OVH Community, your new community space.

Bloccare attacchi DDos

MnEm0nIc

06.01.2009, 20.03

Originariamente Scritto da Faber

Permettimi di dissentire... è alquanto scocciante trovarsi con un accesso bloccato perchè hai toppato la password per più di X volte, con il tuo IP (statico) bannato x un potenziale Flood o dDoS che in realtà non è mai esistito.

uhm... no, non credo che funzioni cosi': quando arriva un dDoS, viene bloccato l'ip sorgente dell'attacco. alcune farm utilizzano una protezione che si chiama "ip-block" che nullrouta, invece, l'ip attaccato. ovviamente, non e' questa la via da seguire (anche perche' non e' che qui le classi di ip le diano gratis).

Meglio una protezione singola server x server se qualcuno la vuole, e gestibile direttamente. Hai sicuramente ragione sull' IPTables, bloccato o no il dDoS è cmq arrivato alla macchina.

gia', quindi non e' che serva a molto. indubbiamente, settando a dovere iptables e snort (giusto per far un esempio) gli attacchi piu' piccoli si riescono a bloccare con risultati discreti.

Un sistema tra la macchina e la rete è l' ideale (un bel PIX ? )

vari tipi di attacchi dDoS tendono a far saturare la banda disponibile e quindi rendere irraggiungibile il server. con un firewall prima del server questi attacchi non vengono filtrati in modo corretto, in quanto consuma la banda a disposizione del server, sebbene in misura inferiore rispetto al solo server con iptables.

Originariamente Scritto da v.lorezani

Ma non diciamo questo, basterebbe mettere un firewall all'interno della farm, il quale al suo interno contiene delle zone rcf, con gli indirizzi ip da bannare fissi, che sono spammer e altri.
Non ci vuole tanto, il problema è il costo di questi apparati es. CISCO

una soluzione reale potrebbe essere quella di mettere dei firewall condivisi per piu' macchine: faccio un esempio, un firewall su 1 gbit puo' servire anche 20-30 server con la 100mbit, considerando che non tutti i server vengono attaccati contemporaneamente.
forse le proporzioni non sono esatte, ma il concetto e' quello.

my 2 cents

v.lorezani

06.01.2009, 06.49

Originariamente Scritto da Faber

Permettimi di dissentire... è alquanto scocciante trovarsi con un accesso bloccato perchè hai toppato la password per più di X volte, con il tuo IP (statico) bannato x un potenziale Flood o dDoS che in realtà non è mai esistito.

Meglio una protezione singola server x server se qualcuno la vuole, e gestibile direttamente. Hai sicuramente ragione sull' IPTables, bloccato o no il dDoS è cmq arrivato alla macchina.

Un sistema tra la macchina e la rete è l' ideale (un bel PIX ? )

Faber

Ma non diciamo questo, basterebbe mettere un firewall all'interno della farm, il quale al suo interno contiene delle zone rcf, con gli indirizzi ip da bannare fissi, che sono spammer e altri.
Non ci vuole tanto, il problema è il costo di questi apparati es. CISCO

Faber

05.01.2009, 22.54

Originariamente Scritto da MnEm0nIc

eheeh bravo bravo.. cmq come ho detto prima, il modo per bloccare o quanto meno mitigare in modo significativo i dDoS c'e', ma quello che si fa sui server e' un surrogato, bisogna agire a livello di farm..

OVH, ci sei?

Permettimi di dissentire... è alquanto scocciante trovarsi con un accesso bloccato perchè hai toppato la password per più di X volte, con il tuo IP (statico) bannato x un potenziale Flood o dDoS che in realtà non è mai esistito.

Meglio una protezione singola server x server se qualcuno la vuole, e gestibile direttamente. Hai sicuramente ragione sull' IPTables, bloccato o no il dDoS è cmq arrivato alla macchina.

Un sistema tra la macchina e la rete è l' ideale (un bel PIX ? )

Faber

MnEm0nIc

05.01.2009, 22.28

Originariamente Scritto da Faber

Non lo conoscevo ! Ho appena letto un pò di documentazione e devo dire che è davvero un bel sistema !

Lo testerò

eheeh bravo bravo.. cmq come ho detto prima, il modo per bloccare o quanto meno mitigare in modo significativo i dDoS c'e', ma quello che si fa sui server e' un surrogato, bisogna agire a livello di farm..

OVH, ci sei?

