Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. #1
    LordByNight
    Bom dia a todos...
    Ontem aqui na empresa sofremos um ataque de spoof e o pessoal de segurança ficou de cabelo em pé, já que o site não pode sair do ar, a sobrecarga foi bastante significativa e o provedor acabou tirando nosso range de IPs do ar por quase uma hora.
    Agora que contei o cenário, vamos ao problema...
    Como faço para criar regras de ataque e defesa (óbvio), preciso de um roteiro para atacar e montar as defesas em cima desse meu ataque.
    Alguém tem um ???

    Abraços.

  2. se encontrar algo posta ae, será de grande valia para o pessoal, ae do forum.



  3. Citação Postado originalmente por LordByNight Ver Post
    Bom dia a todos...
    Ontem aqui na empresa sofremos um ataque de spoof e o pessoal de segurança ficou de cabelo em pé, já que o site não pode sair do ar, a sobrecarga foi bastante significativa e o provedor acabou tirando nosso range de IPs do ar por quase uma hora.
    Agora que contei o cenário, vamos ao problema...
    Como faço para criar regras de ataque e defesa (óbvio), preciso de um roteiro para atacar e montar as defesas em cima desse meu ataque.
    Alguém tem um ???

    Abraços.
    Já usou o Snort ???

    Linux: Configurando o IDS - Snort / Honeypot (parte 1) [Artigo]
    Linux: Configurando o IDS - Snort / Honeypot (parte 2) [Artigo]

    4Linux - Detecção de Intrusos com Snort - 418

    Você tambem tem que configurar seu firewall para barrar esses tipos de ataques ...
    tipo ... Ant spoofing, back orifice e outros mais ...

    Falow ...

  4. #4
    LordByNight
    O negócio continua feio...
    Seja lá quem for não para de atacar...
    Como rastrear e descobrir o infeliz para entregar às autoridades ???



  5. os ataques DoS são muito difíceis de serem evitados. Assim como também é definir DE ONDE estão vindo, uma vez que são spoofed.

    Existem as alternativas que são PALIATIVAS e que podem ajudar um bocado:

    a) defina QUAL dos seus serviços está sendo atacado
    a1) com auxílio do seu provedor, altere o ip-addr E o seu dns (para refletir essa alteração)

    b) bloqueie (provedor/roteador de borda ENTRANTE) o bloco ip-addr responsável pela maioria das conexões

    c) reduza o número de sockets passíveis de serem "tomados" pelo serviço

    uma coisa muito comum no spoof é o ataque SYN, onde são abertas centenas de conexões SEM o trípĺice "hand-shake": há um S/A mas não se completa a tríade porque o seu servidor responde para alguém que não existe ou não está lá. É precidos monitorar isso (e é chato pra kct) para poder "matar" essas conexões que estão no ar.

    E, finalmente, uma sugestão REALMENTE SÉRIA E FORTE: Seja qual for o seu SO, mude para um *BSD (preferencia Open ou FreeBSD) utilizando o PF como firewall. Razões: o PF pode trabalhar sozinho com "time-out" de conexões, derrubando aquelas que estejam inativas após um certo período do SYN/ACK.

    E não tente atacar ninguém.. o cara que está fazendo isso é melhor do que vc nessa arte. Vc tem mais é que dificultar a vida dêle.

    Procure (google) artigos sôbre DoS e DDoS e (êsse inclusive derrubou o yahoo) DRDoS. São, respectivamente:

    Deny of Service
    Distributed Deny of Service (êsse já é bem ruinzinho)
    Distributed Reflected Deny of Service (Isso aqui é obra do capeta e sua tribo)

    bem.. tem alguma coisa aqui, ó:

    drdos dos ddos linux - Pesquisa Google

    divirta-se. Curta, no fundo é divertido (embora, no comêço, aborrecido)

    E aprenda - se possivel - a PREVENIR-SE disso.







Tópicos Similares

  1. Revidando uma tentativa de ataque !!!
    Por peen-gween no fórum Servidores de Rede
    Respostas: 1
    Último Post: 16-07-2003, 11:25
  2. Respostas: 2
    Último Post: 12-06-2003, 21:21
  3. inserir o mesmo ip na rede - ataque interno
    Por darthv no fórum Segurança
    Respostas: 8
    Último Post: 16-03-2003, 12:26
  4. inserir o mesmo ip na rede - ataque interno
    Por darthv no fórum Segurança
    Respostas: 1
    Último Post: 05-03-2003, 02:31
  5. detecção de ataques
    Por 1c3m4n no fórum Segurança
    Respostas: 0
    Último Post: 27-09-2002, 08:24

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L