[GTER] Aplicacao em Windows Server recebendo tcpflood

[Tiago Flôres]

Caro Guilherme,

Se vc tiver como implementar regras no seu firewall de borda, uma
opção é usar hashlimit e connlimit no iptables ou opções similares em
outros firewalls, ai depende do seu firewall. No caso do iptables,
compilar com suporte a layer7 e connlimit.

Se vc conseguir identificar o tipo de pacote TCP, criar um pattern e
marcar os pacotes, então usar o connlimit. Se não vc pode tentar usar
um –hashlimit-burst.

Ao que indica este ataque é destinado a um tipo de serviço, pode
tentar bloquear usando técnicas de prevenção contra ataques DoS na
camada de aplicação. Recomenda-se também solicitar auxílio para sua
operadora, enviando os log's do incidente e reportar ao órgãos de
controle, como o CERT.br.

[]'s Tiago


Em 17 de julho de 2012 15:56, Guilherme Boing <kolt at frag.com.br> escreveu:
> Caros,
>
> Tenho uma aplicação em um Windows Server 2003, que está recebendo TCPFlood
> com zilhões de proxys, o que está resultando em má performance e/ou até
> crash da aplicação.
> Alguém tem alguma idéia do que fazer ?
>
> As proxys são tanto nacionais quanto internacionais.
> Já tentei limitar a quantidade de conexões por IP, mas mesmo assim não
> adiantou, pois a pessoa que está atacando possui um arsenal infinito de
> proxys.
> São mais de 10 mil ips únicos atacando exatamente no mesmo instante.
>
> Não são endereços spoofados, porque há o 3way handshake e a conexão TCP é
> estabelecida.
>
> Dicas ?
>
> PS: Windows Server 2003, com ipfw também instalado.
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter