Ir para o conteúdo
  • Revista PROGRAMAR: Já está disponível a edição #57 da revista programar. Faz já o download aqui!

diogopuskas

ataques ddos

Mensagens Recomendadas

diogopuskas    0
diogopuskas

Bem, eu sou administrador de um serviço de de gathers de counter strike 1.6 , mas somos constantemente bombardeados com ataques ddos .. queria saber se existem formas de prevenir isto .. Obrigado.

ps:se não for este o local indicado, que movem, agradecido.

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites
apocsantos    209
apocsantos

    Boa noite,

    Primeira coisa a fazer é analisares como estão a ser feitos os ataques DDOS, se estão a utilizar uma falha especifica em algum dos softwares servidores, se tens erros de configuração etc...

    O segundo passo é configurar BEM uma firewall, para dar drop a todo o tipo de packets que não os expressamente autorizados, e receber IP's que estejam Black-Listed das principais listas de IP's considerados "Black-Listed" o projecto HoneyPot fornece essas listas gratuitamente.

    A ultima fase será "dissecar" o ataque DDOS, ver que tipo de packets são enviados, que serviço é alvo, como é feito, e adaptar as múltiplas defesas ao ataque. É trabalhoso, é moroso, dá para puxar pela cabeça, mas é mesmo assim que se defende de um ataque.

    Vai colocando questões que a gente vai respondendo. Primeira coisa que eu faria era mesmo configurar a firewall, e analisar os logs. Saber como está a ser feito um DDOS, é o primeiro passo para prevenir futuros DDOS.

Cordiais cumprimentos,

Apocsantos

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites
diogopuskas    0
diogopuskas

Bem, nós usamos um serviço de alojamento que nos é patrocinado, mas a empresa não consegue impedir os ataques .. pelo que tive a falar, existe uma ferramenta que 'previne' esses ataques, mas que é especialmente cara .. e apenas uma empresa o têm, que desconfio que nos andou a tramar a vida..

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites
apocsantos    209
apocsantos

    Bom dia,

    Não existe apenas uma ferramenta, existem várias e muitas são software-livre.

    Dependendo dos moldes do alojamento (VPS ou apenas alojamento) tens mais ou menos controlo sob o servidor. Podes para começar pedir para desactivarem a resposta a pedidos ICMP ao servidor, assim já restringes as possibilidades de ataque DDOS. De resto revê as configurações do servidor e caso não tenhas acesso pede a quem te fornece o acesso que te permita barrar IP's, com base em listas de IP's. Depois colocas na lista todos os ip's conhecidos como ip's de botnets e ficas atento, em caso de DDOS, registas o IP e adicionas à lista de IP's barrados. Assim a quando de um ataque o servidor faz drop dos pacotes à chegada.

    Pelo que sei existem ferramentas especificas para realizar ataques Distributed Denial Of Service para servidores de CS. E vamos ser realistas um DDOS não é nada complexo, é apenas um ataque de negação de serviço, em que uma ou mais maquinas congestionam um serviço de uma maquina até ao crash efectivo do mesmo. Isto é mais simples do que o que parece, e mais simples de proteger do que o que parece, sem recurso a ferramentas dispendiosas.

Cordiais cumprimentos,

Apocsantos

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites
mAiN_iNfEcTiOn    0
mAiN_iNfEcTiOn

Olá apocsantos...

Na realidade não é tão simples quanto isso.... Actualmente com uma série de pedidos bem feitos, é possível pôr um servidor a colar aos 99% de CPU durante um bom tempo ;) E não é preciso grande tecnologia nem uma botnet... só 1 computador :)

Mais info em:

Abraço

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites
apocsantos    209
apocsantos

    Bom dia,

    O principio básico é o mesmo. A negação de serviço e os métodos de protecção tradicionais aplicam-se da mesma forma. Basicamente pendura a aplicação com pedidos de forma a sobrecarregar os processos da aplicação e paralisar o sistema.

    Mas isto torna-se tão mais fácil quanto pior a configuração dos servidores e a qualidade do software. Como cada vez os programadores conhecem as coisas a mais alto nível esquecem-se do "baixo nível". Numa boa configuração define-se um "tecto maximo" de consumo de recursos de uma aplicação, e define-se um ponto de rê-inicio da aplicação (serviço). A falta deste tipo de cuidados leva a que os DDOS sejam mais fáceis de executar.

    Se os cuidados "básicos" forem tidos em conta, a quando de um ataque, assim que um determinado processo ou serviço atinga X% dos recursos de sistema, ele é reiniciado e um conjunto de procedimentos despoletados para prevenir este tipo de situação, e registar o que levou a essa situação critica, para posterior patch.

    Por acaso já conhecia o vídeo, de qualquer das formas obrigado pela partilha.

Cordiais cumprimentos,

Apocsantos

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites
mAiN_iNfEcTiOn    0
mAiN_iNfEcTiOn

Ok...

Então qual seria a tua solução para um ataque desses? Visto que um computador pode fazer (sozinho) um DDoS a qualquer máquina que corra um script PHP, ASP, JSP (Tomcat whatever) meeesmo que o script so tenha "Hello World" ;) ?

