[Arquivado]Como você se protege de DDOS (nukers) ?

[Administrador 1434]

Opa Morzgames,

 

Eu estou escrevendo o artigo no estilo "Getting Started" com o pessoal da Server Soft, vamos liberar várias idéias

pra galera fazer o básico e conseguir sustentar alguns ataques pequenos, o problema é que para se defender

de DDOS você precisa de muito processamento ou hardwares específicos otimizados para isso.

 

Estamos em contato com a ArborNetworks e se tudo der certo, devemos trazer pro Brasil uma das tecnologias

deles (são os maiores do mundo em DDOS hoje)

[cs007 12]

Bem legal a iniciativa, vou ficar no aguardo

[Natanael Beckman 223]

Como alguns citaram abaixo, eu acredito que o primeiro passo para uma boa proteção é a estrutura da maquina, não adianta você ter um bom firewall se você não tem agilidade o suficiente pro firewall trabalhar de acordo com a velocidade do ataque.

Eu utilizei algumas proteções adquiridas em alguns fóruns americanos que por alguns meses me trouxeram paz, mais como dito eles sempre procuram uma forma maior de conseguir derrubar, meu servidor chegou a suporta ataques de 7,500,000 PPS, eu utilizava 2 firewall, regras de iptables com psad e o mais importante um detector de brute force e o bloqueador que utilizava o comando netstat -nb que detecta o ip verdadeiro, porque toda ataque vem com ips falsos e esse comando mostra o ip verdadeiro e assim era banido por minutos ou hrs todos eles trabalhavam em um conjunto de sucesso que só precisava de memoria e processador.

Mais deixei de mão, porque maquina de boa configuração em uma empresa de grande porte é caro e como o lucro de otserver n existe eu deixei pra la. Mais o que mais me deixava triste era ver o próprio player destruir a sua diversão, ae deixei de bater cabeça com algo que so me traz mais e mais dor de cabeça.

[Mattziin 12]

Como alguns citaram abaixo, eu acredito que o primeiro passo para uma boa proteção é a estrutura da maquina, não adianta você ter um bom firewall se você não tem agilidade o suficiente pro firewall trabalhar de acordo com a velocidade do ataque.

Eu utilizei algumas proteções adquiridas em alguns fóruns americanos que por alguns meses me trouxeram paz, mais como dito eles sempre procuram uma forma maior de conseguir derrubar, meu servidor chegou a suporta ataques de 7,500,000 PPS, eu utilizava 2 firewall, regras de iptables com psad e o mais importante um detector de brute force e o bloqueador que utilizava o comando netstat -nb que detecta o ip verdadeiro, porque toda ataque vem com ips falsos e esse comando mostra o ip verdadeiro e assim era banido por minutos ou hrs todos eles trabalhavam em um conjunto de sucesso que só precisava de memoria e processador.

Mais deixei de mão, porque maquina de boa configuração em uma empresa de grande porte é caro e como o lucro de otserver n existe eu deixei pra la. Mais o que mais me deixava triste era ver o próprio player destruir a sua diversão, ae deixei de bater cabeça com algo que so me traz mais e mais dor de cabeça.

 

Verdade, falou tudo.

[cs007 12]

Morreu o tópico? ninguém fala mais nada x,x

[LuckinhaSan 190]

Morreu o tópico? ninguém fala mais nada x,x

 

Estamos ativos, caso alguém tenha alguma dúvida

[cs007 12]

Ninguém faz mas comentários... Existem vários membros na xtibia nem 1% quis falar sobre.

[MyTrill 0]

Andei pesquisando sobre o assunto e achei um excelente curso de proteção de serv (LINUX).

Conversei com o ADM do site que por sinal é muito gente boa, qualquer um que tiver interesse pode entrar em contato com ele e tirar suas dúvidas.

