[GTER] Ataque Inundação UDP

Jacques de Beijer jacques.beijer at unimedbelem.com.br
Thu Jan 30 18:20:39 -02 2014 

Boas Lend. 

Enquanto o ataque durava, eu apenas coloquei rota p a loopback e sai de cena. 
Aguardei a operadora agir. 

Acredite, com um ataque pesado, o script abaixo vai só aumentar o load do seu servidor. 


----- Mensagem original -----

De: "Lend" <lend.sp at gmail.com> 
Para: "Grupo de Trabalho de Engenharia e Operacao de Redes" <gter at eng.registro.br> 
Enviadas: Quinta-feira, 30 de Janeiro de 2014 15:29:11 
Assunto: Re: [GTER] Ataque Inundação UDP 

para casos de ddos externos em linux, coloque algo no cron para monitorar a 
crontack uso o seguinte script ... funciona muito bem 

#!/bin/bash 
N2=3000 
cat /proc/net/ip_conntrack | cut -f2 -d"=" | awk {'print $1'} | sort | uniq 
-c| sort | tail -n 10 | grep -v " 10\.1" > conntrack2.log 
cat conntrack2.log 
for i in `cat conntrack2.log | awk {'print $2'}` 
do 
N1=`cat conntrack2.log | grep $i | awk {'print $1'}` 
if [ $N1 -gt $N2 ];then 
(: 
echo 'HELO mailserver';sleep 1 
echo 'mail From:<suporte@>'; 
echo 'rcpt To:<suporte@>'; 
echo 'data'; 
echo 'subject: ' "Tentativa de DDOS"; 
echo 'Sender: <suporte@>'; 
echo 'To: <suporte@>'; 
echo ''; 
echo "mais de $N2 conexoes do $i Total $N1 conexoes 
provavel tentativa de ddos"; 
echo `whois $i | grep "owner:"`; 
echo "."; 
echo 'quit' ;) | nc mailserver 25 
fi 
done 

faça outro script para bloquear os invasores 

#!/bin/bash 
if [ -z $1 ] ; then 
exit 
fi 


grep -E "^tcp .{10,25}ESTABLISHED src=$1 " /proc/net/ip_conntrack | while 
read line ; do 
S_IP=`echo $line | awk '{print substr($5,5)}'` 
S_SOCK=`echo $line | awk '{print substr($7,7)}'` 
D_IP=`echo $line | awk '{print substr($6,5)}'` 
D_SOCK=`echo $line | awk '{print substr($8,7)}'` 
echo "$S_IP:$S_SOCK $D_IP:$D_SOCK" 

hping2 $D_IP -R -s $S_SOCK -p $D_SOCK -a $S_IP -k -c 1 >/dev/null 
2>/dev/null & 

done 

iptables -A INPUT -s $1 -j DROP 
iptables -A OUTPUT -d $1 -j DROP 
iptables -A FORWARD -d $1 -j DROP 
iptables -A FORWARD -s $1 -j DROP 





Em 22 de janeiro de 2014 14:28, willian pires 
<willian_pires at hotmail.com>escreveu: 

> Bom dia, 
> Concordo e já vivi em minha rede ataques superiores a 200 Mbit/s que 
> iniciavam a partir de minha rede. 
> Fizemos analise até chegar em 1 maquina virtual de 1 cliente que estava 
> "invadida" gerando o consumo internoe depois o ataque. 
> att 
> 
> > From: smarca at gmail.com 
> > Date: Mon, 20 Jan 2014 17:43:22 -0200 
> > To: gter at eng.registro.br 
> > Subject: Re: [GTER] Ataque Inundação UDP 
> > 
> > Concordo que possa haver algo dentro de sua rede que esteja 
> > desencadeando os ataques. Como já dito, um zombie ou um trojan já 
> > bastaria. 
> > O tráfego de fora para dentro todo mundo bloqueia, mas e o de dentro 
> > para fora? Pergunto: a regra padrão da sua rede é a de um firewall 
> > agressivo? (Tudo bloqueado, ninguém da rede interna acessa nada com 
> > default, liberando-se somente o necessário, porta a porta?) 
> > 
> > Em 19 de janeiro de 2014 23:10, Douglas Fischer 
> > <fischerdouglas at gmail.com> escreveu: 
> > > A ideia de ter um zombie/trojan na sua rede merece atenção. 
> > 
> > 
> > 
> > Att, Silmar A. Marca 
> > ------------------------------------------------------------ 
> > Se algo não lhe faz mal (físico, moral ou psicologicamente), 
> > experimente! O máximo é você perder tempo! E tempo, é 
> > o que você tem a vida toda pra perder..... 
> > Mais vale um instante de sabedoria que uma eternidade fútil! 
> > ------------------------------------------------------------ 
> > 
> > 
> > AVISO LEGAL: Esta mensagem é destinada exclusivamente para a(s) 
> > pessoa(s) a quem é dirigida, podendo conter informação confidencial 
> > e/ou legalmente privilegiada. Se você não for destinatário desta 
> > mensagem, desde já fica notificado de abster-se a divulgar, copiar, 
> > distribuir, examinar ou, de qualquer forma, utilizar a informação 
> > contida nesta mensagem, por ser ilegal. Caso você tenha recebido esta 
> > mensagem por engano, pedimos que nos retorne este E-Mail, promovendo, 
> > desde logo, a eliminação do seu conteúdo em sua base de dados, 
> > registros ou sistema de controle. Fica desprovida de eficácia e 
> > validade a mensagem que contiver vínculos obrigacionais, expedida por 
> > quem não detenha poderes de representação. 
> > 
> > LEGAL ADVICE: This message is exclusively destined for the people to 
> > whom it is directed, and it can bear private and/or legally 
> > exceptional information. If you are not addressee of this message, 
> > since now you are advised to not release, copy, distribute, check or, 
> > otherwise, use the information contained in this message, because it 
> > is illegal. If you received this message by mistake, we ask you to 
> > return this email, making possible, as soon as possible, the 
> > elimination of its contents of your database, registrations or 
> > controls system. The message that bears any mandatory links, issued by 
> > someone who has no representation powers, shall be null or void. 
> > -- 
> > gter list https://eng.registro.br/mailman/listinfo/gter 
> 
> -- 
> gter list https://eng.registro.br/mailman/listinfo/gter 
> 



-- 




Leandro Souza 
(11)9.6716-2967 - OI 
-- 
gter list https://eng.registro.br/mailman/listinfo/gter

More information about the gter mailing list