o ataque chegasse no servidor.

    Alguém com alguma outra idéia?

    []´s

  2. #2
    MODERADOR-CHEFE Avatar de osmano807
    Ingresso
    Aug 2008
    Localização
    Araguari - Minas Gerais
    Posts
    1.985
    Posts de Blog
    5

    Padrão Re: Alguma solução em Linux?

    Talvez (bem, quase certeza) algum IDS faz isso. Só não tenho exemplos, porque nunca implantei um.



  3. #3

    Padrão Re: Alguma solução em Linux?

    free existem varios.. um deles eh o HLBR (hlbr.sourceforge.net)

    agora, existem soluções pagas (e bem pagas) que realmente resolvem o problema.. uma empresa de grande nome nesta área é a ARBOR NETWORKS (DDoS Protection | DDoS Attack Mitigation | Stop DDoS | Network Security | Arbor Networks)

  4. #4

    Padrão Re: Alguma solução em Linux?

    Opa pessoal,

    Então, pensei em fazer testes com o snort mais recente e até o hlbr mas o hlbr me passou a impressão de estar meio parado o projeto. Posso estar enganado.
    Alexandre você tem usado o hlbr e com bons resultados?

    []´s



  5. #5

    Padrão Re: Alguma solução em Linux?

    o hlbr esta sendo mantido... o fato eh que ele esta em uma versao estavel.. e o pessoal deve divulgar mais a parte de modulos (para detecção) ...

    bom, há uma diferença entre o SNORT e o HLBR...

    o SNORT é um IDS e o HLBR é um IPS

    o snort detecta apenas (intrusion DETECTION system) .. ja o hlbr detecta e previne (intrusion PREVENTION system).


    o hlbr deve ficar em uma BRIDGE no core da rede, monitorando toda entrada e saida dos pacotes

  6. #6

    Padrão Re: Alguma solução em Linux?

    Pois é eu achava que o Snort era apenas IDS mas pelo que vi lá ele agora é IDS e IPS porque essa versão nova tem parametrização para bloqueio também. O parâmetro -Q e mais umas configurações dizem que o snort está trabalhando no módulo inline que é o IPS dele.



  7. #7

    Padrão Re: Alguma solução em Linux?

    Pois é nem mudando o IP acredito que seria viável, porque bastaria o atacante pegar seu novo IP e mudar o ataque. Complicado isso. A coisa se agravou devido à 2 fatores que acho importantes:

    1) Péssimos administradores de sistemas que não checam seus sistemas e ainda configuram ele de forma errada propiciando esses problemas. Como o que vemos em botnets.

    2) Servidores com links cada vez maiores aumentando o poder de fogo dos caras.

  8. #8

    Padrão Re: Alguma solução em Linux?

    Cara onde eu posso achar para comprar um e30? uma empresa que comercializar internet através do docsis usa esses modelos para filtrar o trafégo. Através dos bundles no Nagios, que gera alguns gráfico o filtro parece ser muito eficiente. Pois sem ele chega a subir mais de 150mbps no consumo dos circuitos.
    Citação Postado originalmente por alexandrecorrea Ver Post
    free existem varios.. um deles eh o HLBR (hlbr.sourceforge.net)

    agora, existem soluções pagas (e bem pagas) que realmente resolvem o problema.. uma empresa de grande nome nesta área é a ARBOR NETWORKS (DDoS Protection | DDoS Attack Mitigation | Stop DDoS | Network Security | Arbor Networks)



  9. #9
    Moderador Avatar de ederamboni
    Ingresso
    Oct 2004
    Localização
    Montes Claros
    Posts
    880
    Posts de Blog
    13

    Padrão Re: Alguma solução em Linux?

    Tive alguns problemas com DDOS antigamente, sempre resolvi com um pouco de paciencia em parceria com a operadora.
    Agora não sei o seu caso convem uma negociação com a operadora para eles filtrarem na epoca eu tinha somente 8 mega no provedor... e muito menos AS, era roteado por ciscos, chegei implementar alguns firewall´s, ate o dia que resolvi dropar tudo e libera so oq era fundamental e a operadora deu o OK para o teste final e abrir novemente o provedor... mas perdi varias noites de sono...

    Att

  10. #10
    Moderador Avatar de Magal
    Ingresso
    Mar 2007
    Localização
    Rio de Janeiro
    Posts
    2.043
    Posts de Blog
    118

    Padrão Re: Alguma solução em Linux?

    Use o Back Track 5



  11. #11

    Padrão Re: Alguma solução em Linux?

    Olá,

    Snort + Guardian não resolveria?

    algumas medidas extras:
    - dropando o IP atacante, nem que seja por períodos.
    - filtro "anti-spoofing".
    - limite de banda por tipo de tráfego.
    - informar operadora do link pra filtrar na entrada.
    - tentar localizar rede atacante e informar sysadmin.

    mais em: http://www.rnp.br/newsgen/0003/ddos.html

    É claro que existem ataques DDOS e exite "O" Ataque DDOS, acredito que em suas versões mais tradicionais isso já seria suficiente.


    []´s

    KP