[GTER] Mitigando ataques DDoS tcp com iptables

Douglas Fischer fischerdouglas at gmail.com
Tue Jul 5 11:16:46 -03 2016


Já falei VÁRIAS vezes que o NIC tinha que choferar uma campanha do BCP38
nos mesmos moldes da campanha do bloqueio da porta 25.


Não conheço estatísticas reais(e nem tenho ideia de como medir isso), mas
aposto 2 mariolas que menos de 20% do volume dos DDoSs de exaustão de link
por aí sejam provenientes de hosts reais(zombis).

Profecia:
"Acabemos com o Spoofing no Brasil e essa prática se espalhará pelo mundo
como um vírus."


Em 5 de julho de 2016 10:38, Fernando Frediani <fhfrediani at gmail.com>
escreveu:

> Perguntinha: a maioria aqui implementa o BCP 38 (
> https://tools.ietf.org/html/bcp38) nas suas redes para ajudar a evitar IP
> Spoofing [1] ?
>
> Fernando
>
> [1] -
>
> http://saladeaula.nic.br/moodle/pluginfile.php/1359/mod_resource/content/1/fas-10-bcp38.pdf
>
> 2016-07-05 8:17 GMT-03:00 Douglas Fischer <fischerdouglas at gmail.com>:
>
> > Ratifico!
> >
> > DDoS não é só exaustão de link!
> >
> > Já ouvi falar de um case de DDoS(zombi based) fingindo-se de acessos
> > verdadeiros que teve sua curva de crescimento de consumo de processamento
> > dosada homeopaticamente ao longo de semanas...
> > P.S.: Isso sim é coisa de gente grande!
> > P.S.2: Esse causo me foi contado como tendo sido ação maliciosa
> fornecedor
> > de solução que havia sido escanteado.
> >
> >
> > Imaginem-se "cuidadores" de uma infra de uma aplicação web que numa
> semana
> > está em 25% da capacidade nominal.
> >  - Na semana seguinte -> 30%.
> >     Opa! Nossa APP está sendo mais usada... "legal"
> >  - Na outra semana -> 35%.
> >     Eita... O povo está gostando mesmo dessa otimizações que os
> > desenvolvedores fizeram...
> >  - Na outra semana -> 40%.
> > E por aí vai... Só que sem isso virar $$dinheiro$$.
> >
> >
> >
> > Em 4 de julho de 2016 17:57, Wilson R Lopes <wilsonlopes00 at gmail.com>
> > escreveu:
> >
> > > 1) Já faz tempo que DDoS "De gente grande" é UDP
> > >
> > > Depende o ponto de vista. Eu considero que DDoS de gente grande é de
> > > aplicação, https, por exemplo, quando uma grande quantidade de máquinas
> > ou
> > > dispositivos infectados controlados por um c&c disparam uma série de
> > > requests em https para a sua aplicação. Muito mais difícil o atacante
> ter
> > > uma botnet grande o suficiente para gerar uma grande quantidade de
> > > requests, e estes muitos mais dificeis de controlar, pois não precisam
> de
> > > muito tráfego e você no meio do caminho não tem visibilidade da
> > quantidade
> > > de requests criptografados no https, passam por mecanismos de validação
> > de
> > > javascript, etc.
> > >
> > > Isso é muito mais de "gente grande" do que simplesmente abusar de
> > > servidores ntp ou dns abertos.
> > >
> > > Claro, ataques UDP possuem maior volumetria pelos mecanismos de
> > > amplificação - isso trata-se antes de entrar na sua rede, com um
> serviço
> > de
> > > clean pipe qualquer. Esses, bem fáceis de tratar por ser fácil
> distinguir
> > > tráfego legíitmo.
> > >
> > >
> > > A recomendação do post é bem específica - ataques tcp, que obviamente,
> > não
> > > são maiores que seu link, e você não tem um device específico de
> > mitigação
> > > DDoS. Iptables é uma alternativa home made, como disse no post,
> limitada,
> > > mas eficaz.
> > >
> > >
> > > Considerando que esta é uma solução para ser aplicada no endpoint
> (direto
> > > > no servidor web, por exemplo, ou um um firewall dentro da sua rede
> onde
> > > > você conhece todo o mtu do path e garante que não tem nada com mtu
