kpdo 18 Postado Agosto 31, 2011 Share Postado Agosto 31, 2011 (editado) Olá galera primeiramente, eu venho falar que andei pesquisando muito ,e vi varias regras e resolvi fazer uma compilação, uma coisa eu ja digo de cara, nunca ta 100% a regra iptables, sempre fica uma brecha ou outra , um ataque bem planejado nao a dedicado que aguente,sim ate softlayer cai,servidores de tibia global etc,bom enfim nao vo ensinar como derrubar servidores, mais vo mostrar como se prevenir internamente,(externamente) algumas regras e so no roteador com gateway isso é avançado quem tem que oferecer e o seu servidor dedicado. bom enfim vamos as regras iptables. primeiro vo comentar sobre um ataque muito chato de conter, o tal syn flood eu posso falar 1001 maneiras de como esse ataque pode ser feito,e como seu firewall jamais vai se defender dele,porem vo apenas por uma linha abaixo que não é solução mais ameniza o problema,e vo falar a vantagem e desvantagem de usar ela. por um dellay no seu servidor exemplo aceitar 1 conexão por segundo. iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT iptables -A FORWARD -p udp -m limit --limit 1/s -j ACCEPT qual a vantagem de usar essa regra? se protege até de ip spoof e grandes inundação. qual a desvantagem? se alguem realizar o ataque quem ta online no seu servidor(jogo) vai permanecer mais quem for tentar fazer login nao vai conseguir, pode até conseguir mais vai ser mais dificil e o site provavelmente fica fora do ar quando o cara realizar o ataque, porem ao usar essa regra e bom ter o site em hospedagem. não importa se você tem muita memoria ou processador banda entre outros,os recursos nao são infinitos,uma hora vai acabar e seu computador vai travar, quanto mais banda sua rede tiver OTIMO mais dados entra pra travar seu processador/memoria, e quanto mais memoria/processador mais connections seu servidor vai aceitar ou seja é uma questão que nunca ta 100% seguro. regras arp spoof/ip spoof são bem planejada se baseia em clonar ips falsos por tanto nao adianta limitar numero de conexão por ip, pois ela gera milhares de ips falsos e envia a connection a maquina acredite 1 so maquina atacando um servidor dedicado com tecnica arp spoof/ip spoofing bem planejado derruba um softlayer. a então como resolver? e como eu falei nunca ta 100%, mais existe servidores gateway e regras a ser aplicadas abaixo vo por algumas regras iptables compiladas por eu mesmo. regra recomendada por min iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT iptables -A FORWARD -p udp -m limit --limit 1/s -j ACCEPT echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all echo 1 > /proc/sys/net/ipv4/tcp_syncookies iptables -A INPUT -p tcp --syn -m connlimit --connlimit-above 7 -j REJECT for i in /proc/sys/net/ipv4/conf/*/rp_filter; do echo 1 > $i; done iptables -A FORWARD -p tcp --syn --dport 22 -m limit --limit 1/s -j ACCEPT iptables -A INPUT -p tcp --syn --dport 22 -m connlimit --connlimit-above 1 -j REJECT end regra bruta iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT iptables -A FORWARD -p udp -m limit --limit 1/s -j ACCEPT echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all echo 1 > /proc/sys/net/ipv4/tcp_syncookies iptables -A INPUT -p tcp --syn -m connlimit --connlimit-above 3 -j REJECT end regra forte iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST -m limit --limit 1/s -j ACCEPT echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all echo 1 > /proc/sys/net/ipv4/tcp_syncookies iptables -A INPUT -p tcp --syn -m connlimit --connlimit-above 7 -j REJECT end regra itermediaria echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all iptables -A