[GTER] Mitigando ataques DDoS tcp com iptables
Elizandro Pacheco [ Pacheco Tecnologia ]
elizandro at pachecotecnologia.net
Tue Jul 5 12:39:44 -03 2016
> Em 5 de jul de 2016, à(s) 10:54, Leonardo Amaral - Listas <listas at leonardoamaral.com.br> escreveu:
>
> Em 5 de julho de 2016 09:10, Antonio Carlos Pina <
> antoniocarlospina at gmail.com> escreveu:
>
>> Wilson, sua afirmação sobre DDoS de "gente grande" ser UDP não é correta,
>> porque DDoS de "gente grande" pode ser qualquer protocolo, o objetivo é o
>> flood da capacidade do pipe. Por exemplo, pacotes TCP grandes (que não
>> seriam aceitos pelo 3-way dos servidores ou firewalls) são usados do mesmo
>> jeito porque "entopem" os links.
>>
>
> DDoS de gente grande é UDP sim. Primeiro que a volumetria de um DDoS UDP é
> bem mais fácil de alcançar, segundo que DDoS focada em aplicação tem outras
> metodologias (Slowris tá ai pra mostrar servidor caindo com DOS de 2mbps).
> Maluco poe conntrack? Que tal tentar lotar o número de conexões que o
> conntrack segura e travar o firewall?
>
> Gente grande não quer dizer mais ou menos poder de fogo. Gente grande quer
> dizer volumetria, e isso demanda uma botnet imensa.
>
Nem tanto, o Saddam tá ai pra isso.
Algumas linhas alteradas e dá pra ver o poder de amplificação mesmo com poucas máquinas.
Aliás, esse, até bench tem.
Elizandro Pacheco
More information about the gter
mailing list