 

http://www.esecurity...ursos/hardening

Editado Maio 8, 2013 por MyTrill

[omegawar 0]

Muitas vezes estes "ataques" contra servidores inciantes são apenas bugs no próprio servidor, eu atualmente uso como host a ServerSoft e tenho o Firewall deles starter (proteção suficiente para segurar 250.000 pps), hospedo meu servidor e site na mesma máquina (linux) com 16gb de memória ram. O firewall é básico mas segura o que precisa, em outras palavras o que pode. Porque nessa parte de otserver a maioria dos "nukers" são também iniciantes e que podem ser parados por regras de iptable básicas em um linux, agora não adianta você querer pagar valores exuberantes com proteção em um OT pois não vale a pena, 90% das pessoas que nukam os otservers atualmente são inciantes e esses você para com proteções que vão de 300 ~ 500 reais o que é básico para uma pessoa que queira investir num servidor sério. O que falei anteriormente sobre gastar valores exuberantes para proteção, não vale apena pois se uma pessoa que relamente saiba nuka, nem mesmo o global (tibia.com) consegue segurar. Estou usando um dedicado de 16gb linux, com um firewall de 250.000 pps e estou "satisfeito" somente hoje meu servidor caiu 3 vezes pois fui infeliz de achar no meu caminho um gringo que por 1 semana está disponível para me nukar se eu não der nada em troca.

 

O firewall da ServerSoft funciona sim pois meu servidor estava na otservlist com contagem regressiva na sexta-feira, sem proteção nenhuma e foi nukado facilmente sem estar online. Então comprei mais 24hrs de contagem regressiva na otservlist e aumentei o dedicado para 16gb e comprei o firewall, os mesmo que me nukaram antes não conseguem mais, mas é como falei se você pegar pela frente alguém que saiba, você está ferrado e será muito difícil segura-lo.

 

No mais é isso, e eu gostaria de saber se alguém pode explicar BEM ou me passar um bom tutorial sobre como deixar meu servidor (distro) rodando em um dedicado e meu site e database em outro, tornando assim mais difícil de os ataques chegarem ao servidor. E também se alguem pode me explicar alguma coisa sobre Proxy Reverse.

 

Eeeee alguém pode explicar essa coisa de detectar ataques e redireciona-los para outro ip, por exemplo eu tenho meu dedicado e mais 5 vps, posso fazer os ataques irem para os vps antes de chegar no meu ot? Se sim, como? Alguém pode explicar ou passar um tutorial pois nunca achei anda em relação a isso.

Editado Maio 27, 2013 por omegawar

[Fir3element 185]

omegawar, já vi esse proxy no realots (sv hackeado 7.7) e o stian já me falou algo sobre isso, que o único jeito de bloquear os ataques totalmente seria fazendo isso... mas acho que além das máquinas precisaria de um bom programador, vou dar uma pesquisada...

Editado Maio 27, 2013 por fireelement

[omegawar 0]

Agora, eu contratei o plano de 20 dolares da CloudFlare, está me parecendo muito bom a velocidade do site aumentou praticamente 100% mas um único problema, se o ot cair e você iniciar o distro é muito difícil os players conseguirem se conectar pois acho que o cloudflare bloqueia muito dos ips... Os próprios players estavam falando que amigos e membros das guilds não estavam conseguindo se conectar... Alguém sabe alguma configuração que tira esse erro do CloudFlare?

[Hudsin 47]

Encontrei uma matéria interessante sobre ataques DDoS e DoS, não testei,caso alguem teste, por favor, compartilhe conosco!

 

 

 

Como funciona o ataque DDoS:

 

O atacante possui controle sobre máquinas "Mestre", que podem ser iniciadas por programas, alem disso, executa comandos para máquinas "Zumbi", nesse caso, máquinas infectadas.

A imagem demonstra o alvo como Site, porém, também serve para servidores.

 

Impedindo e detectando ataques DoS

Apesar de não existir nenhum meio que consiga impedir totalmente um ataque DoS, é possível detectar a presença de ataques ou de computadores (zumbis) de uma rede que estão participando de um DDoS. Para isso, basta observar se está havendo mais tráfego do que o normal (principalmente em casos de sites, seja ele um menos conhecido, como o InfoWester, seja ele um muito utilizado, como o Google), se há pacotes TCP e UDP que não fazem parte da rede ou se há pacotes com tamanho acima do normal. Outra dica importante é utilizar softwares de IDS (Intrusion Detection System - Sistema de Identificação de Intrusos).

Para prevenção, uma das melhores armas é verificar as atualizações de segurança dos sistemas operacionais e softwares utilizados pelos computadores. Muitos vírus aproveitam de vulnerabilidades para efetuar contaminações. Também é importante filtrar certos tipos de pacotes na rede e desativar serviços que não são usados.

Fonte: http://www.infowester.com/col091004.php


Dicas para dificultar a ação de DDoS

A equipe de segurança da LinuxSvr.Net tem algumas dicas aos clientes sel-managed.