FORWARD -p tcp ! --syn -m state --state NEW -j DROP iptables -A FORWARD -p tcp ! --syn -m state --state NEW -j DROP iptables -A INPUT -m state --state INVALID -j DROP iptables -A OUTPUT -m state --state INVALID -j DROP iptables -A FORWARD -m state --state INVALID -j DROP iptables -A conn-flood -m limit --limit 7/s --limit-burst 20 -j RETURN iptables -N syn_flood iptables -A INPUT -p tcp --syn -j syn_flood iptables -A syn_flood -m limit --limit 1/s --limit-burst 3 -j RETURN iptables -A syn_flood -j DROP iptables -A INPUT -p tcp -m multiport --dports 135,137,138,139,445,1433,1434 -j DROP iptables -A INPUT -p udp -m multiport --dports 135,137,138,139,445,1433,1434 -j DROP for i in /proc/sys/net/ipv4/conf/*/rp_filter; do echo 1 > $i; done echo 1 > /proc/sys/net/ipv4/tcp_syncookies iptables -A INPUT -p tcp --syn -m connlimit --connlimit-above 7 -j REJECT end (essa regra abaixo e pra bloquear ip spoofing no momento por tanto nao adianta aplicar ela, por exemplo se tu sabe que o cara ta usando a classe ips que começa com 60 ou 50 se bloqueia essa classe e o ataque para,eu recomendo bloquear as seguintes classes assim seu servidor nao vai ser atacado por outro servidor. pois hackers de verdade geralmente usa servidor pra atacar servidor com scripts e as vezes varios servidor e as classes abaixo e de servidores mais pode bloquear algumas redes privadas tambem. iptables -A ext-int -s 127.0.0.0/8 -j DROP iptables -A ext-int -s 172.16.0.0/16 -j DROP iptables -A ext-int -s 192.168.0.0/24 -j DROP iptables -A INPUT -s 0.0.0.0/7 -j DROP iptables -A INPUT -s 2.0.0.0/8 -j DROP iptables -A INPUT -s 5.0.0.0/8 -j DROP iptables -A INPUT -s 7.0.0.0/8 -j DROP iptables -A INPUT -s 10.0.0.0/8 -j DROP iptables -A INPUT -s 23.0.0.0/8 -j DROP iptables -A INPUT -s 27.0.0.0/8 -j DROP iptables -A INPUT -s 31.0.0.0/8 -j DROP iptables -A INPUT -s 36.0.0.0/7 -j DROP iptables -A INPUT -s 39.0.0.0/8 -j DROP iptables -A INPUT -s 42.0.0.0/8 -j DROP iptables -A INPUT -s 49.0.0.0/8 -j DROP iptables -A INPUT -s 50.0.0.0/8 -j DROP iptables -A INPUT -s 77.0.0.0/8 -j DROP iptables -A INPUT -s 78.0.0.0/7 -j DROP regra bloquear classes ips iptables -A ext-int -s 10.0.0.0/8 -j DROP iptables -A ext-int -s 127.0.0.0/8 -j DROP iptables -A ext-int -s 172.16.0.0/16 -j DROP iptables -A ext-int -s 192.168.0.0/24 -j DROP iptables -A INPUT -s 0.0.0.0/7 -j DROP iptables -A INPUT -s 2.0.0.0/8 -j DROP iptables -A INPUT -s 5.0.0.0/8 -j DROP iptables -A INPUT -s 7.0.0.0/8 -j DROP iptables -A INPUT -s 10.0.0.0/8 -j DROP iptables -A INPUT -s 23.0.0.0/8 -j DROP iptables -A INPUT -s 27.0.0.0/8 -j DROP iptables -A INPUT -s 31.0.0.0/8 -j DROP iptables -A INPUT -s 36.0.0.0/7 -j DROP iptables -A INPUT -s 39.0.0.0/8 -j DROP iptables -A INPUT -s 42.0.0.0/8 -j DROP iptables -A INPUT -s 49.0.0.0/8 -j DROP iptables -A INPUT -s 50.0.0.0/8 -j DROP iptables -A INPUT -s 77.0.0.0/8 -j DROP iptables -A INPUT -s 78.0.0.0/7 -j DROP iptables -A INPUT -s 92.0.0.0/6 -j DROP iptables -A INPUT -s 96.0.0.0/4 -j DROP iptables -A INPUT -s 112.0.0.0/5 -j DROP iptables -A INPUT -s 120.0.0.0/8 -j DROP iptables -A INPUT -s 169.254.0.0/16 -j DROP iptables -A INPUT -s 172.16.0.0/12 -j DROP iptables -A INPUT -s 173.0.0.0/8 -j DROP iptables -A INPUT -s 174.0.0.0/7 -j DROP iptables -A INPUT -s 176.0.0.0/5 -j DROP iptables -A INPUT -s 184.0.0.0/6 -j DROP iptables -A INPUT -s 192.0.2.0/24 -j DROP iptables -A INPUT -s 197.0.0.0/8 -j DROP iptables -A INPUT -s 198.18.0.0/15 -j DROP iptables -A INPUT -s 223.0.0.0/8 -j DROP iptables -A INPUT -s 224.0.0.0/3 -j DROP iptables -A INPUT -p tcp --syn -m connlimit --connlimit-above 7 -j REJECT end regra media iptables -A INPUT -p tcp --syn -m