Se o principio do DDoS é impedir retorno de resposta de um determinado serviço, como é que impedes? À partida sou um simples utilizador como tu.

Uma botnet não são necessariamente computadores da mesma rede, podem ser uma série de utilizadores como tu e eu, infectados com algum trojan.

Como é que fazes? Sabendo que o problema nem são os números de pedidos mas os recursos que esses pedidos exigem?

Metias uma máquina a fazer load balancing? Mesmo que tivesses 10 servidores... Com uma botnet e o bug das hashtables não conseguias responder aos pedidos!

... mas eu não percebo muito disto portanto gostaria de saber a tua resposta e analisá-la com todo o cuidado para saber como fazer! (Ao contrário do que possam pensar, este tipo de situações intriga-me porque delas provém soluções reais ok ?)

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites
apocsantos    209
apocsantos

    Boa tarde,

    Paro monitorizando o servidor em busca de comportamentos "anómalos" e deixando "medidas" preventivas implementadas. No exemplo em causa, se um processo do Tomcat por exemplo no seu normal funcionamento ocupar X% de recursos de CPU e Y% de recursos de memória, em caso de "subida desmesurada espontânea", prefiro terminar o processo e re-iniciar o Tomcat a correr o risco de sofrer um DDOS. Esta tarefa pode ficar já pré-configurada do lado do servidor.

    Adicionalmente a isso, posso ter uma aplicação a monitorizar as webapps que estão a correr no meu servidor e a registar o que é feito (ok gera um log enorme, mas para isso faço uma aplicação que analise o log, ou vejo o log de um espaço de tempo curto), isto além de me actuar como medida preventiva, ajuda-me a analisar o código e perceber onde foi detectada e utilizada determinada falha numa webapp.

    Se um serviço re-iniciar e me deixar sem serviço 10 minutos, é preferível a fazer o servidor empancar de vez. Nos entre-tantos sou alertado para a anomalia ocorrida e posso começar a procura das causas, para dar resposta à anomalia. Os potenciais acessos que perdi em 10 minutos são menores que os perdidos em N horas.

    O load Balancing está fora de hipótese logo à partida pois era demasiado rápido "derrubar" as restantes maquinas, por esse motivo uma monitorização activa do que se está a passar no servidor e medidas automáticas preventivas dependendo do caso, são uma opção viável.

Cordiais cumprimentos,

Apocsantos

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites
Flinger    50
Flinger

      Dependendo dos moldes do alojamento (VPS ou apenas alojamento) tens mais ou menos controlo sob o servidor. Podes para começar pedir para desactivarem a resposta a pedidos ICMP ao servidor, assim já restringes as possibilidades de ataque DDOS. De resto revê as configurações do servidor e caso não tenhas acesso pede a quem te fornece o acesso que te permita barrar IP's, com base em listas de IP's. Depois colocas na lista todos os ip's conhecidos como ip's de botnets e ficas atento, em caso de DDOS, registas o IP e adicionas à lista de IP's barrados. Assim a quando de um ataque o servidor faz drop dos pacotes à chegada.

Se de facto está confirmado que é um ddos, o melhor a fazer é isso que o apoc te disse. Ou no router ou numa firewall local no PC, filtrar os pacotes. Pode ainda assim existir algum lag, devido ao volume de pacotes a circular. Uma lista de permissões pode ser mais complicada de implementar, já que terias de incluir todas as gamas de IP nacionais, e corres o risco de deixar alguma de fora, privando alguns utilizadores do serviço.

Mas isto digo eu, que não sou especialista na matéria.

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites
Dr_Lion    5
Dr_Lion

Dependendo das permissões de acesso que tens á máquina podes tentar limitar a resposta a pacotes ICMP vindos do exterior da rede. Podes também limitar alguns pacotes ARP e ICMP da rede interna.

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites
maar3amt    0
maar3amt

Poderei estar a ser ingénuo...

Será que te referes a ataques DDOS ou DOS?

Se for DOS... A coisa é fácil de lidar...

Se for DDOS... A coisa é mais complicada!

Um ataques DDOS com largos megas ou mesmo Gbps de banda é impossível de mitigar via software. (tendo em conta que os recursos são limitados).

Normalmente em servidores de jogos o ataque mais usual é DOS *UDP flood*.

Tenta saber isso

Editado por maar3amt

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites
herakty    2
herakty

Bem... como se pode ver nos primeiros registos da área de segurança por mim criada à uns anitos e mts anos de pesquisa nesta área conheço formas e digo assim que se quem fizer o DDOS for(em) altamente qualificado... não há nada a fazer senão jogos de DNS e redirecionamentos para uns clientes acederem a outro servidor como se tivessem no normal. já isto ser feito com alto sucesso... o DDOS tem um alvo, um IP... se é que me entenderam :)

cumprimentos a todos e "I´m Back"

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Crie uma conta ou ligue-se para comentar

Só membros podem comentar

Criar nova conta

Registe para ter uma conta na nossa comunidade. É fácil!

Registar nova conta

Entra

Já tem conta? Inicie sessão aqui.

Entrar Agora


×

Aviso Sobre Cookies

Ao usar este site você aceita a nossa Política de Privacidade