- Utilize o Módulo Dos_Evasive (Apache)

Baixe o Módulo atual em http://www.nuclearelephant.com/projects/mod_evasive/

# wget http://www.linuxsvr.net/nocwork/security/mod_dosevasive-current.tar.gz
# tar -xzvf mod_dosevasive-current.tar.gz
# cd mod_dosevasive*
# /usr/local/apache/bin/apxs -i -a -c mod_dosevasive.c
# rm -rf mod_dosevasive-current.tar*

Edite o httpd.conf e inclua as linhas abaixo:

para Apache v1.3:
<IfModule mod_dosevasive.c>
DOSHashTableSize 3097
DOSPageCount 2
DOSSiteCount 50
DOSPageInterval 1
DOSSiteInterval 1
DOSBlockingPeriod 10
</IfModule>

para Apache v2.0:
<IfModule mod_dosevasive20.c>
DOSHashTableSize 3097
DOSPageCount 2
DOSSiteCount 50
DOSPageInterval 1
DOSSiteInterval 1
DOSBlockingPeriod 10
</IfModule>

- Utilize o APF Firewall

Baixe o módulo atual em http://www.r-fx.org/downloads/apf-current.tar.gz

# tar -xvzf apf-current.tar.gz
# cd apf*
# sh ./install.sh
# rm -rf apf*

Edite o arquivo conf.apf em /etc/apf e altere a linha abaixo

Troque
USE_AD="0"
Por
USE_AD="1"

Explore este arquivo, existem diversas outras opções que podem melhorar a perfomance.

- O filtro abaixo pode ser utilizado para gerenciar a resposta a pacotes e Syn´s.

Edite o arquivo /etc/rc.d/rc.local e adicione as linhas abaixo:

##### Begin DoS Prevention #####
# shut some DoS stuff down
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

# increase the local port range
echo 1024 65535 > /proc/sys/net/ipv4/ip_local_port_range

# increase the SYN backlog queue
echo 2048 > /proc/sys/net/ipv4/tcp_max_syn_backlog

echo 0 > /proc/sys/net/ipv4/tcp_sack
echo 0 > /proc/sys/net/ipv4/tcp_timestamps

echo 64000 > /proc/sys/fs/file-max

ulimit -n 64000

# stop source routing
for i in /proc/sys/net/ipv4/conf/*/accept_source_route
do
echo 0 > $i
done

# enable reverse-path filtering
for i in /proc/sys/net/ipv4/conf/*/rp_filter
do
echo 1 > $i
done
##### End DoS Prevention #####

É importante saber que bloquear um ataque Ddos usando software é possível em apenas 20% dos casos, e que é necessário perícia e conhecimento técnico avançado para isso.

 

fonte: Estado Virtual

Editado Agosto 17, 2013 por Hudsin

[Mattziin 12]

Muitas vezes estes "ataques" contra servidores inciantes são apenas bugs no próprio servidor, eu atualmente uso como host a ServerSoft e tenho o Firewall deles starter (proteção suficiente para segurar 250.000 pps), hospedo meu servidor e site na mesma máquina (linux) com 16gb de memória ram. O firewall é básico mas segura o que precisa, em outras palavras o que pode. Porque nessa parte de otserver a maioria dos "nukers" são também iniciantes e que podem ser parados por regras de iptable básicas em um linux, agora não adianta você querer pagar valores exuberantes com proteção em um OT pois não vale a pena, 90% das pessoas que nukam os otservers atualmente são inciantes e esses você para com proteções que vão de 300 ~ 500 reais o que é básico para uma pessoa que queira investir num servidor sério. O que falei anteriormente sobre gastar valores exuberantes para proteção, não vale apena pois se uma pessoa que relamente saiba nuka, nem mesmo o global (tibia.com) consegue segurar. Estou usando um dedicado de 16gb linux, com um firewall de 250.000 pps e estou "satisfeito" somente hoje meu servidor caiu 3 vezes pois fui infeliz de achar no meu caminho um gringo que por 1 semana está disponível para me nukar se eu não der nada em troca.

 

O firewall da ServerSoft funciona sim pois meu servidor estava na otservlist com contagem regressiva na sexta-feira, sem proteção nenhuma e foi nukado facilmente sem estar online. Então comprei mais 24hrs de contagem regressiva na otservlist e aumentei o dedicado para 16gb e comprei o firewall, os mesmo que me nukaram antes não conseguem mais, mas é como falei se você pegar pela frente alguém que saiba, você está ferrado e será muito difícil segura-lo.

