{"id":3138,"date":"2014-09-24T20:58:52","date_gmt":"2014-09-24T20:58:52","guid":{"rendered":"http:\/\/www.deuzebranaweb.com.br\/?p=3138"},"modified":"2014-09-24T20:58:52","modified_gmt":"2014-09-24T20:58:52","slug":"scripts-milagrosos-para-bloquear-ataques-ddos-utilizando-o-iptables","status":"publish","type":"post","link":"https:\/\/blog.deuzebranaweb.com.br\/index.php\/2014\/09\/24\/scripts-milagrosos-para-bloquear-ataques-ddos-utilizando-o-iptables\/","title":{"rendered":"Scripts milagrosos para bloquear ataques DDoS utilizando o Iptables"},"content":{"rendered":"

Atualiza\u00e7\u00e3o<\/strong>: Fiz uma pequena revis\u00e3o do texto, pois recebi\u00a0 a reclama\u00e7\u00e3o de algumas pessoas quanto a compreens\u00e3o. Espero resolver isso com o texto revisado<\/p>\n

A melhor defini\u00e7\u00e3o para isso foi do Spookerlabs \u2013 \u201cPovo ofecerando milagras e veja pq nao funciona\u201d<\/strong><\/em><\/p>\n

Muitos blogs e sites v\u00eam divulgando alguns scripts milagrosos que prometem parar ou mitigar ataques DDoS utilizando regras para o Iptables e tuning para o Linux, eles mais parecem propaganda religioso que passam de madrugada.<\/p>\n

Abaixo, segue uma pequena lista de scripts e configura\u00e7\u00f5es que a galera utiliza no APF<\/a>, Iptables e tuning no Linux achando que ir\u00e3o resolver os ataques DDoS como um passe de m\u00e1gica:<\/p>\n

service apf stop
\niptables -F
\nwget http:\/\/www.hackersgarage.com\/wp-content\/uploads\/2011\/08\/antiDDoS.txt
\nmv antiDDoS.txt antiDDoS.sh
\nchmod u+x antiDDoS.sh
\n.\/antiDDoS.sh<\/code><\/p>\n

echo \"Block TCP-CONNECT scan attempts (SYN bit packets)\"
\niptables -A INPUT -p tcp --syn -j DROP
\necho \"Block TCP-SYN scan attempts (only SYN bit packets)\"
\niptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH SYN -j DROP
\necho \"Block TCP-FIN scan attempts (only FIN bit packets)\"
\niptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN -j DROP
\necho \"Block TCP-ACK scan attempts (only ACK bit packets)\"
\niptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH ACK -j DROP
\necho \"Block TCP-NULL scan attempts (packets without flag)\"
\niptables -A INPUT -m conntrack --ctstate INVALID -p tcp --tcp-flags ! SYN,RST,ACK,FIN,URG,PSH SYN,RST,ACK,FIN,URG,PSH -j DROP
\necho \"Block \"Christmas Tree\" TCP-XMAS scan attempts (packets with FIN, URG, PSH bits)\"
\niptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN,URG,PSH -j DROP
\necho \"Block DOS - Ping of Death\"
\niptables -A INPUT -p ICMP --icmp-type echo-request -m length --length 60:65535 -j ACCEPT
\necho \"Block DOS - Teardrop\"
\niptables -A INPUT -p UDP -f -j DROP
\necho \"Block DDOS - SYN-flood\"
\niptables -A INPUT -p TCP --syn -m iplimit --iplimit-above 9 -j DROP
\necho \"Block DDOS - Smurf\"
\niptables -A INPUT -m pkttype --pkt-type broadcast -j DROP
\niptables -A INPUT -p ICMP --icmp-type echo-request -m pkttype --pkttype broadcast -j DROP
\niptables -A INPUT -p ICMP --icmp-type echo-request -m limit --limit 3\/s -j ACCEPT
\necho \"Block DDOS - UDP-flood (Pepsi)\"
\niptables -A INPUT -p UDP --dport 7 -j DROP
\niptables -A INPUT -p UDP --dport 19 -j DROP
\necho \"Block DDOS - SMBnuke\"
\niptables -A INPUT -p UDP --dport 135:139 -j DROP
\niptables -A INPUT -p TCP --dport 135:139 -j DROP
\necho \"Block DDOS - Connection-flood\"
\niptables -A INPUT -p TCP --syn -m iplimit --iplimit-above 3 -j DROP
\necho \"Block DDOS - Fraggle\"
\niptables -A INPUT -p UDP -m pkttype --pkt-type broadcast -j DROP
\niptables -A INPUT -p UDP -m limit --limit 3\/s -j ACCEPT
\necho \"Block DDOS - Jolt\"
\niptables -A INPUT -p ICMP -f -j DROP<\/code><\/p>\n

O script acima possui uma s\u00e9rie de interpreta\u00e7\u00f5es que levam ao erro, principalmente para aqueles que est\u00e3o come\u00e7ando na \u00e1rea. Utilizar um firewall com regras de DROP \u00e0 torto e a direita n\u00e3o \u00e9 solu\u00e7\u00e3o para um ataque DDoS \u2013 isso foi o que eu quis dizer logo no in\u00edcio do post e n\u00e3o ficou claro, erro meu..<\/p>\n

Abaixo tem mais\u00a0 um script que faz o download e de outros scripts que promete o falso milagre:<\/p>\n

wget http:\/\/www.inetbase.com\/scripts\/ddos\/install.sh
\nchmod 0700 install.sh
\n.\/install.sh<\/code><\/p>\n

