Ataque e defesa...

LordByNight · 22-03-2007, 08:26

Bom dia a todos...
Ontem aqui na empresa sofremos um ataque de spoof e o pessoal de segurança ficou de cabelo em pé, já que o site não pode sair do ar, a sobrecarga foi bastante significativa e o provedor acabou tirando nosso range de IPs do ar por quase uma hora.
Agora que contei o cenário, vamos ao problema...
Como faço para criar regras de ataque e defesa (óbvio), preciso de um roteiro para atacar e montar as defesas em cima desse meu ataque.
Alguém tem um ???

Abraços.

**LinuxKids** · 22-03-2007, 13:34

se encontrar algo posta ae, será de grande valia para o pessoal, ae do forum.

**rootmaster** · 22-03-2007, 17:28

Postado originalmente por LordByNight

Bom dia a todos...
Ontem aqui na empresa sofremos um ataque de spoof e o pessoal de segurança ficou de cabelo em pé, já que o site não pode sair do ar, a sobrecarga foi bastante significativa e o provedor acabou tirando nosso range de IPs do ar por quase uma hora.
Agora que contei o cenário, vamos ao problema...
Como faço para criar regras de ataque e defesa (óbvio), preciso de um roteiro para atacar e montar as defesas em cima desse meu ataque.
Alguém tem um ???

Abraços.

Já usou o Snort ???

Linux: Configurando o IDS - Snort / Honeypot (parte 1) [Artigo]
Linux: Configurando o IDS - Snort / Honeypot (parte 2) [Artigo]

4Linux - Detecção de Intrusos com Snort - 418

Você tambem tem que configurar seu firewall para barrar esses tipos de ataques ...
tipo ... Ant spoofing, back orifice e outros mais ...

Falow ...

LordByNight · 26-03-2007, 08:18

O negócio continua feio...

Seja lá quem for não para de atacar...
Como rastrear e descobrir o infeliz para entregar às autoridades ???

**irado** · 26-03-2007, 08:56

os ataques DoS são muito difíceis de serem evitados. Assim como também é definir DE ONDE estão vindo, uma vez que são spoofed.

Existem as alternativas que são PALIATIVAS e que podem ajudar um bocado:

a) defina QUAL dos seus serviços está sendo atacado
a1) com auxílio do seu provedor, altere o ip-addr E o seu dns (para refletir essa alteração)

b) bloqueie (provedor/roteador de borda ENTRANTE) o bloco ip-addr responsável pela maioria das conexões

c) reduza o número de sockets passíveis de serem "tomados" pelo serviço

uma coisa muito comum no spoof é o ataque SYN, onde são abertas centenas de conexões SEM o trípĺice "hand-shake": há um S/A mas não se completa a tríade porque o seu servidor responde para alguém que não existe ou não está lá. É precidos monitorar isso (e é chato pra kct) para poder "matar" essas conexões que estão no ar.

E, finalmente, uma sugestão REALMENTE SÉRIA E FORTE: Seja qual for o seu SO, mude para um *BSD (preferencia Open ou FreeBSD) utilizando o PF como firewall. Razões: o PF pode trabalhar sozinho com "time-out" de conexões, derrubando aquelas que estejam inativas após um certo período do SYN/ACK.

E não tente atacar ninguém.. o cara que está fazendo isso é melhor do que vc nessa arte. Vc tem mais é que dificultar a vida dêle.

Procure (google) artigos sôbre DoS e DDoS e (êsse inclusive derrubou o yahoo) DRDoS. São, respectivamente:

Deny of Service
Distributed Deny of Service (êsse já é bem ruinzinho)
Distributed Reflected Deny of Service (Isso aqui é obra do capeta e sua tribo)

bem.. tem alguma coisa aqui, ó:

drdos dos ddos linux - Pesquisa Google

divirta-se. Curta, no fundo é divertido (embora, no comêço, aborrecido)

E aprenda - se possivel - a PREVENIR-SE disso.

LordByNight · 29-03-2007, 07:35

Obrigado a vocês...

