Ir para conteúdo

[Arquivado]Como você se protege de DDOS (nukers) ?


Administrador

Posts Recomendados

@RCHP

CSF com cpanel você está usando ou ele puro no linux?

 

Ele puro no linux... Eu e um amigo já testamos ele uma vez vendo pelo iptraf, ele segurou bem até.

Link para o comentário
Compartilhar em outros sites

Existe uma série de alterações que pode-se fazer no kernel, que aplicamos nos vps de nossos clientes. Uma delas (talvez a mais interessante) é o uso de tcp cookies, pois ele libera um "cookie" em vez de ja abrir um slot de comunicação para cada syn que recebe, visto que oque acaba "ferrando" os servidores de otservers é na verdade o uso do processador durante o ataque, e não necessariamente o uso de banda. Existe também um patch que você aplica no kernel que quando é detectado um ataque, ele começa barrar todas conexões, mantendo apenas as estabelecidas, mas que é somente para o kernel 2.6.22 (infelizmente). Montei um vps fedora com o dito kernel aqui somente para testes e o resultado foi extremamente positivo. Ja enviei um email para o desenvolvedor pedindo mais informações e pretendo desenvolver esse patch para o debian 6, mas até agora não tive resposta, e é inviavel utilizar um kernel ultrapassado desses para produção, pensando na quantidade de vulnerabilidades conhecidas que o mesmo deve ter. Qualquer novidade eu posto aqui para vocês

 

@Sasky - Li um pouco sobre o pf, interessante. Estou baixando o fbsd 9.1 nesse momento para testar na prática. Por hora, minha dúvida é em relação a uso dele pra produção. Conhece algum servidor de jogo ou voip rodando sobre ele? como você classifica a segurança e estabilidade dele em relação as distros de linux atuais? (tais como centos 6 ou debian 6)

Obrigado!

Link para o comentário
Compartilhar em outros sites

Servidores de jogo conheço os que usam o pvpgn( emulador de battle.net ) para poder jogar diablo 1 e 2 e warcraft 2 e 3, com relação a voip, http://www.freebsdfoundation.org/testimonials.shtml .

Com relação a segurança, http://www.freebsd.org/doc/handbook/mac.html , as distros linux estão bem atrás do FBSD ^^. Ele é mais estável que a distros linux, http://www.h-online.com/open/features/Health-Check-FreeBSD-The-unknown-giant-920248.html ,e o ZFS humilha os outros sistemas de arquivo disponíveis por aí :p

Link para o comentário
Compartilhar em outros sites

@Gustavo

CSF é bem famoso pra otserver não sei porque tu mencionou aquilo que só o conhecia para webserver ehuehuehuehue, ele poder ter algumas incompatibilidades com o kernel/rede fazendo que com facilmente ele impeça a conexão de players com o servidor mais não é nada que se resolva até porque eu o uso apenas para organizar e executar minhas regras (direto pelo terminal, sem cpanel), sobre ataque spoofado, todo mundo sabe que só software não resolve, mais pode se previnir o PIOR, no meu caso eu uso wait list, quando o spoofamento tcp/syn inundação é forte o suficiente para blokear toda a conexão fazendo com que o firewall não consiga filtrar os ips (pelo motivo de ser vários atakes fracos) eu uso WAITLIST, fazendo com que os cookies TCP fiquem ativos apenas para os players online do servidor impedindo qualquer outra conexão até o ataque passar (ou seja, ngm entra, mais também ninguem sai), minha solução é essa, prefiro do que pagar $$$ em maquinas, proxyes ou akelas rotas de filtro que as empresas cobrar absurdos mensalmente. (Até que um Load balance(proxy) não é tão ruim quando os donates do server estão altos) :]

Link para o comentário
Compartilhar em outros sites

Bom os unicos que sempre usei foi o PortSafe AntiNuker & Kiwi Guard.

Pra mim deram conta do trabalho!

Tenho aqui eles Comigo.

Empresas por ae vendem eles por ate R$ 10,00 reais cada.

Posso colocar eles a disposicao si quiserem.

Tenho tambem o Memory Optimizer, que tambem e vendido por ae pelo mesmo valor.

Link para o comentário
Compartilhar em outros sites

  • Administrador

@sasky

Opa rapaz, concordo com o que você falou também, mas temos uma dificuldade de compatibilidade

de hardware muito grande, já ouviu falar em pfsense.org?

