[GTER] Ataque Inundação UDP

Lend lend.sp at gmail.com
Thu Jan 30 16:29:11 -02 2014


para casos de ddos externos em linux, coloque algo no cron para monitorar a
crontack uso o seguinte script ... funciona muito bem

#!/bin/bash
N2=3000
cat /proc/net/ip_conntrack | cut -f2 -d"=" | awk {'print $1'} | sort | uniq
-c| sort | tail -n 10 | grep -v " 10\.1" > conntrack2.log
cat conntrack2.log
for i in `cat conntrack2.log | awk {'print $2'}`
do
N1=`cat conntrack2.log | grep $i | awk {'print $1'}`
if [ $N1 -gt $N2 ];then
                (:
                    echo 'HELO mailserver';sleep 1
                    echo 'mail From:<suporte@>';
                    echo 'rcpt To:<suporte@>';
                    echo 'data';
                    echo 'subject: ' "Tentativa de DDOS";
                    echo 'Sender: <suporte@>';
                    echo 'To: <suporte@>';
                    echo '';
                    echo "mais de $N2 conexoes do $i Total $N1 conexoes
provavel tentativa de ddos";
                    echo `whois $i | grep "owner:"`;
                    echo ".";
                    echo 'quit' ;) | nc mailserver 25
fi
done

faça outro script para bloquear os invasores

#!/bin/bash
if [ -z $1 ] ; then
exit
fi


grep -E "^tcp .{10,25}ESTABLISHED src=$1 " /proc/net/ip_conntrack | while
read line ; do
S_IP=`echo $line | awk '{print substr($5,5)}'`
S_SOCK=`echo $line | awk '{print substr($7,7)}'`
D_IP=`echo $line | awk '{print substr($6,5)}'`
D_SOCK=`echo $line | awk '{print substr($8,7)}'`
echo "$S_IP:$S_SOCK $D_IP:$D_SOCK"

hping2 $D_IP -R -s $S_SOCK -p $D_SOCK -a $S_IP -k -c 1 >/dev/null
2>/dev/null &

done

iptables -A INPUT -s $1 -j DROP
iptables -A OUTPUT -d $1 -j DROP
iptables -A FORWARD -d $1 -j DROP
iptables -A FORWARD -s $1 -j DROP





Em 22 de janeiro de 2014 14:28, willian pires
<willian_pires at hotmail.com>escreveu:

> Bom dia,
> Concordo e já vivi em minha rede ataques superiores a 200 Mbit/s que
> iniciavam a partir de minha rede.
> Fizemos analise até chegar em 1 maquina virtual de 1 cliente que estava
> "invadida" gerando o consumo internoe depois o ataque.
> att
>
> > From: smarca at gmail.com
> > Date: Mon, 20 Jan 2014 17:43:22 -0200
> > To: gter at eng.registro.br
> > Subject: Re: [GTER] Ataque Inundação UDP
> >
> > Concordo que possa haver algo dentro de sua rede que esteja
> > desencadeando os ataques. Como já dito, um zombie ou um trojan já
> > bastaria.
> > O tráfego de fora para dentro todo mundo bloqueia, mas e o de dentro
> > para fora? Pergunto: a regra padrão da sua rede é a de um firewall
> > agressivo? (Tudo bloqueado, ninguém da rede interna acessa nada com
> > default, liberando-se somente o necessário, porta a porta?)
> >
> > Em 19 de janeiro de 2014 23:10, Douglas Fischer
> > <fischerdouglas at gmail.com> escreveu:
> > > A ideia de ter um zombie/trojan na sua rede merece atenção.
> >
> >
> >
> > Att, Silmar A. Marca
> > ------------------------------------------------------------
> > Se algo não lhe faz mal (físico, moral ou psicologicamente),
> > experimente! O máximo é você perder tempo! E tempo, é
> > o que você tem a vida toda pra perder.....
> > Mais vale um instante de sabedoria que uma eternidade fútil!
> > ------------------------------------------------------------
> >
> >
> > AVISO LEGAL: Esta mensagem é destinada exclusivamente para a(s)
> > pessoa(s) a quem é dirigida, podendo conter informação confidencial
> > e/ou legalmente privilegiada. Se você não for destinatário desta
> > mensagem, desde já fica notificado de abster-se a divulgar, copiar,
> > distribuir, examinar ou, de qualquer forma, utilizar a informação
> > contida nesta mensagem, por ser ilegal. Caso você tenha recebido esta
> > mensagem por engano, pedimos que nos retorne este E-Mail, promovendo,
> > desde logo, a eliminação do seu conteúdo em sua base de dados,
> > registros ou sistema de controle. Fica desprovida de eficácia e
> > validade a mensagem que contiver vínculos obrigacionais, expedida por
> > quem não detenha poderes de representação.
> >
> > LEGAL ADVICE: This message is exclusively destined for the people to
> > whom it is directed, and it can bear private and/or legally
> > exceptional information. If you are not addressee of this message,
> > since now you are advised to not release, copy, distribute, check or,
> > otherwise, use the information contained in this message, because it
> > is illegal. If you received this message by mistake, we ask you to
> > return this email, making possible, as soon as possible, the
> > elimination of its contents of your database, registrations or
> > controls system. The message that bears any mandatory links, issued by
> > someone who has no representation powers, shall be null or void.
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



-- 




Leandro Souza
(11)9.6716-2967 - OI



More information about the gter mailing list