Faber

05.01.2009, 20.42

Originariamente Scritto da MnEm0nIc

ci sarebbe anche knock come demone che apre determinate porte su richiesta

ciao

Non lo conoscevo ! Ho appena letto un pò di documentazione e devo dire che è davvero un bel sistema !

Lo testerò

MnEm0nIc

05.01.2009, 20.29

Originariamente Scritto da Faber

In alternativa all' ip statico, ma è un pò più laborioso, un piccolo script che rileva un DNS Dinamico ed aggiorna l' IPTable

ci sarebbe anche knock come demone che apre determinate porte su richiesta

ciao

Faber

05.01.2009, 16.31

Originariamente Scritto da ibanez89

non avevo considerato il particolare del drop sui pacchetti non provenienti dal tuo ip

ovviamente per farlo bisogna avere un'ip statico o un'alto dedicato/vps come fai te

In alternativa all' ip statico, ma è un pò più laborioso, un piccolo script che rileva un DNS Dinamico ed aggiorna l' IPTable

ibanez89

05.01.2009, 16.26

Originariamente Scritto da Faber

Se le porte le chiudi con IPTables lasciandole raggiungibili solo dal tuo IP lo scan non le vede di certo

non avevo considerato il particolare del drop sui pacchetti non provenienti dal tuo ip

ovviamente per farlo bisogna avere un'ip statico o un'alto dedicato/vps come fai te

Faber

05.01.2009, 15.56

Se le porte le chiudi con IPTables lasciandole raggiungibili solo dal tuo IP lo scan non le vede di certo

ibanez89

05.01.2009, 14.36

il cambiare le porte non la vedo una grande idea, io cambio solo quella ssh... dopo tutto basta un tool che fa uno scan delle porte e vengono rilevate quelle corrette o sbaglio?

Faber

05.01.2009, 13.18

Originariamente Scritto da v.lorezani

Ciao a tutti, che soluzione avete adottato voi per contrastare gli attachi ddos?
Soluzioni?

Ci sono poche soluzioni... io mi limito a bloccare l' ICMP, mantenendolo aperto solo al mio ip statico e a quello dell' assistenza OVH (altrimenti ti cominciano a riavviare il server a raffica... :-S).

Inoltre cambio la porta di ascolto SSH limitandola sempre al mio IP e agli IP degli altri server che possiedo, in modo da darmi comunque un accesso alternativo.

Il tutto con IPTables, ovviamente.

Non dovrei dirlo :-) ma lascio la porta del webmin (che non è quella standard, ma cambiata ad HOC) aperta per ogni evenienza.

Faber

MnEm0nIc

01.01.2009, 02.14

Originariamente Scritto da Maurizio1230

quel problema di debian non è più esistente e ricordo che la questione si risolse tempestivamente.

si, ma c'e' chi ha generato delle chiavi all'epoca o su macchine non ancora aggiornate, quindi ho ritenuto giusto specificarlo...

ciao

MnEm0nIc

01.01.2009, 02.12

Originariamente Scritto da v.lorezani

Ciao a tutti, che soluzione avete adottato voi per contrastare gli attachi ddos?
Soluzioni?

Gli attacchi dDoS (distribuited Denial of Services) sono difficili da contrastare.
Alcuni tipi di attacchi, come i bruteforce, possono essere tamponati (non annullati) utilizzando degli accorgimenti come il fail2ban che suggeriva torpado o con snort, per esempio.
Altri tipi di attacchi che hanno come scopo quello di riempire lo stack TCP in modo da rendere irraggiungibile il server, devono essere filtrati prima che arrivino al server, attraverso dei firewall hardware (siano essi delle appliance proprietarie [cisco, juniper, fortinet] o server configurati come tale [linux, freebsd, openbsd]) con una banda sufficiente a reggere il "colpo", che normalmente si aggira attorno ad 1 o 2 gigabit.
OVH, purtroppo, non ha soluzioni di questo tipo, o quantomeno gli accorgimenti che usa non sono sufficienti a contrastare determinati attacchi.
Come gia' detto in un thread di un po' di tempo fa, mettere dei firewall hardware a monte sarebbe un costo sicuramente elevato, ma con un forte ritorno di immagine e quindi clientela.
C'e' una server farm americana che propone (ovviamente non ai prezzi di OVH) dei server difesi da una appliance di firewall in cluster che fanno passare solo il traffico "pulito"; inoltre, questa farm garantisce cosi' tanto questo servizio che non calcola il traffico in ingresso ma solo quello di uscita (che e' in ogni caso elevato): questa e' una soluzione ottima per chi offre servizi quali hosting, server virtuali e via dicendo.