 

 

@Anony

CSF tem parceria com plugin na cpanel.net, por isso falei que só tinha visto pra WEB.

 

Gostei das suas explicações e concordo com a maioria, mas quando falou de load balancer eu fiquei curioso. Um load balancer com throuput de 1gbps (ataques que considero medianos) custa cerca de $1k, se o atacante usar mais força no ataque derruba o load balancer e vai dropar pacotes do mesmo jeito.

 

Poderia compartilhar comigo uma sugestão para ataques acima de 1gbps?

 

@Alexclusive

Conhecia apenas o Kiwi Guard, mas pelo que vi ele não segurou muito nos testes que fizemos aqui não, no máximo

500kpps.

 

Posta pra gente? Quero estudar eles e quem sabe dar um parecer deles no artigo que to querendo montar como GUIA

para resolver DDOS focado em Open Tibia.

 

@Shyrriro

Que bom que te ajudamos em algo :D

Ajude a comunidade agora e vamos todos crescer rsrs

 

@juliorpv

O que você falou de kernel é muito bom, existe uma kernel do ubuntu que é especialista em segurança, procure

por GPsec. O TCP cookies pode ser ruim em alguns casos, pois seu servidor responde ao ataque, logo você amplifica

um pouco o ataque de determinados protocolos.

Link para o comentário
Compartilhar em outros sites

ae galera, eu achei um programa q pretendo usar no meu serv quando eu lançar, junto ao kiwi guard:

http://www.baixaki.com.br/download/zonealarm-free-firewall.htm

este programa promete proteger de ataques hacker, mais não sei se protege msm pq nunca testei, alguem ae sabe se funfa ou n ?

Link para o comentário
Compartilhar em outros sites

  • @Gustavo; Eu conheço o pfsense sim, mas o problema do freebsd é com relação a notebooks ( placas AMD + placas de rede wifi ) e as funções de hibernate, suspend e outros por componentes que não suportam isso como OSS( Open Sound System ) e tal... Agora pro resto é uma boa alternativa, eu pessoalmente usei ele por 1,5 ano pra poder usar pra valer o zfs e valeu a pena ^^

Link para o comentário
Compartilhar em outros sites

Exatamente como ######## disse... Não importa a proteção, eles podem levar algum tempo... dias... semanas... meses... mas conseguirão te derrubar...

 

O problema é que enquanto você gasta dinheiro (facilmente acima da casa de quatro digitos em dolares) para se defender, para atacar, não há custo algum em dinheiro, no maximo, dedicar algumas horas para conseguir novas shells... Ou chamar mais gente no IRC para ajudar a derrubar o cara que ninguem consegue derrubar (e acredite, isso se espalha como uma peste).

 

O que minha experiencia no Darghos pode dizer é que a melhor maneira de anular quem faz DDoS é agir na sua motivação de atacar... E jamais, tentar confronta-los, coisas como "temos proteção, pode vir que aqui ninguém nuka" pode ser desastroso, se houver um motivo (servidor de destaque, etc), você irá virar o alvo e uma hora sua proteção por melhor que for cairá.

 

Se o ataque não for spoofado (o que hoje é raro) pegar o IP e entrar em contato com o ISP da maquina que estão usando também costuma resolver. Entrar em contato com o seu ISP em alguns casos também pode ajudar em alguma coisa (eles tem trocentos Gigabytes de banda para conseguir ao menos tentar fazer alguma coisa para te ajudar...).

 

Na maioria das vezes, ataques partem dos proprios players, geralmente derrubam para matar/prejudicar time oponente ou simplesmente para tentar ganhar beneficio no jogo do GOD, Tibia chegou ao situação que fazer DDoS se tornou "parte do jogo", tal como o uso de bot etc. Um servidor totalmente protegido ou que não há maneiras de tirar vantagem com DDoS costumam não atrair times de war que usam tal tatica (boa parte usa). Sei inclusive, de servidores "constantemente em guerra", com altas quantias de jogadores online que ao invés de tentarem resolver o problema, cedem, oferecendo vantagens no jogo para que parem de atacar ou não ataquem e de quebra que não saiam do servidor.

Link para o comentário
Compartilhar em outros sites

Visitante
Este tópico está impedido de receber novos posts.
×
×
  • Criar Novo...