 

No mais é isso, e eu gostaria de saber se alguém pode explicar BEM ou me passar um bom tutorial sobre como deixar meu servidor (distro) rodando em um dedicado e meu site e database em outro, tornando assim mais difícil de os ataques chegarem ao servidor. E também se alguem pode me explicar alguma coisa sobre Proxy Reverse.

 

Eeeee alguém pode explicar essa coisa de detectar ataques e redireciona-los para outro ip, por exemplo eu tenho meu dedicado e mais 5 vps, posso fazer os ataques irem para os vps antes de chegar no meu ot? Se sim, como? Alguém pode explicar ou passar um tutorial pois nunca achei anda em relação a isso.

 

Amigo, isso que você procura se chama proxy reverse. Nunca encontrei um tutorial ensinando como fazer isso, mas meu amigo ele me ensinou.

É eficaz, mas é bem chato kkk

 

Pegue um PRIVATE CLOUD, sendo um servidor FRONTED com um ip diretamente para WAN, com uma ligação para uma maquina windows BACKEND, com um ip local LAN. ai bota um outro servidor para o seu servidor, ai sempre q os nego tentava nukar o meu servidor tinha que derrubar os private cloud q eu botava.

 

tem uma empresa chamada GateProtect, liga pra eles, eles podem resolver seu problema contra nukers.

[lafayette 0]

Galera, eu não sou nenhum expert na area, mas tive algumas idéias que podem ser relevantes ou toscas o0

 

tipo, muitos ataques DDoS usam maquinas de todo o mundo para atacar, não teria como permitir que só IP's brasileiros possam enviar pacotes ao servidor?? isso poderia diminuir a força dos ataques, porem ia impedir que players de fora do Brasil se conectem ao servidor.

 

e outra coisa, quando tentei pingar o tibia.com e o google, vi que eles não aceitavam pacotes maiores que 18000 bytes, porém minha maquina aceita até o tamanho max ~65000, teria como diminuir o tamanho maximo aceito, sendo assim diminuindo a força dos ataques.. e que problemas isso poderia gerar?

 

.. de repente estou falando umas merdas fenomenal, mas como disse n entendo mt

valeu

Editado Agosto 30, 2013 por lafayette

[je19921992 3]

eu usava um tal de port-safe anti nuker, que era um dos downloads do styller yourots 8.60 . . .

 

quando eu usava apareceu um maluco do nada disendo q era nuker e se podia testa o ataque e eu disse que queria testa um anti-nuker . . .

 

dai quando ele ataco não deu nada e ele dise q deve ter feito o download errado do programa nuker . . .

 

mas ai um outro dia apareceu um cara puto pq eu não queria dar itens vip e level para ele e dise que ia nukar meu server e fude meu pc . . .

 

dai quando ele deu o ataque o anti-nuker deve ter agido bem pq o ot não caiu mas o anti-viros do meu pc fico tipo loco detectando invazão mt loco ficava avizando q sei la qual ip tava tendo acesso ao meu desktop ou rede sei la e fico do nada falando q tinha uns 148034813981 viros, mas o ot la tava on . . .

 

conclusão acho q o anti-nukker funciona para open tibia, mais quando o assunto é um hacker bom que não só baixa o programa para nukar como também quer fude seu pc com outra tecnica que ele domina dai vc esta ferrado . . .

 

sorte que tinha um taco de golf do lado do pc eu dei uma porrada na cpu tão bem dada que até a internet deve ter caido '-' e dps tirei o pc da tomada e esperei passar um dia, pq ou o cara iria para de me encher o saco ou o ip iria mudar . . .

 

apartir dai n tive mais problemas :x mais foi tenso aquele dia

Dane-se o flood... Deixem me ser feliz.

Cara, eu iria parar de mexer com otserver hoje pq n aguento mais ataques. Estou varrendo muitos lugares pra achar alguma coisa. Achei Kiwi Guard, ajudou uns fiilho das putas insistentes. Infelizmente, enquanto n houver penalidades para nukers, nada vai resolver. Sempre vai ter um cara estudando pra anti-ddos e outro cara estudando para estuprar com ddos. Tive um ot com 448 players (eu era noob) como consegui? Inconscientemente sendo um bom hoster. Dava /closeserver, /openserver e depois !online, era +- 380 jogadores que voltavam. 20%bots. Resetava cada 15 dias, mas ngm saia. Eu jogava, fodase eu me editava.

