Bloquear saídas APACHE DDOS

[Stoew]

Olá a todos.

Trabalho em um provedor com aproximadamente 1.000 clientes, e de uns tempo para cá estamos enfrentando problemas com alguns de nossos IPS que estão sendo adicionados a algumas blacklists internacionais, devido a algum(s) usuários nossos estarem ou infectados com algum tipo de vírus ou realmente estar fazendo tentativas de ataques DDOS.

Nossa rede opera atualmente em modo NAT, dando ips privados para os clientes através de PPPOE, e ae é que o bicho pega, pois não conseguimos identificar de qual assinante partem estes ataques.

Implementei algumas regras e estou aguardando resultados, mas gostaria de saber se alguém por aqui já enfrentou este problema e como conseguiu resolver.

Obrigado.

[Stoew]

Amigo, estamos enfrentando exatamente o mesmo problema. Estou sendo notificado de ataques partindo da minha rede a servidores APACHE, porem pelo qua andei pesquisando e meio dificil de detectar e bloquear os ataques DDOS.

Se alguem aqui do forum puder nos dar uma luz, agradeco.

[demattos]

Amigo, estamos enfrentando exatamente o mesmo problema. Estou sendo notificado de ataques partindo da minha rede a servidores APACHE, porem pelo qua andei pesquisando e meio dificil de detectar e bloquear os ataques DDOS.

Se alguem aqui do forum puder nos dar uma luz, agradeco.

bom dia, tive o mesmo problema na minha rede, procura na sua rede q tem maquina com virus sendo usada para ataques.

[Stoew]

Ok, o problema é como procurar por virus numa rede com mais de 3.000 máquinas ?
Esse negócio ta me tirando o sono, e pelo visto não encontrei nenhuma solução efetiva pra isso.

[alexrock]

Você pode tentar identificar criando uma regra para logar (action log) os ips e macs que tentarem mais de 20 conexões (exemplo) simultâneas. Máquinas que fazem DDOS abrem um número absurdo de conexões. Vai aumentando isso para não ter falsos positivos ai notifica seus clientes.