Spero che col nuovo anno, OVH inizi a pensare a delle soluzioni di firewall hardware per mitigare gli attacchi dDoS, sia come soluzione a monte dei vari rami dell'infrastruttura, sia come soluzioni personali per i singoli clienti.

happy gnu year

ibanez89

31.12.2008, 16.02

Originariamente Scritto da torpado

questo package fail2ban

si prorio questo... grazie torpado

torpado

31.12.2008, 15.26

questo package fail2ban

ibanez89

31.12.2008, 14.49

Originariamente Scritto da v.lorezani

No è uno scanner di porte....
Un attacco di ddos, sono più pc,server o come dirsi voglia che effettuano moltissime prove di accesso su una connessione es. ssh con credenziali errate, in questo modo stressano il server generando un traffico anomalo.
Molti fornitori come ovh, bloccano il server, anche se penso che basterebbe mettere un apparato di rete di fronte a tutto il datacenter e dirgli che una certa zona non può entrare una sorta di rfc, magari in questa zona, lista vanno inseriti tutti gli ip di scanner, spam, server hacker, ecc

sinceramente non conosco a memoria il nome del pacchetto, ma per debian ce un software che consente di bannare automaticamente l'ip se fa più di tot errori di autenticazione... potrebbe essere d'aiuto?

Maurizio1230

31.12.2008, 14.30

magari generate con un openssl non di debian

quel problema di debian non è più esistente e ricordo che la questione si risolse tempestivamente.

v.lorezani

31.12.2008, 14.08

Inoltre porto un post che aveva fatto un'utente qui del forum:

"MnEm0nIc

Predefinito Re: Blocco server per scan su porta 22
Quote:
Originally Posted by torpado Visualizza il messaggio
lo scan è partito dalla tua macchina e non viceversa.
Questa cosa cambia di molto il problema eh! Probabilmente ti hanno compromesso il server (scalata di privilegi su apache 2.2.3 per esempio) riuscendo ad ottenere così una shell.
In questi casi l'unica cosa che puoi fare e' recuperare i log, i backup e reinstallare quanto prima (con tutti i file di configurazione pronti non ci metti poi tutto sto tempo) mettendo meglio in sicurezza i tuoi servizi.
Dai log, poi, puoi provare a vedere che cosa hanno fatto e mettere in atto delle policy di sicurezza migliori, te ne cito qualcuna:
- mod_security di Apache
- SSH su una porta alta e con accesso ristretto ad un unico (o cmq pochi e fidati) utenti, meglio se con chiavi SSH (magari generate con un openssl non di debian)
- SELinux/GrSecurity2 (ma qui si va sul difficile)
- Firewall ben strutturato con DROP in ingresso di tutto tranne sui servizi in ascolto
- Snort (o altro IDS) per monitorare/bloccare intrusioni.

my 2 cents."

v.lorezani

31.12.2008, 13.54

No è uno scanner di porte....
Un attacco di ddos, sono più pc,server o come dirsi voglia che effettuano moltissime prove di accesso su una connessione es. ssh con credenziali errate, in questo modo stressano il server generando un traffico anomalo.
Molti fornitori come ovh, bloccano il server, anche se penso che basterebbe mettere un apparato di rete di fronte a tutto il datacenter e dirgli che una certa zona non può entrare una sorta di rfc, magari in questa zona, lista vanno inseriti tutti gli ip di scanner, spam, server hacker, ecc

Maurizio1230

31.12.2008, 13.43

questo è un attacco ddos per caso? http://forum.ovh.it/showthread.php?t=317&highlight=logs

v.lorezani

31.12.2008, 13.34

Io per adesso come soluzione, ho cambiato la porta di ascolto del servizio ssh.
Bisogna vedere cosa si può fare con iptables.

Maurizio1230

31.12.2008, 12.25

personalmente accendo un cero di Padre Pio ogni 6 mesi per fare le mie condoglianze ai server che lanciano questi attacchi e a coloro che li hanno configurati per questo fine.

Sarei interessato anche io ad altre soluzioni però

Maurizio

v.lorezani

31.12.2008, 11.26

Ciao a tutti, che soluzione avete adottato voi per contrastare gli attachi ddos?
Soluzioni?