Um belo dia, retirei um membro da staff, por power abused. /addskill 'nome do Filho da puta' ,level,1000 (varias vezes ateh alcançar lvl 30k(exp rates era 500...) )

 

Enfim, virou meu inimigo. Com apenas 8 anos de idade, ele pesou mais de 90 vps na rede. Desde entao, estava no inicio destes problemas, inclusive acho que ele foi uma grande influencia para surgimento de novos nukers, pois, bem sei que este infeliz que começou nukar o xtibia.com devido a uma discussão entre eu e ele. Como ele usou termos extremamente ofensivos para o xtibia, foi penalizado, logo entao, bem me lembro que o xtibia si fudeu nesses dias. Desde entao, começaram sair topicos de pessoas pedindo ajuda.

 

(continuando a bibliografia)

O que eu acredito estar acontecendo???

Este filho da puta, fez alguns mapas, que 99% das pessoas daqui baixaram e ainda baixam e usam atualizações no tal mapa. Virou moda estes ots virem com virus inofenssivos.. anham, sei... Realmente inofensivos para si mesmo, porem, quem baixou, virou operario auxiliar no processo de nukagem sem saber. Como empresas de virtualizações etc etc sao denunciadas por datacenter abused ?

 

 

Depois de quase 3 anos tentei resurgir o ot, usando mesmo ip... Advinhem??? Enncontrei o filho da putazinho que continuou nukando. Fui reprimido por chinga-lo aqui no xtibia na epoca. Porem, depois que a pimenta foi nos olhos alheios, n hovem mais represarias para chingamentos direcionados aos nukers. Começamos a fazer vista grossa... Percebe-se em varios comentarios..

 

resumindo a historia, como este infeliz nuka meu server sem parar, vim procurar soluções, mas nem encontrei nada melhor e mais acessivel do que dois anti-nukers que uso.

Muito desanimado comecei ler este topico. Encontrei o que citei acima... Seria injusto ver que eu dei um sorriso num momento de tanto odio (como nos sentimos quando somos nukados) e conseguir reerguer a cabeça. Talvez voces consigam.

 

 

A questao eh que, muita gente tem sonhos de ter ots de sucesso. E vou dizer aqui quais os caminhos. Porque pra falar a verdade gente... Quem for mais avançado em conhecimento na area, não vao encontrar absolutamente NADA de graça. Entao vao pra softserver, contratem uma proteção basica, se n resolveu? Melhor saida eh fazer o que vou sugeriir pra quem esta começando e pra quem ja eh um intermediario.

 

 

1-Bom, rasgando o verbo, vai toma no cu, quem sabe mexer 100% em linux? Foda-se peguem windows! sugestao: win server 2003 32 ou 64bits, depende-se do otserver

2-Baixem kiwi guard, beholder caolho (e antiloris(caso usem sites)).

3-Foram encontrados? Não compensa dar murros em ponta de faca. Vao nukar ateh seu ot cair, entao, 'desista'.

Recomece, troque seu ip (contrate outro serviço no proximo mes), troque nome do server n me coloque exemplo:

underot.org e quando mudou, underot2.org ... Quer o que? fazer backup dos players??? kkkk... Os players vem junto com o nuker.

Quando estiverem tendo problemas, terao mais conhecimentos, neste caso, vao saber pra onde correr.

 

 

Ae bando de sabidoes, a menos que tenham grandes, repito grandes amigos com recursos superiores, foram nukados? ultrapaçaram os valores da proteção? Contrate mais proteção. Nda vai vim barato, muito menos de graça.

Se tiverem que escolherem entre abrir mao do | lucro no server pra contratar mais prroteção | e |recomeçar|, escolham a segunda... N vale a pena dar murro em ponta de faca. Os foras da 'lei'(entre retciencias porque n existe lei ainda, mas quando existir, tudo muda) quem vai sair perdendo eh sempre nós.

 

Quando existir uma lei, com penalidades, claro severas, entao haverao investigações pra descobrir os mentores do processo, realizadores do mesmo.. Entao neste dia estaremos todos em um porto seguro.

 

Com uma porra dum nuker acessiivel pra qqr um, o |*|*|*|*|*| (n vou divulgar o nome mas nuka sites) eu consegui nukar varios sites até mesmo de empresas que GARANTE proteção anti-ddos (nukei pra pelo menos testar a veracidade do slogam. Entao por ae vc tira...

Bola pra frente, o importante eh n desistir de ser um hoster.

Editado Fevereiro 28, 2014 por je19921992