> > menor
> > > > que o default de 1500), e o próposito é de filtrar ataques tcp, pmtud
> > > neste
> > > > caso não é um problema.
> > >
> > >
> > > 2)Você consegue ter absoluta certeza que a internet inteira trafega em
> > > 1500?
> > >
> > > Se o cliente é um PPoE ou utilize qualquer tecnologia com mtu menor que
> > > 1500, no momento do estabelecimento da conexão TCP, o MSS é negociado
> > entre
> > > meu servidor e ele, e o MSS da conexão será o do menor valor - neste
> > caso,
> > > do cliente PPPoE.
> > >
> > > Quem pode gerar problema neste caso é alguem no meio do caminho com MTU
> > > menor, e este bloqueando icmp, impedindo o pmtud de funcionar por
> > bloquear
> > > as msgs de fragmentation needed.
> > >
> > > O meu servidor ou firewall no endpoint bloqueando icmp não faz
> diferença
> > > alguma.
> > >
> > >
> > >
> > > Abs,
> > > Wilson.
> > >
> > >
> > >
> > >
> > >
> > >
> > > Em 4 de julho de 2016 15:18, Leonardo Amaral - Listas <
> > > listas at leonardoamaral.com.br> escreveu:
> > >
> > > > 1) Já faz tempo que DDoS "De gente grande" é UDP
> > > > 2) Conntrack? Sério mesmo?
> > > > 3)
> > > >
> > > > Considerando que esta é uma solução para ser aplicada no endpoint
> > (direto
> > > > > no servidor web, por exemplo, ou um um firewall dentro da sua rede
> > onde
> > > > > você conhece todo o mtu do path e garante que não tem nada com mtu
> > > menor
> > > > > que o default de 1500), e o próposito é de filtrar ataques tcp,
> pmtud
> > > > neste
> > > > > caso não é um problema.
> > > >
> > > >
> > > > Você consegue ter absoluta certeza que a internet inteira trafega em
> > > 1500?
> > > > A Morto e provedores que rodam PPPoE acham que não.
> > > >
> > > >
> > > >
> > > > [image: --]
> > > >
> > > > Leonardo Amaral
> > > > [image: https://]about.me/leonardo.amaral
> > > > <
> > > >
> > >
> >
> https://about.me/leonardo.amaral?promo=email_sig&utm_source=email_sig&utm_medium=email_sig&utm_campaign=external_links
> > > > >
> > > >
> > > > Em 4 de julho de 2016 12:47, Wilson R Lopes <wilsonlopes00 at gmail.com
> >
> > > > escreveu:
> > > >
> > > > > Depende o ponto de vista....
> > > > >
> > > > >
> > > > > Considerando que esta é uma solução para ser aplicada no endpoint
> > > (direto
> > > > > no servidor web, por exemplo, ou um um firewall dentro da sua rede
> > onde
> > > > > você conhece todo o mtu do path e garante que não tem nada com mtu
> > > menor
> > > > > que o default de 1500), e o próposito é de filtrar ataques tcp,
> pmtud
> > > > neste
> > > > > caso não é um problema. Problemas podem surgir caso se filtre todo
> > icmp
> > > > no
> > > > > meio do caminho e você não conhece o que tem para trás.
> > > > >
> > > > > Se o MTU for menor do lado cliente, mesmo que ele não saiba qual o
> > MTU
> > > do
> > > > > seu servidor, o negócio se resolve na negociação do MSS.
> > > > >
> > > > >
> > > > > Na prática, fugir de alguns "best practices" pode ajudar muito em
> > > > ambientes
> > > > > com grande volume de ataques. O descarte de floods de icmp
> > > > "desncessários"
> > > > > pode aliviar bastante na hora do processamento do volume de pps em
> um
> > > > > ataque.
> > > > >
> > > > >
> > > > >
> > > > > Abs,
> > > > > Wilson.
> > > > >
> > > > >
> > > > > Em 4 de julho de 2016 11:34, Leonardo Amaral - Listas <
> > > > > listas at leonardoamaral.com.br> escreveu:
> > > > >
> > > > > > Eu nem quis comentar. Enfiaram filtro computacionalmente caro ali
> > pra
> > > > > > filtrar DDoS.
> > > > > >
> > > > > >
> > > > > >
> > > > > > [image: --]
> > > > > >
> > > > > > Leonardo Amaral
