Ir para conteúdo

Instabilidades E Ataques De DDoS


dwhfms

Posts Recomendados

O que devemos fazer se estamos sob ataque?

 

Se o seu anfitrião é um dos escravos em um DDoS, você provavelmente nunca sequer ter conhecimento dela - a menos que você examinar cuidadosamente os seus registos e assistir a atividade de rede perversa. Se, por outro lado, você é a vítima, os resultados serão dramática e óbvia.

Sintomas (vítima):

  1. Programas são executados muito lentamente
  2. Serviços (por exemplo, HTTP) falhar em uma alta taxa
  3. Grande número de solicitações de conexão de redes diferentes
  4. Reclamações dos usuários sobre acesso ao site lento (ou não)
  5. Máquina mostra uma alta carga de CPU

Se você descobrir que você está sob ataque, siga estes passos:

  • Verifique se a sua carga de CPU é alto e você tem um grande número de HTTP processo em execução
    Verifique a carga com o 'w' ou o 'uptime' comandos:
    Blessen @ work> w
    12:00:36 até 1 dia, 20:27, 5 usuários, carga média: 0,70, 0,70, 0,57
     
    Contar o número de processos HTTP (que ajuda a saber o que sua contagem normal é para comparação):
    [Root @ blessen root] # ps-aux | grep-i HTTP | wc-l
    23
  • Determinar a rede de ataque
    Em um servidor muito carregado, o número de ligação pode estar acima de 100 -, mas durante um ataque de DDoS, o número vai ainda mais elevado. Isso é quando precisamos descobrir, o mais rapidamente possível, que as redes estão a lançar esses ataques. Em um ataque DDoS, a máquina escravo indivíduo não tem muita importância, é a rede que mais importa, uma vez que um atacante poderia estar usando qualquer ou mesmo todas as máquinas em uma rede comprometida. Consequentemente, o endereço de rede é de importância crucial.
    Executar o seguinte comando irá mostrar os IPs dispostos em ordem de conexões estabelecidas:
    bash # netstat-lpn | grep: 80 | awk '{print $ 5}' | sort
     
    Para um host média, se você tiver mais de 30 ligações de um único IP, as chances são de que você está sob ataque. Em operação normal, não é muito raro haver qualquer razão para que as solicitações de conexão de muitos de um único IP. Identificar essas redes para posterior relato, talvez usando o 'whois' comando.
    Se mais de 5 tais anfitriões / IPS conectar da mesma rede, isso é um sinal muito claro de DDoS.
  • Bloquear a rede de ataque
    Isto pode ser feito usando 'iptables' ou 'APF':
    iptables-A INPUT-s <Source GOTA IP>-j
     
    Se você estiver executando 'apf ", basta adicionar estes IPs para o' / etc / apf / deny_hosts.rules 'file. Continue esse processo de eliminação até que o ataque à máquina é reduzida (e, esperamos, finalmente, pararam completamente.) Como medida de acompanhamento, entre em contato com o datacenter / NOC responsável por essa rede para informá-los dos sistemas comprometidos.
    Como estratégia de longo prazo, uma vez que o ataque imediato é mais (ou, se você for esperto, você pode fazer isso agora mesmo :), instalação Portsentry (ver os softwares listados no final deste artigo.)

Como podemos prevenir ou nos defender desses ataques?

 

Não há uma solução completa ou perfeita para DDoS. A lógica é simples: NÃO software ou contramedidas pode resistir a ataques de, digamos, 100 servidores de uma só vez. Tudo o que pode ser feito é tomar medidas preventivas, e responder rápida e eficazmente quando o ataque ocorre.

Como se costuma dizer, um grama de prevenção é melhor do que um quilo de cura - e isso é muito verdadeiro no caso de DDoS. Na introdução, eu tinha mencionado que DDoS muitas vezes acontece por causa do software vulnerável / aplicações rodando em uma máquina em uma rede particular. Agressores usam essas brechas de segurança para comprometer os hosts e os servidores e instalar as ferramentas de DDoS como "trin00 '.

Para prevenir ou atenuar futuros ataques DDoS, siga estes passos:

  • Criar e implementar uma boa política de segurança
  • Configurar um firewall que faz a entrada e saída de filtragem no gateway (por exemplo, APF de http://www.rfxnetworks.com/apf.php )
  • Use baseado em host de detecção de intrusão no seu gateway / hosts para alertá-lo para varreduras de portas e quebrar em tentativas (por exemplo, AIDE de http://freshmeat.net/projects/aide/ )

Para evitar que sua rede seja usada como um escravo, siga estes passos:

  • Realizar auditorias regulares em cada host na rede para encontrar ferramentas instaladas DDoS e aplicações vulneráveis.
  • Use ferramentas como Rkdet , Rootkit Hunter , ou chkrootkit para descobrir se um rootkit foi instalado em seu sistema.
  • Realizar uma auditoria de segurança geral em seus sistemas em uma base regular:
    • Mantenha os sistemas atualizados para minimizar as vulnerabilidades de software (upgrades do kernel e software)
    • Verificar rootkits
    • Verifique os logs para a evidência de porta sniffing, etc
    • Verifique se há processos ocultos comparando a saída do 'ps' e 'lsof'.
    • Use ferramentas de auditoria (ou seja, Nessus , SAINT , ou SARA )
    • Verifique o sistema de binários com, por exemplo, Tripwire, para ver se eles foram alterados desde o último instantâneo
    • Verifique para relés e-mail abertas
    • Verifique se há entradas cron maliciosos
    • Verifique / dev / tmp / var para arquivos estranhos (ou seja, '...', permissões erradas / propriedade sobre arquivos de dispositivos, etc)
    • Verifique se backups são mantidos
    • Verifique para usuários e grupos indesejados (examinar / etc / passwd)
    • Verifique e desative os serviços desnecessários
    • Verifique se há SUID, SGID, e 'nouser dos arquivos em seu sistema com a' encontrar 'comando
    • Verifique o desempenho do sistema (memória e CPU), observe os níveis médios

    [*]Criar uma equipa de DSE (especialista em segurança dedicada) para sua empresa.

    [*]Cumprir e implementar medidas de segurança em todos os hosts da rede. Os anfitriões apenas que deve ser permitido em sua rede são aqueles que foram vetados pelo seu administrador de segurança, ou DSE (especialista em segurança Dedicado). Todos os hosts da rede devem ser verificados em uma base regular por sua equipe de DSE.

    [*]Recolha a sua rede e dados do host e analisá-los para ver que tipo de ataques estão sendo executados contra a sua rede.

    [*]Implementar Sysctl proteção baseada. Ativar o seguinte no seu '/ etc sysctl.conf /':

    # Ativar proteção IP spoofing, ligue Verificação Endereço de origem

    net.ipv4.conf.all.rp_filter = 1

     

    # Enable TCP SYN Cookie Proteção

    net.ipv4.tcp_syncookies = 1

    Por outro lado, você pode adicionar este código para o seu '/ etc / rc.local ":

    para f in / proc/sys/net/ipv4 / {conf / * / rp_filter e tcp_syncookies}

    fazer

    echo 1> $ f

    feito

    [*]Instale PortSentry para bloquear hosts de digitalização.

    [*]Adicione 'Mod_dosevasive "para sua instalação do Apache. Este é um módulo do Apache que realiza a ação "evasivo" em caso de um ataque DDoS HTTP ou ataque de força bruta.

    [*]Instale o "mod_security 'módulo. Desde DDoS frequentemente alvos HTTP (porta 80), é uma boa idéia ter um sistema de filtragem para o Apache '; mod_security "irá analisar os pedidos antes de passá-los para o servidor web.

    [*]Configurar o balanceamento de carga para seus serviços. De certa forma, esta é a mais poderosa defesa baseada em rede contra DDoS.

    [*]Criar a consciência sobre questões de segurança.

Conclusão

 

Os ataques DDoS podem ser mitigados na máquina-alvo e impediu a rede de escravos através da implementação de segurança apropriada. Meu conselho para cada servidor e proprietário da rede é a implementação de medidas de segurança eficazes; desde DDoS é um problema em toda a rede, evitando que ele vai exigir a ajuda de todos.

Link para o comentário
Compartilhar em outros sites

Quem faz isso não é Hacker e sim um cracker nojento. E com relação a:

Quote

 

O que eles não entendem é que tudo Open Tibia está sob licença GNU.

 

Eles estão errados em vender qualquer coisa relacionada ao Open Tibia.

 

A licença GNU é bem clara com relação a isso, não há problemas em vender software livre, não é ilegal pegar um software como o otserv padrão e vendê-lo, o que não pode é não fornecer o código fonte desse software, isso sim é crime. E vale lembrar que tem que ser o código fonte do software que o cara desenvolveu e não o do que ele se baseou para desenvolver o dele, isso é um erro muito comum que eu vejo por aí ^^

Link para o comentário
Compartilhar em outros sites

Como quiserem, me adicionem no Skype: Man1ack_AnonBR

 

#FORUMXTIBIA: Cairá daqui 5 minutos!

 

Boa sorte para ambos,

Aqui vois fala,

Man1ack | AnonBR!

 

"Nós somos Anonymous. Nós somos Legião. Nós não perdoamos. Nós não esquecemos."

 

14:06 , não que eu queira o fórum offline né... Mas...

Link para o comentário
Compartilhar em outros sites

Visitante
Este tópico está impedido de receber novos posts.
×
×
  • Criar Novo...