connlimit --connlimit-above 7 -j REJECT echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all echo 1 > /proc/sys/net/ipv4/tcp_syncookies end regra anti-brute force no ssh iptables -A FORWARD -p tcp --syn --dport 22 -m limit --limit 1/s -j ACCEPT iptables -A INPUT -p tcp --syn --dport 22 -m connlimit --connlimit-above 2 -j REJECT end regra disconnect invalid iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH SYN -j DROP iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN -j DROP iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH ACK -j DROP iptables -A INPUT -m conntrack --ctstate INVALID -p tcp --tcp-flags ! SYN,RST,ACK,FIN,URG,PSH SYN,RST,ACK,FIN,URG,PSH -j DROP iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN,URG,PSH -j DROP end regra simples iptables -N conn-flood iptables -I INPUT 1 -p tcp --syn -j conn-flood iptables -A conn-flood -m limit --limit 7/s --limit-burst 20 -j RETURN iptables -A conn-flood -j DROP iptables -A INPUT -p icmp -m limit --limit 1/s --limit-burst 1 -j ACCEPT iptables -A INPUT -p icmp -j DROP end Proteção contra ip spoofing # iptables -A INPUT -s 10.0.0.0/8 -i Interface da NET -j DROP # iptables -A INPUT -s 172.16.0.0/16 -i Interface da NET -j DROP # iptables -A INPUT -s 192.168.0.0/24 -i Interface da NET -j DROP Bom créditos 70% meu(renansmith/kpdo) pelas pesquisas e 30% ao google claro, muitas pesquisas. Vale ressaltar que um ataque bem planejado DDOS, não a nada que segura, o que vai te proteger e os recursos de hardware,e configuração no roteador(gateways) hubs entre outros adicionais de reredicionamentos,e isso é caro acho raro ter servidor de open tibia que tenha isso,e boa parte por ae ta vulneravel e continua sendo vulneravel. Editado Agosto 31, 2011 por renansmith Link para o comentário Compartilhar em outros sites More sharing options...
Natanael Beckman 223 Postado Agosto 31, 2011 Share Postado Agosto 31, 2011 (editado) Entro ontem ja ta dando aula Renan, kkkkk Parabéns rep++ Muito util seu topico! Editado Agosto 31, 2011 por GM Bekman Link para o comentário Compartilhar em outros sites More sharing options...
CoLoRaDo 83 Postado Setembro 2, 2011 Share Postado Setembro 2, 2011 o tutorial até que ta bom mas tu nao explicou onde coloca isso! Link para o comentário Compartilhar em outros sites More sharing options...
kpdo 18 Postado Setembro 3, 2011 Autor Share Postado Setembro 3, 2011 o tutorial até que ta bom mas tu nao explicou onde coloca isso! terminal do linux uai. iptables é o firewall do linux Link para o comentário Compartilhar em outros sites More sharing options...
hellcoreot 39 Postado Setembro 16, 2011 Share Postado Setembro 16, 2011 (editado) Posso usar essa regra recomendada por vc quer n aferatrá em nada os player? tipo kick ou site off? Muito bom esse post repp++ Editado Setembro 16, 2011 por hellcoreot Link para o comentário Compartilhar em outros sites More sharing options...
kpdo 18 Postado Setembro 17, 2011 Autor Share Postado Setembro 17, 2011 Posso usar essa regra recomendada por vc quer n aferatrá em nada os player? tipo kick ou site off? Muito bom esse post repp++ acredito que sim,antes de aplicar um nova regra compilada no caso a minha aconselho a apagar as anterior com o comando iptables -F pra ver o que ta configurado iptables -L se tu nao for usar tipo capatcha do google entre outras coisas se pode dar drop no protocologo udp,attacks sotifiscado vem por ele e acredite sao os mais foda de se defender esses passa ate pelo fw fisico,se tu tiver um fw fisico pede pra eles bloquear esse protocologo se tiver sofrendo ataques. Link para o comentário Compartilhar em outros sites More sharing options...
