DDos Prevention

[Lord Enigm@]

uma das maneiras de minimizar problemas referente a DDOS (ou ate mesmo sanálo...) é utilizar o comodo, enquanto escrevo isto estao na versao 3.8 . vá em FireWall > Advanced > Attack detection settings e na aba Intrusion Detection marque as opções Protect the ARP cache e Block gratuitous ARP frames. com essas opções é possivel configurar para bloqueio automático contra portscans e ataques DoS oferecido pelo firewall...

Lembrando que isso se aplicando para uma pequena rede doméstica... em nível de servidor eu nao sei se isso se aplicaria, mas se alguem souber em nivel de servidor gostaria de ver o que essa pessoa tem a dizer! =]

Fala sério, segurar ataque DDoS?, acredito que você não conheça as teorias nem as práticas. Sugiro que retome suas aulas de hancking e volte a postar novamente com algúma coisa útil, além Comodo Firewall.

Mas, estuda heim?... ;)

[Guzpido Krush]

Pelo que pouco que sei, quando vc está tomando um DDos vc já se fodeu e acabou. Vai ser trabalhosíssimo e necessário, entrar em contato com os ISPs, e bloquear redes inteiras da onde PARTE os ataques. Aos poucos você pode ir isolando em focos específicos e tendo um pouco de sorte vc identifica as colônias maléficas de Zergs. Não dá pra não ficar parcialmente down após esta medida, mas se você não tomar esta medida, vai ficar totalmente down. Estou errado? Pelo que entendo não tem jeito de você não ter negação de serviço se estiver tomando um DDos. Não é questão de filtrar os pacotes no DESTINO do ataque pois o link já foi para o brejo, como o pessoal falou.

[Der Meister]

pelo o que eu li no livro de onde tirei a informação (redes,guia pratico , Carlos E. Morimoto) o comodo quando ele identifica um ataque Dos ele automaticamente recusa todas as conexções externas e mantém apenas as conexções iniciadas pelo usuário, se ta achando ruim vai discutir com o autor do livro rsrs

[brunovic]

Pelo que pouco que sei, quando vc está tomando um DDos vc já se fodeu e acabou.

Eu não desejaria concordar com isso. mas infelizmente é a pura realidade. Quando se identifica um DDOS, esteja ciente que o link já foi parcialmente ou totalmente comprometido. No entanto, com uma ação eficiente, identificando os IP's malignos e contactando o ISP, poderá sanar o problema de forma rápida, sem maiores transtornos.

Lembrando que, uma boa e organizada estrutura, será o diferencial para uma "prevenção" e tomadas eficientes de decisões diante da situação.

[brunosolar]

pelo o que eu li no livro de onde tirei a informação (redes,guia pratico , Carlos E. Morimoto) o comodo quando ele identifica um ataque Dos ele automaticamente recusa todas as conexções externas e mantém apenas as conexções iniciadas pelo usuário, se ta achando ruim vai discutir com o autor do livro rsrs

Bom vamos a uma breve explanacao. (creio eu que ja exista essa informacao no proprio forum, mas vou repetir)

Der Meister.

O problema em si nao e ter firewall ou nao. E sim o tamanho do seu link.(banda) Supomos que voce esteja recebendo um D.O.S/D.D.O.S sem um firewall. O que ocorre? O corre que seu link será consumido tentando responde a uma quantidade avassaladora de pacotes e cai.

No caso do uso de um firewall acontecerá do do seu link ser consumido da mesma forma, a diferença e que ao invés de gastar link tentando responder os pacotes, o firewall terá muito trabalho para descartar a mesma quantidade avassaladora de pacotes.

O comodo firewall e de uso normalmente pessoal. E links pessoais nao sao dos melhores como no caso dos links dedicados das empresas.

Agora se nem mesmo as empresas conseguem segurar estes tipos de ataque quem diria uma rede caseira?

O metodo que melhor minimiza este tipo de ataque e o proprio ISP desviar as rotas dos IPs de ataque. O que nem sempre e viável para o ISP devido a custos.

Se falei alguma besteira favor me corrijam.

