Alguma solução em Linux?

[gondim]

Olá pessoal,

Trabalho com Linux desde 1996 e a área que mais atuei foi a de segurança. Uma das coisas difíceis de se evitar são esses ataques DDoS de redes botnet. O flood é tanto que o link se esgota rapidamente independente de regras. Estou à procura de soluções opensource para minimizar ao máximo esse tipo de problema. Pensei em até um projeto mas como não sou desenvolvedor em C não tenho como começar. Mas posso colocar a idéia aqui.

A idéia que tive era de montar um Linux fazendo Firewall/Bridge com um sistema de detecção do attack e após identificar os hosts no momento do ataque, o sistema criaria aliases com esses IPs bloqueando assim o roteamento dos pacotes para o servidor de destino. Seria uma maneira de evitar que o ataque chegasse no servidor.

Alguém com alguma outra idéia?

[]´s

[osmano807]

Talvez (bem, quase certeza) algum IDS faz isso. Só não tenho exemplos, porque nunca implantei um.

[alexandrecorrea]

free existem varios.. um deles eh o HLBR (hlbr.sourceforge.net)

agora, existem soluções pagas (e bem pagas) que realmente resolvem o problema.. uma empresa de grande nome nesta área é a ARBOR NETWORKS (DDoS Protection | DDoS Attack Mitigation | Stop DDoS | Network Security | Arbor Networks)

[gondim]

Opa pessoal,

Então, pensei em fazer testes com o snort mais recente e até o hlbr mas o hlbr me passou a impressão de estar meio parado o projeto. Posso estar enganado.
Alexandre você tem usado o hlbr e com bons resultados?

[]´s

[alexandrecorrea]

o hlbr esta sendo mantido... o fato eh que ele esta em uma versao estavel.. e o pessoal deve divulgar mais a parte de modulos (para detecção) ...

bom, há uma diferença entre o SNORT e o HLBR...

o SNORT é um IDS e o HLBR é um IPS

o snort detecta apenas (intrusion DETECTION system) .. ja o hlbr detecta e previne (intrusion PREVENTION system).


o hlbr deve ficar em uma BRIDGE no core da rede, monitorando toda entrada e saida dos pacotes

[gondim]

Pois é eu achava que o Snort era apenas IDS mas pelo que vi lá ele agora é IDS e IPS porque essa versão nova tem parametrização para bloqueio também. O parâmetro -Q e mais umas configurações dizem que o snort está trabalhando no módulo inline que é o IPS dele.

[gondim]

Pois é nem mudando o IP acredito que seria viável, porque bastaria o atacante pegar seu novo IP e mudar o ataque. Complicado isso. A coisa se agravou devido à 2 fatores que acho importantes:

1) Péssimos administradores de sistemas que não checam seus sistemas e ainda configuram ele de forma errada propiciando esses problemas. Como o que vemos em botnets.

2) Servidores com links cada vez maiores aumentando o poder de fogo dos caras.

[mktguaruja]

Cara onde eu posso achar para comprar um e30? uma empresa que comercializar internet através do docsis usa esses modelos para filtrar o trafégo. Através dos bundles no Nagios, que gera alguns gráfico o filtro parece ser muito eficiente. Pois sem ele chega a subir mais de 150mbps no consumo dos circuitos.

free existem varios.. um deles eh o HLBR (hlbr.sourceforge.net)

agora, existem soluções pagas (e bem pagas) que realmente resolvem o problema.. uma empresa de grande nome nesta área é a ARBOR NETWORKS (DDoS Protection | DDoS Attack Mitigation | Stop DDoS | Network Security | Arbor Networks)

[ederamboni]

Tive alguns problemas com DDOS antigamente, sempre resolvi com um pouco de paciencia em parceria com a operadora.
Agora não sei o seu caso convem uma negociação com a operadora para eles filtrarem na epoca eu tinha somente 8 mega no provedor... e muito menos AS, era roteado por ciscos, chegei implementar alguns firewall´s, ate o dia que resolvi dropar tudo e libera so oq era fundamental e a operadora deu o OK para o teste final e abrir novemente o provedor... mas perdi varias noites de sono...

Att

[Magal]

Use o Back Track 5

[Kernel Panic]

Olá,

Snort + Guardian não resolveria?

algumas medidas extras:
- dropando o IP atacante, nem que seja por períodos.
- filtro "anti-spoofing".
- limite de banda por tipo de tráfego.
- informar operadora do link pra filtrar na entrada.
- tentar localizar rede atacante e informar sysadmin.

mais em: http://www.rnp.br/newsgen/0003/ddos.html

É claro que existem ataques DDOS e exite "O" Ataque DDOS, acredito que em suas versões mais tradicionais isso já seria suficiente.


[]´s

KP