O problema foi parcialmente resolvido...
O provedor identificou a origem dos ataques como sendo os EUA, o problema que naquela terra com muitas leis rígidas, uma delas é de não entregar seus delinquentes a autoridades estrangeiras...
Estamos abrindo um processo contra nosso servidor que vai abrir um processo contra a intelig (que é a ponte) que vai acionar a polícia federal, que vai acionar as autoridades dos EUA que vai tomar providências contra a referida pessoa...
O caminho, como puderam ver, é bastante longo, mas espero que tenha resultados e coloquemos mais um bandido na cadeia...

Hoodwinked · 08-05-2007, 15:09

Postado originalmente por LordByNight

Obrigado a vocês...

O problema foi parcialmente resolvido...
O provedor identificou a origem dos ataques como sendo os EUA, o problema que naquela terra com muitas leis rígidas, uma delas é de não entregar seus delinquentes a autoridades estrangeiras...
Estamos abrindo um processo contra nosso servidor que vai abrir um processo contra a intelig (que é a ponte) que vai acionar a polícia federal, que vai acionar as autoridades dos EUA que vai tomar providências contra a referida pessoa...
O caminho, como puderam ver, é bastante longo, mas espero que tenha resultados e coloquemos mais um bandido na cadeia...

Saber somente de onde vem o attack ou quem fez naum adianta muito caso voce queira enquadrar o delinguente. Isso naum funciona somente nos EUA, mais na europa e Brasil eh mesma coisa. Explico: para um documento, no caso um documento eletronico valer como prova em um tribunal ele precisa de 2 qualidades:
1 - Autoria identificavel ;
2 - Nao pode ser passivel de aduteracao sem que seja identificavel a auteracao.

Voce identificou o desafeto? sim entao, regra 1 OK
Voce tem um documento naum passivel de aduteracao ? Nao regra 2 falhou

Voce naum tem nenhum documento probante!
O que siguinifica eh que Juiz nenhum vai acatar em um tribunal, os logs como prova, se ele tiver duvida que voce mesmo possa ter gerado os logs pra inciminar o individuo em questao. Afinal todos somos inocentes ateh que se prove contrario (indubius pro reu)
A unica saida eh se seu sistema de logs esta assinado por uma Autoridade Competente (criptografia assimetrica)

Para maiores informacoes:
Infodireito - O Documento Eletrônico como Meio de Prova

[s]
--andre amorim

**alexandrecorrea** · 18-05-2007, 20:49

so corrigindo ali... snort nao bloqueia.. apenas detecta !!

IDS é diferente de IPS..

IDS = Intrusion detection system
IPS = intrusion prevent system

um excelente IPS.. é o Hogwash BR ... vc coloca uma maquina em bridge recebendo o link do roteador e repassando para seu servidor..
nesta maquina vc roda o hogh.. cara.. filtra mto lixoooooooooooooo ... e vc pode fazer novos filtros facil !!

HLBR - O IPS invisÃvel

cheguei a participar do projeto mas por falta de tempo.. nao estou contribuindo.. mas garanto que eh um excelente software.. LIVRE !!

**spyderlinux** · 23-05-2007, 18:16

Postado originalmente por alexandrecorrea

so corrigindo ali... snort nao bloqueia.. apenas detecta !!

IDS é diferente de IPS..

IDS = Intrusion detection system
IPS = intrusion prevent system

um excelente IPS.. é o Hogwash BR ... vc coloca uma maquina em bridge recebendo o link do roteador e repassando para seu servidor..
nesta maquina vc roda o hogh.. cara.. filtra mto lixoooooooooooooo ... e vc pode fazer novos filtros facil !!

HLBR - O IPS invisÃ*vel

cheguei a participar do projeto mas por falta de tempo.. nao estou contribuindo.. mas garanto que eh um excelente software.. LIVRE !!

Muito interessante.
Nao tinha ouvido falar nele.

Ataque e defesa...

Ferramentas de Tópicos

Ataque e defesa...

DoS