galera atualmente uso umas regras de firewall de um site alemao que pegei sao essas abaixo mas nao to sanbendo barrar os ataques DDOS muitos ataques em uma torre minha
alguem pode da uma ajudinha segue abaixo as minhas regras de firewalll
/ ip firewall filter
add chain=input connection-state=invalid action=drop comment="Drop Invalid connections" disabled=no
add chain=input src-address=!192.168.0.0/27 protocol=tcp src-port=1024-65535 dst-port=8080 action=drop comment="Block to Proxy" disabled=no
add chain=input protocol=udp dst-port=12667 action=drop comment="Trinoo" disabled=no
add chain=input protocol=udp dst-port=27665 action=drop comment="Trinoo" disabled=no
add chain=input protocol=udp dst-port=31335 action=drop comment="Trinoo" disabled=no
add chain=input protocol=udp dst-port=27444 action=drop comment="Trinoo" disabled=no
add chain=input protocol=udp dst-port=34555 action=drop comment="Trinoo" disabled=no
add chain=input protocol=udp dst-port=35555 action=drop comment="Trinoo" disabled=no
add chain=input protocol=tcp dst-port=27444 action=drop comment="Trinoo" disabled=no
add chain=input protocol=tcp dst-port=27665 action=drop comment="Trinoo" disabled=no
add chain=input protocol=tcp dst-port=31335 action=drop comment="Trinoo" disabled=no
add chain=input protocol=tcp dst-port=31846 action=drop comment="Trinoo" disabled=no
add chain=input protocol=tcp dst-port=34555 action=drop comment="Trinoo" disabled=no
add chain=input protocol=tcp dst-port=35555 action=drop comment="Trinoo" disabled=no
add chain=input connection-state=established action=accept comment="Allow Established connections" disabled=no
add chain=input protocol=udp action=accept comment="Allow UDP" disabled=no
add chain=input protocol=icmp action=accept comment="Allow ICMP" disabled=no
add chain=input src-address=192.168.0.0/27 action=accept comment="Allow access to router from known network" disabled=no
add chain=input action=drop comment="Drop anything else" disabled=no
add chain=forward protocol=tcp connection-state=invalid action=drop comment="drop invalid connections" disabled=no
add chain=forward connection-state=established action=accept comment="allow already established connections" disabled=no
add chain=forward connection-state=related action=accept comment="allow related connections" disabled=no
add chain=forward src-address=0.0.0.0/8 action=drop comment="" disabled=no
add chain=forward dst-address=0.0.0.0/8 action=drop comment="" disabled=no
add chain=forward src-address=127.0.0.0/8 action=drop comment="" disabled=no
add chain=forward dst-address=127.0.0.0/8 action=drop comment="" disabled=no
add chain=forward src-address=224.0.0.0/3 action=drop comment="" disabled=no
add chain=forward dst-address=224.0.0.0/3 action=drop comment="" disabled=no
add chain=forward protocol=tcp action=jump jump-target=tcp comment="" disabled=no
add chain=forward protocol=udp action=jump jump-target=udp comment="" disabled=no
add chain=forward protocol=icmp action=jump jump-target=icmp comment="" disabled=no
add chain=tcp protocol=tcp dst-port=69 action=drop comment="deny TFTP" disabled=no
add chain=tcp protocol=tcp dst-port=111 action=drop comment="deny RPC portmapper" disabled=no
add chain=tcp protocol=tcp dst-port=135 action=drop comment="deny RPC portmapper" disabled=no
add chain=tcp protocol=tcp dst-port=137-139 action=drop comment="deny T" disabled=no
add chain=tcp protocol=tcp dst-port=445 action=drop comment="deny cifs" disabled=no
add chain=tcp protocol=tcp dst-port=2049 action=drop comment="deny NFS" disabled=no
add chain=tcp protocol=tcp dst-port=12345-12346 action=drop comment="deny NetBus" disabled=no
add chain=tcp protocol=tcp dst-port=20034 action=drop comment="deny NetBus" disabled=no
add chain=tcp protocol=tcp dst-port=3133 action=drop comment="deny BackOriffice" disabled=no
add chain=tcp protocol=tcp dst-port=67-68 action=drop comment="deny DHCP" disabled=no
add chain=udp protocol=udp dst-port=69 action=drop comment="deny TFTP" disabled=no
add chain=udp protocol=udp dst-port=111 action=drop comment="deny PRC portmapper" disabled=no
add chain=udp protocol=udp dst-port=135 action=drop comment="deny PRC portmapper" disabled=no
add chain=udp protocol=udp dst-port=137-139 action=drop comment="deny NBT"disabled=no
add chain=udp protocol=udp dst-port=2049 action=drop comment="deny NFS" disabled=no
add chain=udp protocol=udp dst-port=3133 action=drop comment="deny BackOriffice" disabled=no
add chain=input protocol=tcp psd=21,3s,3,1 action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="Port scanners to list " disabled=no
add chain=input protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="NMAP FIN Stealth scan" disabled=no
