+ Responder ao Tópico



  1. #1
    LordByNight
    Visitante

    Angry Ataque e defesa...

    Bom dia a todos...
    Ontem aqui na empresa sofremos um ataque de spoof e o pessoal de segurança ficou de cabelo em pé, já que o site não pode sair do ar, a sobrecarga foi bastante significativa e o provedor acabou tirando nosso range de IPs do ar por quase uma hora.
    Agora que contei o cenário, vamos ao problema...
    Como faço para criar regras de ataque e defesa (óbvio), preciso de um roteiro para atacar e montar as defesas em cima desse meu ataque.
    Alguém tem um ???

    Abraços.

  2. #2

    Padrão

    se encontrar algo posta ae, será de grande valia para o pessoal, ae do forum.



  3. #3

    Padrão

    Citação Postado originalmente por LordByNight Ver Post
    Bom dia a todos...
    Ontem aqui na empresa sofremos um ataque de spoof e o pessoal de segurança ficou de cabelo em pé, já que o site não pode sair do ar, a sobrecarga foi bastante significativa e o provedor acabou tirando nosso range de IPs do ar por quase uma hora.
    Agora que contei o cenário, vamos ao problema...
    Como faço para criar regras de ataque e defesa (óbvio), preciso de um roteiro para atacar e montar as defesas em cima desse meu ataque.
    Alguém tem um ???

    Abraços.
    Já usou o Snort ???

    Linux: Configurando o IDS - Snort / Honeypot (parte 1) [Artigo]
    Linux: Configurando o IDS - Snort / Honeypot (parte 2) [Artigo]

    4Linux - Detecção de Intrusos com Snort - 418

    Você tambem tem que configurar seu firewall para barrar esses tipos de ataques ...
    tipo ... Ant spoofing, back orifice e outros mais ...

    Falow ...

  4. #4
    LordByNight
    Visitante

    Thumbs down

    O negócio continua feio...
    Seja lá quem for não para de atacar...
    Como rastrear e descobrir o infeliz para entregar às autoridades ???



  5. #5

    Padrão DoS

    os ataques DoS são muito difíceis de serem evitados. Assim como também é definir DE ONDE estão vindo, uma vez que são spoofed.

    Existem as alternativas que são PALIATIVAS e que podem ajudar um bocado:

    a) defina QUAL dos seus serviços está sendo atacado
    a1) com auxílio do seu provedor, altere o ip-addr E o seu dns (para refletir essa alteração)

    b) bloqueie (provedor/roteador de borda ENTRANTE) o bloco ip-addr responsável pela maioria das conexões

    c) reduza o número de sockets passíveis de serem "tomados" pelo serviço

    uma coisa muito comum no spoof é o ataque SYN, onde são abertas centenas de conexões SEM o trípĺice "hand-shake": há um S/A mas não se completa a tríade porque o seu servidor responde para alguém que não existe ou não está lá. É precidos monitorar isso (e é chato pra kct) para poder "matar" essas conexões que estão no ar.

    E, finalmente, uma sugestão REALMENTE SÉRIA E FORTE: Seja qual for o seu SO, mude para um *BSD (preferencia Open ou FreeBSD) utilizando o PF como firewall. Razões: o PF pode trabalhar sozinho com "time-out" de conexões, derrubando aquelas que estejam inativas após um certo período do SYN/ACK.

    E não tente atacar ninguém.. o cara que está fazendo isso é melhor do que vc nessa arte. Vc tem mais é que dificultar a vida dêle.

    Procure (google) artigos sôbre DoS e DDoS e (êsse inclusive derrubou o yahoo) DRDoS. São, respectivamente:

    Deny of Service
    Distributed Deny of Service (êsse já é bem ruinzinho)
    Distributed Reflected Deny of Service (Isso aqui é obra do capeta e sua tribo)

    bem.. tem alguma coisa aqui, ó:

    drdos dos ddos linux - Pesquisa Google

    divirta-se. Curta, no fundo é divertido (embora, no comêço, aborrecido)

    E aprenda - se possivel - a PREVENIR-SE disso.