[Guzpido Krush]

Temos que pensar como o ataque é feito, DDos (diferente de DOS, que é outro ataque)
Este tipo de ataque para ser efetuado pode por exemplo infectar diversas estações, vamos supor estações Win32, com algum malware X. O malware X integra cada estacao a uma rede-zumbi, sendo que seus membros na maioria dos casos vão acessar a rede com IP dinamico, sendo ainda IPs de diversos provedores diferentes.
Então por exemplo quando as estações infectadas trocarem o seu lease no provedor, sua listinha foi pro espaço. Então na minha cabeça vc tem que bloquear redes inteiras, não IPs específicos. E depois de fazer isso eu nem sei o q se deve fazer. Alguém podia dar uma luz aí hein?

Por exemplo não sei se através de outros protocolos e camadas que não seja IP você não possa fazer um kungfu e filtrar as coisas na ORIGEM, após ter identificado as requisições mais maliciosas: repetidas, sincronizadas, sei lá como identificar. Aí acho que o mais eficaz para controlar o problema seria conseguir mexer no roteamento de cada provedor de onde PARTE a conexão que vc identifica como maliciosa, pq ele que tem acesso ao roteamento da casa do usuário infectado para o resto do mundo, incluindo no caso seu site, que está sendo atacado. Na minha cabeça é isso, um trabalho bem complicado para o sysadm.

[willian_pires]

Existe um ótimo filtro de pacotes chamado pf que pode ser instalado em freebsd netbsd e openbsd que contem uma gama interessante de funcionalidades contra DDOS até mesmo consegue estabelecer uma quantidade de conexões por ip de origem.

OpenBSD

[Guzpido Krush]

Phalanx, uma idéia marota mas não sei ao certo se é possível concretizar:
To defeat a malicious botnet, build a friendly one - tech - 22 April 2008 - New Scientist

métodos estatísticos basicamente filtro Bayesiano para identificar fluxos de comando-e-controle de botnets que utilizam IRC:
http://www.ir.bbn.com/documents/articles/lcn-wns-06.pdf

Botnet detection, diversas explicações:
http://www.caida.org/workshops/dns-o...0507-Dagon.pdf

[Lord Enigm@]

Só complementando o que os mestres falaram acima, não existe fórmulas mirabolantes e firewalls que segure um ataque DoS/DDoS, o que se pode fazer é utilizar e aplicar certas estratégias para mitigar esses ataques.

Poderia citar dentre outras, incrementar a segurança do host, aplicar filtros anti-spoofing, limitar banda por tipo de tráfego, instalar patches, prevenir que sua rede seja usada como trampolim, auditorias, ferramentas de detecção específicas, etc, etc.

É isso aí... bem diferente de um simples firewall comodo. ;)

[willian_pires]

Somente enriquecendo o debate.

Um ataque de DOS é basicamente uma chamada para um serviço seu que exista ou não, não passa de 1 flood de acesso.

Um DDOS nada mais é que o mesmo ataque de flood de centenas até milhares de lugares ao mesmo tempo.

Como já disseram acima uma rede bem estruturada ajuda muito, minha experiência diz que uma rede bem estruturada é fundamental:.

Todas ações efetivas contra um DDOS serão reativas (Bloqueio da rede atacante,bloqueio dos hosts atacantes) o ataque terá que acontecer para que voce se defenda.

Porem podemos tomar algumas atitudes preventivas contra 1 DDOS a que eu acredito que seja mais importante é o planejamento do serviço.

Planejamento de serviço:
Quantos acessos esse serviço demanda ? 500 usuários simultâneos.
Qual a efetiva banda que esse serviço irá usar ? 500x40Kbps = 20000 Kbps
Quantos pacotes por segundo esse serviço ira consumir (banda/mtu)? 20Mbps/1500k = 13000 pps
Qual o tempo médio de cada conexão (dependendo do serviço)? 2Min
Quantas conexões cada cliente abre isso depende de cada protocolo ?

Com esses dados voce já consegue entender o perfil do seu serviço e com isso definir a melhor estratégia para suas defesas.

Hoje eu sei que a frase: "Não da para fazer nada". Soa muito ruim aos ouvidos do cliente buscar formas de evitar isso é somente nosso trabalho.

Abraço a todos