add chain=input protocol=tcp tcp-flags=fin,syn action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="SYN/FIN scan" disabled=no
add chain=input protocol=tcp tcp-flags=syn,rst action=add-src-to-address-list address-list=port scanners" address-list-timeout=2w comment="SYN/RST scan" disabled=no
add chain=input protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="FIN/PSH/URG scan" disabled=no
add chain=input protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="ALL/ALL scan" disabled=no
add chain=input protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="NMAP NULL scan" disabled=no
add chain=input src-address-list="port scanners" action=drop comment="dropping port scanners" disabled=no
add chain=icmp protocol=icmp icmp-options=0:0 action=accept comment="drop invalid connections" disabled=no
add chain=icmp protocol=icmp icmp-options=3:0 action=accept comment=allow established connections disabled=no
add chain=icmp protocol=icmp icmp-options=3:1 action=accept comment=allow already established connections disabled=no
add chain=icmp protocol=icmp icmp-options=4:0 action=accept comment=allow source quench disabled=no
add chain=icmp protocol=icmp icmp-options=8:0 action=accept comment=allow echo request disabled=no
add chain=icmp protocol=icmp icmp-options=11:0 action=accept comment=allow time exceed disabled=no
add chain=icmp protocol=icmp icmp-options=12:0 action=accept comment=allow parameter bad disabled=no
add chain=icmp action=drop comment=deny all other types disabled=no
add chain=tcp protocol=tcp dst-port=25 action=reject reject-with=icmp-network-unreachable comment=Smtp disabled=no
add chain=tcp protocol=udp dst-port=25 action=reject reject-with=icmp-network-unreachable comment=Smtp disabled=no
add chain=tcp protocol=tcp dst-port=110 action=reject reject-with=icmp-network-unreachable comment=Smtp disabled=no
add chain=tcp protocol=udp dst-port=110 action=reject reject-with=icmp-network-unreachable comment=Smtp disabled=no
add chain=tcp protocol=udp dst-port=110 action=reject reject-with=icmp-network-unreachable comment=Smtp disabled=no
-
12-09-2007, 09:17 #1
qual regraa contra DDOS tem como????
-
12-09-2007, 10:29 #2Moderador
- Ingresso
- Aug 2002
- Localização
- SC
- Posts
- 1.160
Barrar ataque DDoS é praticamente impossivel, pois é utilizado um recurso de OOB (Out of band).
Se um link de 'A' de 2mbits for jogado em cima de um link' B' de 1mbit, concerteza o link B vai ficar saturado e ainda por cima o link A sobra 1mbit.
Entao, vc pode evitar tecnicas de DoS, mas DDoS dificilmente vai conseguir.
Hoje em dia, dificilmente existe tecnicas de DoS eficientes. O que podem conseguir é somente te lotar o link.
Saudações,
-
12-09-2007, 10:55 #3
reformulando a pergunta entoa como que ue faco prqa barrar um ataque a um determinado ip meu da rede um servidor tipo o firewall do propio xp ele barra algumas coisas que portas que sao essas que ele barra acredito que de uma ajudada no meu caso que tive um ataque tenho 8 ips e tava sendo atacado em especificadamente um trocar ele? sera a solucao algum drop especifico?
agradeco desde ja abracos....
-
12-09-2007, 12:19 #4
Barrar DDoS não é impossivel nem complicado, mas requer uma boa estrutura do lado de quem está sendo atacado, com apps normais e hardware comum eu chego a concordar com o GrayFox.
Na verdade tudo se resume a um trabalho conjunto do servidor com o administrador.
Primeiro de tudo temos que identificar que tipo de ataque DDoS você está sofrendo.
Partindo daí a gente pode usar a criatividade pra se safar.
O que eu estou falando é parte da minha opinião profissional e talvez não bata com o que você leia por ai, mas já me safei de poucas e boas.
Primeiro eu diria que DROP é justamente o que você não deve usar, apesar dele fazer você não ACK os pacotes e ignorar as requisições, ele vai fazer o host continuar a te martelar até seu server se entupir e começar a falhar, tanto em stack tcp/ip quanto em uso de CPU.
Claro que o malabarismo vai depender do tipo de ataque, mas existem opções válidas como null-routing ou tarpitting; Em determinados casos de ataque, se você possui um link "forte" você consegue inclusive 'reverter' o quadro, e ou travar os hosts (atacantes) em cpu utilization ou abarrotar as files de resposta de pacotes deles, isso sem sofrer grandes danos.
-
13-09-2007, 10:26 #5
Qual seria esse site alemão? Estou sempre em busca de referencias de estudo... :-)
Postado originalmente por ederamboni
-
13-09-2007, 10:50 #6
Um site que te da regras de prevenção de DDoS com DROP é uma bela referência de estudo do que NÃO fazer
Citação
