[ how to ] stop flood ddos

[Andrea]

Quote:

Originally Posted by torpado

durante un attacco puoi comunque aprire un ticket incidente e un tecnico inserisce la macchina sotto router protection.

Tra poco questa opzione sarà attivabile dal manager a discrezione dell'utente.

Mi riferivo a questo post per le novità

[gio01]

sarebbe bello se lo mettessero
vabbè che kaspersky fa il suo lavoro xò e meglio che i provvediate a mettere queste opzione

[raffo]

Che sistema operativo hai?
e che webserver?

Si puo bloccare questo attacco limitando il numero massimo delle connessioni per IP.

Limitando sopratutto, visto il tuo caso, i mbps per IP per determinati files.

Fatto questo quando sarai sotto attacco nemmeno te ne accorgerai, a meno che gli attaccanti non abbiano un migliaio di server che abusano verso un files grande del tuo server.

Possiamo parlarne.
RAFFAELE

[gio01]

le botnet sono potenti.... ero soggetto a questo

[tmit]

Quote:

Originally Posted by gio01

le botnet sono potenti.... ero soggetto a questo

Diciamo che non esistono veri e propri mezzi di protezione contro attacchi DDoS.
Piuttosto è utile un eventuale firewall hardware che opera da packet filtering con ACL specifiche.

Ad ogni modo, non esiste e mai esisterà protezione al 100% verso botnet di determinate dimensioni.

Gli step da eseguire per il blocco di un attacco sono in ordine, prima il detect con il confronto rispetto alle ACL, successivamente la scelta di filtering. Se il detect non è possibile, dato che ci sono troppe sorgenti di attacco, anche i sistemi di filtering, per quanto potenti / costosi / affidabili possano essere, subiscono problemi di elaborazione e cadono in blocco.

Poi con l'avanzare della tecnologia non si sa mai... magari verranno inventate nuove tecniche avanzate per il detect.

Ad ogni modo per una protezione molto basilare, iptables è un'applicazione che permette agli amministratori di configurare le tabelle, le catene e le regole di netfilter sufficiente per un sistema di protezione minimo.

Un esempio banale potrebbe essere ad esempio gestire le conessioni stabilite e controllare i pacchetti in entrata

Codice:

/usr/sbin/iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Successivamente ad esempio, creare una regola per mandare in blocco di 7 secondi una connessione ripetitiva che si ripete su una porta specifica (quale la 22 per SSH)

Codice:

/usr/sbin/iptables -A INPUT -p tcp -m state --state NEW --dport 22 -m recent --update --seconds 7 -j DROP
/usr/sbin/iptables -A INPUT -p tcp -m state --state NEW --dport 22 -m recent --set -j ACCEPT

Altra cosa utile potrebbe essere bloccare le ICMP e SYN FLOOD Request

Codice:

/usr/sbin/iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
/usr/sbin/iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
/usr/sbin/iptables -A INPUT -p tcp --syn -m limit --limit 3/s -j ACCEPT
/usr/sbin/iptables -A INPUT -p tcp --syn -j DROP