Re: Alguma solução em Linux?
Talvez (bem, quase certeza) algum IDS faz isso. Só não tenho exemplos, porque nunca implantei um.
Re: Alguma solução em Linux?
free existem varios.. um deles eh o HLBR (hlbr.sourceforge.net)
agora, existem soluções pagas (e bem pagas) que realmente resolvem o problema.. uma empresa de grande nome nesta área é a ARBOR NETWORKS (DDoS Protection | DDoS Attack Mitigation | Stop DDoS | Network Security | Arbor Networks)
Re: Alguma solução em Linux?
Opa pessoal,
Então, pensei em fazer testes com o snort mais recente e até o hlbr mas o hlbr me passou a impressão de estar meio parado o projeto. Posso estar enganado.
Alexandre você tem usado o hlbr e com bons resultados?
[]´s
Re: Alguma solução em Linux?
o hlbr esta sendo mantido... o fato eh que ele esta em uma versao estavel.. e o pessoal deve divulgar mais a parte de modulos (para detecção) ...
bom, há uma diferença entre o SNORT e o HLBR...
o SNORT é um IDS e o HLBR é um IPS
o snort detecta apenas (intrusion DETECTION system) .. ja o hlbr detecta e previne (intrusion PREVENTION system).
o hlbr deve ficar em uma BRIDGE no core da rede, monitorando toda entrada e saida dos pacotes
Re: Alguma solução em Linux?
Pois é eu achava que o Snort era apenas IDS mas pelo que vi lá ele agora é IDS e IPS porque essa versão nova tem parametrização para bloqueio também. ;) O parâmetro -Q e mais umas configurações dizem que o snort está trabalhando no módulo inline que é o IPS dele.
Re: Alguma solução em Linux?
Pois é nem mudando o IP acredito que seria viável, porque bastaria o atacante pegar seu novo IP e mudar o ataque. Complicado isso. A coisa se agravou devido à 2 fatores que acho importantes:
1) Péssimos administradores de sistemas que não checam seus sistemas e ainda configuram ele de forma errada propiciando esses problemas. Como o que vemos em botnets.
2) Servidores com links cada vez maiores aumentando o poder de fogo dos caras.
Re: Alguma solução em Linux?
Cara onde eu posso achar para comprar um e30? uma empresa que comercializar internet através do docsis usa esses modelos para filtrar o trafégo. Através dos bundles no Nagios, que gera alguns gráfico o filtro parece ser muito eficiente. Pois sem ele chega a subir mais de 150mbps no consumo dos circuitos.
Citação:
Postado originalmente por
alexandrecorrea
Re: Alguma solução em Linux?
Tive alguns problemas com DDOS antigamente, sempre resolvi com um pouco de paciencia em parceria com a operadora.
Agora não sei o seu caso convem uma negociação com a operadora para eles filtrarem na epoca eu tinha somente 8 mega no provedor... e muito menos AS, era roteado por ciscos, chegei implementar alguns firewall´s, ate o dia que resolvi dropar tudo e libera so oq era fundamental e a operadora deu o OK para o teste final e abrir novemente o provedor... mas perdi varias noites de sono...
Att
Re: Alguma solução em Linux?
Re: Alguma solução em Linux?
Olá,
Snort + Guardian não resolveria?
algumas medidas extras:
- dropando o IP atacante, nem que seja por períodos.
- filtro "anti-spoofing".
- limite de banda por tipo de tráfego.
- informar operadora do link pra filtrar na entrada.
- tentar localizar rede atacante e informar sysadmin.
mais em: http://www.rnp.br/newsgen/0003/ddos.html
É claro que existem ataques DDOS e exite "O" Ataque DDOS, acredito que em suas versões mais tradicionais isso já seria suficiente.
[]´s
KP