> > > > > > [image: https://]about.me/leonardo.amaral
> > > > > > <
> > > > > >
> > > > >
> > > >
> > >
> >
> https://about.me/leonardo.amaral?promo=email_sig&utm_source=email_sig&utm_medium=email_sig&utm_campaign=external_links
> > > > > > >
> > > > > >
> > > > > > Em 4 de julho de 2016 10:28, Christian Lyra <lyra at pop-pr.rnp.br>
> > > > > escreveu:
> > > > > >
> > > > > > > Caros,
> > > > > > >
> > > > > > > Achei que tava indo bem... até que boom!!
> > > > > > >
> > > > > > > "iptables -t mangle -A PREROUTING -p icmp -j DROP
> > > > > > >
> > > > > > > This drops all ICMP packets. ICMP is only used to ping a host
> to
> > > find
> > > > > out
> > > > > > > if it's still alive. Because it's usually not needed and only
> > > > > represents
> > > > > > > another vulnerability that attackers can exploit, we block all
> > ICMP
> > > > > > packets
> > > > > > > to mitigate Ping of Death (ping flood), ICMP flood and ICMP
> > > > > fragmentation
> > > > > > > flood."
> > > > > > >
> > > > > > >
> > > > > > > preparar para problemas com MTU em 3, 2...
> > > > > > >
> > > > > > > 2016-07-03 20:53 GMT-03:00 Rodrigo Meireles <
> > > mikrotikfull at gmail.com
> > > > >:
> > > > > > >
> > > > > > > > Excelente!
> > > > > > > >
> > > > > > > > Em 3 de julho de 2016 19:36, Wagner Loula <
> wld.net1 at gmail.com>
> > > > > > escreveu:
> > > > > > > >
> > > > > > > > > Muito bom
> > > > > > > > > Em 3 de jul de 2016 18:28, "Wilson R Lopes" <
> > > > > wilsonlopes00 at gmail.com
> > > > > > >
> > > > > > > > > escreveu:
> > > > > > > > >
> > > > > > > > > > Excelente artigo que mostra como configurar e otimizar o
> > > > iptables
> > > > > > > para
> > > > > > > > > > mitigar vários tipos de ataques tcp - syn floods, ack
> > floods,
> > > > > > invalid
> > > > > > > > tcp
> > > > > > > > > > headers, open connections flood. Limitada, mas uma boa
> > > solução
> > > > > > "home
> > > > > > > > > made".
> > > > > > > > > >
> > > > > > > > > >
> > > > > > > > > > https://javapipe.com/iptables-ddos-protection
> > > > > > > > > >
> > > > > > > > > >
> > > > > > > > > > Abs,
> > > > > > > > > > Wilson
> > > > > > > > > > --
> > > > > > > > > > gter list
> https://eng.registro.br/mailman/listinfo/gter
> > > > > > > > > --
> > > > > > > > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > > > > > > >
> > > > > > > >
> > > > > > > >
> > > > > > > >
> > > > > > > > --
> > > > > > > > *Rodrigo Melo Meireles*
> > > > > > > >
> > > > > > > > *CTO - Solustic Solucoes em Tecnologia-TI*
> > > > > > > > Analista/Consultor de Redes
> > > > > > > > Analista de Segurança
> > > > > > > > Mikrotik Certified
> > > > > > > > URBSS Certified
> > > > > > > > 85.40629515 85.996459346
> > > > > > > > --
> > > > > > > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > > > > > >
> > > > > > >
> > > > > > >
> > > > > > >
> > > > > > > --
> > > > > > > Christian Lyra
> > > > > > > PoP-PR/RNP
> > > > > > > (41) 3361-3343
> > > > > > > --
> > > > > > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > > > > >
> > > > > > --
> > > > > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > > > >
> > > > > --
> > > > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > > >
> > > > --
> > > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > >
> > > --
> > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > >
> >
> >
> >
> > --
> > Douglas Fernando Fischer
> > Engº de Controle e Automação
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



-- 
Douglas Fernando Fischer
Engº de Controle e Automação



More information about the gter mailing list