COMO VOCE SE DEFENDERIA DE ATAQUE DDOS?

alguem por ai ja sofreu ataque ddos? ( aquele ataque de pacotes contra o ip) eu tava a um tempo sofrendo com essa desgraça no meu link dedicado , coloquei 6 tipos de firewall diferente e o bixo ainda cai quando atacado...

a solução que encontrei foi o balanceamento com links adsl com redundancia..

mas a solução ??? ^^

Para adicionar comentários, você deve ser membro de MK-AUTH.

Join MK-AUTH

Enviar-me um email quando as pessoas responderem –

Respostas

  • ip / firewall / filter rules / sinal de mais , chain=input / protocol=1 (icmp) / action=drop.

    Resolveu aqui.

     

    Agnaldo

  • Por aqui eu uso essas regras:

       ;;; P2P
         chain=forward action=drop p2p=all-p2p

       ;;; UDP
         chain=input action=accept protocol=udp

       ;;; Accept established connections
         chain=input action=accept connection-state=established

       ;;; SSH for secure shell
         chain=input action=drop protocol=tcp dst-port=22

       ;;; Accept related connections
         chain=input action=accept connection-state=related

       ;;; Drop invalid connections
         chain=input action=drop connection-state=invalid

       ;;; Allow limited pings
         chain=input action=drop protocol=icmp limit=50/5s,2

       ;;; Log everything else
         chain=input action=log log-prefix="DROP INPUT"

     

    Sendo que o P2P fica bloqueado somente de 18hrs às 23hrs e para isso criei uma regra de habilitar e desabilitar no horario.

    Abs

  •  

    eu uso as regras abaixo:

     

    /ip firewall filter

    add action=add-dst-to-address-list address-list=blocked-addr address-list-timeout=3m chain=input comment="" connection-limit=100,32 disabled=no protocol=tcp
    add action=tarpit chain=input comment="" connection-limit=3,32 disabled=no protocol=tcp src-address-list=blocked-addr
    add action=accept chain=SYN-Protect comment="" connection-state=new disabled=no protocol=tcp tcp-flags=syn
    add action=drop chain=SYN-Protect comment="" connection-state=new disabled=no protocol=tcp tcp-flags=syn

    mais as vezes elas falham e acho que precisam de melhorias...
  • o problema dessas regras éh que quando elas estao " protegendo " o processamento do hardware vai a 1000 gerando outro problema.

     

  • Emulei um teste aqui, mas sem regra alguma de bloqueio, realmente o processamento sobe, mas tipo deu 30% numa rb1100 com 20 amigos pingando, abrindo 20 pings cada um( usando varios hosts para pingar), agora nao sei, ataque é ataque, acho dificil se prevenir de maneira totalmente eficiente quanto a isso, com 400 requisiçoes simultaneas e sem proteção deu 30%, acho que precisaria de umas 2000 simultaneas para travar a rb, nesse caso acho que um proteção eficiente seria um desvio da requisição para outra maquina da rede interna, porem sem o host, tipo, criar um ip 10.10.10.10 e mandar um dstnat do icmp externo pra ele, o que daria host de destino inalcansavel ... deixando assim a rota perdida e o ataque frustado...

    adriano tambosi disse:

    o problema dessas regras éh que quando elas estao " protegendo " o processamento do hardware vai a 1000 gerando outro problema.

     

  • bem nos testes que eu fiz foi com uma rb 1100AH e um PC e um link dedicado de 60Mb da embratel aconteceu 2 coisas , se eu bloquear por regras a rb trava por uns 10 segundos chega ate cair o winbox e parar de pingar o gw , se eu deixar sem regras o link estora o consumo de 60Mb e trava o link ,

    realmente acho um desafio..

     

  • Mas como fez seus testes ? externo ou interno ? pra consumir 60 mega de link com icmp é muito dificil ...

    adriano tambosi disse:

    bem nos testes que eu fiz foi com uma rb 1100AH e um PC e um link dedicado de 60Mb da embratel aconteceu 2 coisas , se eu bloquear por regras a rb trava por uns 10 segundos chega ate cair o winbox e parar de pingar o gw , se eu deixar sem regras o link estora o consumo de 60Mb e trava o link ,

    realmente acho um desafio..

     

  • o teste é externo ( de fora da rede pra dentro ) usei uma shel em um server da koreia com f3
  • A melhor política de firewall é usando tarpit. Não existe política totalmente eficiente para isso, o melhor mesmo e entrar em contato com a operado que distribui o seu link e pedir que o bloqueio seja feito na operadora, porque mesmo bloqueando por firewall você poderá ter o link congestionado.
  • tem razão...

    Jhonne Jossy disse:
    A melhor política de firewall é usando tarpit. Não existe política totalmente eficiente para isso, o melhor mesmo e entrar em contato com a operado que distribui o seu link e pedir que o bloqueio seja feito na operadora, porque mesmo bloqueando por firewall você poderá ter o link congestionado.
This reply was deleted.