hellcoreot 39 Postado Outubro 14, 2011 Share Postado Outubro 14, 2011 me ajuda com uma proteção forte pq o cara derruba o ot e pede dinheiro para protejer o o meu serv ele falou que configura assim. ele diz: "anti syn, udp, tcp, limite de pacotes aceitos, é de 110R$" alguem consegue fazer essa proteção para que eu não seja mais atacado. Link para o comentário Compartilhar em outros sites More sharing options...
soulpop 6 Postado Outubro 21, 2011 Share Postado Outubro 21, 2011 Eu Nao Estou Revivendo o Tópico , Pois o meu Assunto tem a Ver com ele. @Topic Cara Onde eu Coloco Isso? Terminal? Eu chego no terminal e colo? Como que fais , Valendo Rep + Link para o comentário Compartilhar em outros sites More sharing options...
hellcoreot 39 Postado Outubro 22, 2011 Share Postado Outubro 22, 2011 va em aplicações acessórios terminal. sim so copia e colar. Link para o comentário Compartilhar em outros sites More sharing options...
Language 2 Postado Novembro 5, 2011 Share Postado Novembro 5, 2011 Bacana seu conhecimento em redes, parabéns! Link para o comentário Compartilhar em outros sites More sharing options...
renancaique 0 Postado Novembro 15, 2011 Share Postado Novembro 15, 2011 Como que eu adiciono tudo isso, tem como ver isso no dedicado? Link para o comentário Compartilhar em outros sites More sharing options...
nastrowo 7 Postado Novembro 15, 2011 Share Postado Novembro 15, 2011 Ataques deste tipo podem ser facilmente, facilmente meeeesmo por um firewall comercial virtual e comercial fisíco, utilizamos aqui o Cisco Guard estes tipos de ataques praticamente não passam do dedinho deste firewall! Link para o comentário Compartilhar em outros sites More sharing options...
kpdo 18 Postado Novembro 19, 2011 Autor Share Postado Novembro 19, 2011 (editado) hoje em dias os ataques estão tão sotisficado que nem CISCO ASA ta segurando. e nem port SECURE PPS. ta osso hoje , ja vi nego metendo 1,000,000 PPS o port secure disso e hyper mega caro e garanto que nenhum open tibia projeto tem condições de pagar isso so a cip e olha la, imagina se um cara desse encanar com todos projeto de opentibia? é realmente de dar do , isso e suficiente pra derrubar a cip e demais jogos onlines de grande porte..pra derrubar um facebook com 1,000,000,000 PPS << e necessario isso +/- , mesma coisa a google. Editado Novembro 19, 2011 por renansmith Link para o comentário Compartilhar em outros sites More sharing options...
zaton 0 Postado Novembro 29, 2011 Share Postado Novembro 29, 2011 (editado) Renansmith cara voce poderia postar como eu posso aplicar isto no meu servidor??? sou iniciante nao entendo muito eu tenho o dedicado mas ele nao da muita assitencia aos ataques e nos ultimos dias começarao a atacar meu server de bleachtibia e queria a´prender pára ver se amenizava. Agradeço des de já a resposta +Rep Editado Novembro 29, 2011 por zaton Link para o comentário Compartilhar em outros sites More sharing options...
kpdo 18 Postado Novembro 30, 2011 Autor Share Postado Novembro 30, 2011 Então Renansmith cara voce poderia postar como eu posso aplicar isto no meu servidor??? sou iniciante nao entendo muito eu tenho o dedicado mas ele nao da muita assitencia aos ataques e nos ultimos dias começarao a atacar meu server de bleachtibia e queria a´prender pára ver se amenizava. Agradeço des de já a resposta +Rep è linux? se for linux basta executar tais comandos via ssh no terminal do linux,vale lembrar que verifique direito as regras a ser aplicadas e isso não e solução é amenização,pois um forte DDOS ,software não segura. Link para o comentário Compartilhar em outros sites More sharing options...
Posts Recomendados