Tao pacotando meu Linux

Pessoal...

Tem um cara ae que ta pacotando direto o meu servidor linux..
Ele disse que tem acesso a um servidor californiano com velocidade de 50 Mbps, entao diz ele que ta pacotando meu server com isso ai... O pior de tudo eh que eh verdade mesmo.. Ele pacota a hora que quiser, e o meu linux fica tao lagado que nao responde a nada mesmo... Ele trava tanto que parece que ta desligado... Soh volta depois de uns 7 minutos ou mais...

Alguem ai tem alguma ideia do que o cara ta usando pra fazer isso??
Diz ele que nao tem como bloquear os pacotes.. Isso eh verdade??

Nao consigo nem acessar o Linux pela rede quando ele faz isso, ou seja, nao foi soh a conexao que lagou geral, o linux tb nao responde mais na rede.

Me deem uma força pessoal.. por favor..

Abraço!

[smvda]

Pesquize sobre o firewall vc pode limitar o numero de conexões de um determinado host, assim a megação de serviço por sobrecarga não vai mais acontecer !!!!!!



Pesquise sobre a documentação o iptables/netfilter


<IMG SRC="images/forum/icons/icon21.gif">

[Nosferatu]

com uma banda muito alta, contra uma menor não há firewall que resista, pois do mesmo jeito os pacotes estarão chegando a sua rede para então descartar os pacotes pelo firewall, a solução seria você entrar em contato com o provedor do seu link e pedir uma solução para esse caso, ou como alternativa eles trancariam o ip do atacante diretamente no roteador via access-list (esses tempos tive o desgosto de ser atacado por 155mb nao eh legal)

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-1>Quote:</font><HR></TD></TR><TR><TD><FONT SIZE=-1><BLOCKQUOTE>
On 2003-12-09 12:49, Nosferatu wrote:
com uma banda muito alta, contra uma menor não há firewall que resista, pois do mesmo jeito os pacotes estarão chegando a sua rede para então descartar os pacotes pelo firewall, a solução seria você entrar em contato com o provedor do seu link e pedir uma solução para esse caso, ou como alternativa eles trancariam o ip do atacante diretamente no roteador via access-list (esses tempos tive o desgosto de ser atacado por 155mb nao eh legal)
</BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE>

Eu acho que meu firewall devia dar conta do recado, pois minha conexão é 512 Kbps download e upload. É meio lógico que eu só posso enviar e receber no máximo 512 Kbps, então isso é uma taxa de transmissão muito baixa para se derrubar um servidor (eu acho), mesmo a conexão do cara sendo 155 Mbps ele só vai conseguir mandar 512, pq minha conexão não aceita mais do que isso, não é? Eu acho que deve ser alguma configuração simples no firewall mesmo... Inseri umas regras de proteção e parece que funcionou ein... Acho que ele tentou derrubar de novo, pois eu estava jogando no meu servidor de CS 1.6 e o ping ficou em quase 3000 (bem o que ocorria antes) e depois de menos e 1 minuto voltou ao normal, antes ficava quase 10 minutos fora do ar o servidor, sem resposta. Abaixo to colando as regras que inseri no firewal:

# Protecoes do Sistema
echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
for f in /proc/sys/net/ipv4/conf/*/rp_filter; do
echo 1 > $f
done
for f in /proc/sys/net/ipv4/conf/*/accept_redirects; do
echo 0 > $f
done
for f in /proc/sys/net/ipv4/conf/*/send_redirects; do
echo 0 > $f
done
for f in /proc/sys/net/ipv4/conf/*/accept_source_route; do
echo 0 > $f
done
for f in /proc/sys/net/ipv4/conf/*/log_martians; do
echo 1 > $f
done

# Regras para defesas especificas
iptables -A FORWARD -m unclean -j DROP
iptables -A FORWARD -p icmp --icmp-type echo-request -j DROP
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -p tcp --syn -m limit -j ACCEPT
iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

Ah.. mais uma coisa...

Se ele ta floodando meu servidor, e o server esta recebendo uma carga de 512 kbps (o máximo que ele aceita) e acontece de travar, então deveria travar quando eu estivesse fazendo um download de arquivo utilizando toda a banda da conexão, vcs não acham? Seria +- a mesma coisa... Ta usando toda a banda... bom, talvez as regras que eu adicionei possam ter ajudado em alguma coisa...

Me ajudem ae se souberem mais algumas regras de proteção ou algum modo de bloquear totalmente esse tipo de ataque...

Abraço!

Aff.. esqueci de fazer outra pergunta.. heheheh

Alguem tem idéia de o que o cara fez comigo?? E como??
Que programa utilizou??

Alguém sabe?

Valeu!

[mistymst]

Quando voce baixa um arquivo voce nao esta tendo uma "sobrecarga" no stack do tcp/ip quando o cara te manda um flood desse voce tem, ele simplesmente manda mais do que voce pode receber... o caso eh que digamos assim, o queue fica cheio dos pacotes do cara e voce nao consegue receber mais nada...

olha sinceramente eu nao sei, nao tou rodando tcpdump de dentro da sua rede para saber o que cara envia, mas com 50mbps nao prescisa de nenhuma tecnica para derrubar um servidor de 512k, se voce simplesmente bloquear o ip dele e capaz que voce nao caia (se ele nao usa nenhuma tecnica)

Como o pessoal falou, o melhor eh bloquear no seu isp (no backbone) que assim nem chega a voce, pois bem ou mal para chegar no seu firewall, ele passa pelo router, e o seu router VAI FICAR ocupado com um bando de merdas, e o seu firewall nao, o melhor mesmo eh bloquear no seu router se nao der jeito bloquear no router do ISP (o que eh o melhor a fazer, pois dessa maneira nem ocupa a sua linha).

Em outras palavras DDoS/DoS eh foda <IMG SRC="images/forum/icons/icon_smile.gif">