  6. #6
    LordByNight
    Visitante

    Padrão

    Obrigado a vocês...
    O problema foi parcialmente resolvido...
    O provedor identificou a origem dos ataques como sendo os EUA, o problema que naquela terra com muitas leis rígidas, uma delas é de não entregar seus delinquentes a autoridades estrangeiras...
    Estamos abrindo um processo contra nosso servidor que vai abrir um processo contra a intelig (que é a ponte) que vai acionar a polícia federal, que vai acionar as autoridades dos EUA que vai tomar providências contra a referida pessoa...
    O caminho, como puderam ver, é bastante longo, mas espero que tenha resultados e coloquemos mais um bandido na cadeia...



  7. #7
    Hoodwinked
    Visitante

    Padrão

    Citação Postado originalmente por LordByNight Ver Post
    Obrigado a vocês...
    O problema foi parcialmente resolvido...
    O provedor identificou a origem dos ataques como sendo os EUA, o problema que naquela terra com muitas leis rígidas, uma delas é de não entregar seus delinquentes a autoridades estrangeiras...
    Estamos abrindo um processo contra nosso servidor que vai abrir um processo contra a intelig (que é a ponte) que vai acionar a polícia federal, que vai acionar as autoridades dos EUA que vai tomar providências contra a referida pessoa...
    O caminho, como puderam ver, é bastante longo, mas espero que tenha resultados e coloquemos mais um bandido na cadeia...
    Saber somente de onde vem o attack ou quem fez naum adianta muito caso voce queira enquadrar o delinguente. Isso naum funciona somente nos EUA, mais na europa e Brasil eh mesma coisa. Explico: para um documento, no caso um documento eletronico valer como prova em um tribunal ele precisa de 2 qualidades:
    1 - Autoria identificavel ;
    2 - Nao pode ser passivel de aduteracao sem que seja identificavel a auteracao.

    Voce identificou o desafeto? sim entao, regra 1 OK
    Voce tem um documento naum passivel de aduteracao ? Nao regra 2 falhou

    Voce naum tem nenhum documento probante!
    O que siguinifica eh que Juiz nenhum vai acatar em um tribunal, os logs como prova, se ele tiver duvida que voce mesmo possa ter gerado os logs pra inciminar o individuo em questao. Afinal todos somos inocentes ateh que se prove contrario (indubius pro reu)
    A unica saida eh se seu sistema de logs esta assinado por uma Autoridade Competente (criptografia assimetrica)

    Para maiores informacoes:
    Infodireito - O Documento Eletrônico como Meio de Prova

    [s]
    --andre amorim
    Última edição por Hoodwinked; 08-05-2007 às 15:31.

  8. #8

    Padrão

    so corrigindo ali... snort nao bloqueia.. apenas detecta !!

    IDS é diferente de IPS..

    IDS = Intrusion detection system
    IPS = intrusion prevent system

    um excelente IPS.. é o Hogwash BR ... vc coloca uma maquina em bridge recebendo o link do roteador e repassando para seu servidor..
    nesta maquina vc roda o hogh.. cara.. filtra mto lixoooooooooooooo ... e vc pode fazer novos filtros facil !!

    HLBR - O IPS invisível

    cheguei a participar do projeto mas por falta de tempo.. nao estou contribuindo.. mas garanto que eh um excelente software.. LIVRE !!




  9. #9

    Padrão

    Citação Postado originalmente por alexandrecorrea Ver Post
    so corrigindo ali... snort nao bloqueia.. apenas detecta !!

    IDS é diferente de IPS..

    IDS = Intrusion detection system
    IPS = intrusion prevent system

    um excelente IPS.. é o Hogwash BR ... vc coloca uma maquina em bridge recebendo o link do roteador e repassando para seu servidor..
    nesta maquina vc roda o hogh.. cara.. filtra mto lixoooooooooooooo ... e vc pode fazer novos filtros facil !!

    HLBR - O IPS invisÃ*vel

    cheguei a participar do projeto mas por falta de tempo.. nao estou contribuindo.. mas garanto que eh um excelente software.. LIVRE !!

    Muito interessante.
    Nao tinha ouvido falar nele.