Outro ponto importante \u00e9 que h\u00e1 analistas que acreditam que configurar um firewall \u201cde foram correta\u201d \u00e9 garantir a integridade de seu ambiente \u2013 totalmente errado. O entendimento por completo dos protocolos TCP\/IP\u00a0 \u00e9 outro erro praticado por muitos. O importante, acima de tudo, \u00e9 entender como \u00e9 originado, feito e direcionado um ataque, para dar inicio ao processo de mitiga\u00e7\u00e3o. Um firewall n\u00e3o tem como bloquer um ataque Slowloris, e um IDS\/IPS tem ? Outra discuss\u00e3o que vale a pena ser aborda em outro post. \":)\"<\/p>\n

Voltando aos ataques DDoS, as operadores \u2013 empresas de telecomunica\u00e7\u00e3o \u2013\u00a0 possuem um papel fundamental na prote\u00e7\u00e3o de ataques DDoS Layer4. Eles t\u00eam todos recursos e equipamentos para det\u00ea-los, fato. Por\u00e9m elas pecam em bloquear todo o tr\u00e1fico inbound para uma empresa que \u00e9 alvo de um ataque, e pior, n\u00e3o investem no treinamento e aperfei\u00e7oamento do seu pessoal. A resposta para o por que disso \u00e9 bem simples \u2013 Sai mais barato deixar o circo pegar fogo ou fazer um regra super restritiva do que passar alguns minutos analisando logs e apontar a regra correto e que desafogar\u00e1, em alguns casos, a infra do cliente.<\/p>\n

Muitos dos ataques DDoS praticados nos \u00faltimos anos s\u00e3o dif\u00edceis de serem bloqueados devido a dispers\u00e3o geogr\u00e1fica e tamb\u00e9m ao seu poder de fogo. H\u00e1 ataques provenientes de milh\u00f5es de computadores que que chegam em mais de 100Gb\/s de banda.<\/p>\n

Muitos especialistas da \u00e1rea e com experi\u00eancia de mais de 10 anos dizem que os ataques DDoS de hoje s\u00e3o os mesmos de 5 anos atr\u00e1s, mas agora, gra\u00e7as as redes sociais, eles s\u00e3o divulgados. Eu acredito que hoje h\u00e1 uma coordena\u00e7\u00e3o dos ataques, novas ferramentas e posso me atrever a dizer que h\u00e1 novos tipos de ataque.<\/p>\n

O fato \u00e9 que n\u00e3o h\u00e1 uma solu\u00e7\u00e3o, configura\u00e7\u00e3o ou produto m\u00e1gico que seja capaz de mitigar estes ataques por completo, mas sim a implementa\u00e7\u00e3o de v\u00e1rias contra medidas, dependendo \u00e9 claro do seu ambiente e do seu bolso para minimiz\u00e1-los, isso sem falar naquele velho ditado \u201cTenha uma arma maior que a do seu inimigo\u201d, que neste caso \u00e9 banda.<\/p>\n

P.S.: Eu e muitos outros profissionais preferimos o CSF<\/a>, j\u00e1 apresentado e comentado pelo Alan Sanches no \u00faltimo hackingday e ferramenta utilizada na infra do Desafio Hacker ao inv\u00e9s do APF, mas um aviso importante, ele n\u00e3o bloqueia ataques DDoS.<\/p>\n

O pessoal do anonymous deve tatuar no bra\u00e7o a palavra DDoS.<\/p>\n

fontes: http:\/\/www.hackersgarage.com\/<\/a> e http:\/\/www.mydigitallife.info\/prevent-and-stop-dos-or-ddos-attacks-on-web-server-ddos-deflate\/<\/a><\/p>\n

 <\/p>\n

http:\/\/blog.corujadeti.com.br\/scripts-milagrosos-para-bloquear-ataques-ddos-utilizando-o-iptables\/<\/p>\n","protected":false},"excerpt":{"rendered":"

Atualiza\u00e7\u00e3o: Fiz uma pequena revis\u00e3o do texto, pois recebi\u00a0 a reclama\u00e7\u00e3o de algumas pessoas quanto a compreens\u00e3o. Espero resolver isso com o texto revisado A melhor defini\u00e7\u00e3o para isso foi do Spookerlabs \u2013 \u201cPovo ofecerando milagras e veja pq nao funciona\u201d Muitos blogs e sites…<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_angie_page":false,"page_builder":"","footnotes":""},"categories":[5,12,7],"tags":[],"class_list":["post-3138","post","type-post","status-publish","format-standard","hentry","category-apache2","category-iptables","category-wordpress"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/blog.deuzebranaweb.com.br\/index.php\/wp-json\/wp\/v2\/posts\/3138","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.deuzebranaweb.com.br\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.deuzebranaweb.com.br\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.deuzebranaweb.com.br\/index.php\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.deuzebranaweb.com.br\/index.php\/wp-json\/wp\/v2\/comments?post=3138"}],"version-history":[{"count":0,"href":"https:\/\/blog.deuzebranaweb.com.br\/index.php\/wp-json\/wp\/v2\/posts\/3138\/revisions"}],"wp:attachment":[{"href":"https:\/\/blog.deuzebranaweb.com.br\/index.php\/wp-json\/wp\/v2\/media?parent=3138"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.deuzebranaweb.com.br\/index.php\/wp-json\/wp\/v2\/categories?post=3138"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.deuzebranaweb.com.br\/index.php\/wp-json\/wp\/v2\/tags?post=3138"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}