OVH Community, your new community space.

[ how to ] stop flood ddos


dprima
16.04.2013, 09.17
Iptables è disponibile solo sulle distro linux...per windows puoi far riferimento agli strumenti "TCP/IP filtering"
che Microsoft mette a disposizione sui propri sistemi

mister_bit
13.04.2013, 00.03
Citazione Originariamente Scritto da tmit
Diciamo che non esistono veri e propri mezzi di protezione contro attacchi DDoS.
Piuttosto è utile un eventuale firewall hardware che opera da packet filtering con ACL specifiche.

Ad ogni modo, non esiste e mai esisterà protezione al 100% verso botnet di determinate dimensioni.

Gli step da eseguire per il blocco di un attacco sono in ordine, prima il detect con il confronto rispetto alle ACL, successivamente la scelta di filtering. Se il detect non è possibile, dato che ci sono troppe sorgenti di attacco, anche i sistemi di filtering, per quanto potenti / costosi / affidabili possano essere, subiscono problemi di elaborazione e cadono in blocco.

Poi con l'avanzare della tecnologia non si sa mai... magari verranno inventate nuove tecniche avanzate per il detect.

Ad ogni modo per una protezione molto basilare, iptables è un'applicazione che permette agli amministratori di configurare le tabelle, le catene e le regole di netfilter sufficiente per un sistema di protezione minimo.

Un esempio banale potrebbe essere ad esempio gestire le conessioni stabilite e controllare i pacchetti in entrata
Codice:
/usr/sbin/iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
Successivamente ad esempio, creare una regola per mandare in blocco di 7 secondi una connessione ripetitiva che si ripete su una porta specifica (quale la 22 per SSH)
Codice:
/usr/sbin/iptables -A INPUT -p tcp -m state --state NEW --dport 22 -m recent --update --seconds 7 -j DROP
/usr/sbin/iptables -A INPUT -p tcp -m state --state NEW --dport 22 -m recent --set -j ACCEPT
Altra cosa utile potrebbe essere bloccare le ICMP e SYN FLOOD Request
Codice:
/usr/sbin/iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
/usr/sbin/iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
/usr/sbin/iptables -A INPUT -p tcp --syn -m limit --limit 3/s -j ACCEPT
/usr/sbin/iptables -A INPUT -p tcp --syn -j DROP
Salve questa procedura e possibile su sistema Windows server 2008 r2 web edition? esiste iptables?

zerohack
02.09.2012, 21.36
Questa storia mi interessa altamente!
A che punto siamo?
Possibile che non esista un sistema automatico che rileva l'ip e lo inchioda?
Giacomo

tmit
13.03.2010, 20.31
Citazione Originariamente Scritto da gio01
le botnet sono potenti.... ero soggetto a questo
Diciamo che non esistono veri e propri mezzi di protezione contro attacchi DDoS.
Piuttosto è utile un eventuale firewall hardware che opera da packet filtering con ACL specifiche.

Ad ogni modo, non esiste e mai esisterà protezione al 100% verso botnet di determinate dimensioni.

Gli step da eseguire per il blocco di un attacco sono in ordine, prima il detect con il confronto rispetto alle ACL, successivamente la scelta di filtering. Se il detect non è possibile, dato che ci sono troppe sorgenti di attacco, anche i sistemi di filtering, per quanto potenti / costosi / affidabili possano essere, subiscono problemi di elaborazione e cadono in blocco.

Poi con l'avanzare della tecnologia non si sa mai... magari verranno inventate nuove tecniche avanzate per il detect.

Ad ogni modo per una protezione molto basilare, iptables è un'applicazione che permette agli amministratori di configurare le tabelle, le catene e le regole di netfilter sufficiente per un sistema di protezione minimo.

Un esempio banale potrebbe essere ad esempio gestire le conessioni stabilite e controllare i pacchetti in entrata
Codice:
/usr/sbin/iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
Successivamente ad esempio, creare una regola per mandare in blocco di 7 secondi una connessione ripetitiva che si ripete su una porta specifica (quale la 22 per SSH)
Codice:
/usr/sbin/iptables -A INPUT -p tcp -m state --state NEW --dport 22 -m recent --update --seconds 7 -j DROP
/usr/sbin/iptables -A INPUT -p tcp -m state --state NEW --dport 22 -m recent --set -j ACCEPT
Altra cosa utile potrebbe essere bloccare le ICMP e SYN FLOOD Request
Codice:
/usr/sbin/iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
/usr/sbin/iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
/usr/sbin/iptables -A INPUT -p tcp --syn -m limit --limit 3/s -j ACCEPT
/usr/sbin/iptables -A INPUT -p tcp --syn -j DROP

gio01
08.03.2010, 17.13
le botnet sono potenti.... ero soggetto a questo

raffo
08.03.2010, 04.27
Che sistema operativo hai?
e che webserver?

Si puo bloccare questo attacco limitando il numero massimo delle connessioni per IP.

Limitando sopratutto, visto il tuo caso, i mbps per IP per determinati files.

Fatto questo quando sarai sotto attacco nemmeno te ne accorgerai, a meno che gli attaccanti non abbiano un migliaio di server che abusano verso un files grande del tuo server.

Possiamo parlarne.
RAFFAELE

gio01
23.02.2010, 19.26
sarebbe bello se lo mettessero
vabbè che kaspersky fa il suo lavoro xò e meglio che i provvediate a mettere queste opzione

Andrea
23.02.2010, 17.59
Citazione Originariamente Scritto da torpado
durante un attacco puoi comunque aprire un ticket incidente e un tecnico inserisce la macchina sotto router protection.

Tra poco questa opzione sarà attivabile dal manager a discrezione dell'utente.
Mi riferivo a questo post per le novità

Andrea
08.01.2010, 23.57
Ci sono novità a riguardo?

MnEm0nIc
20.05.2009, 16.00
Citazione Originariamente Scritto da torpado
La soluzione nullroute è stata adottata da Ovh, in precedenza, ma nolti admin/root non sono stati d'accordo con l'utilizzo di questa opzione perchè non lascia loro il minimo controllo della macchina.

In risposta a questo malcontento è stata attivata l'opzione router protection.
ipoteticamente se uno ha piu' ip sulla macchina ed uno solo e' sotto attacco, mettendo l'ip attaccato in router protection dovrebbe riuscire ad usare la macchina senza problemi, giusto?
inoltre, dopo che il server e' stato messo sotto router protection, il traffico dell'attacco ddos viene calcolato?

ciao

camaran
20.05.2009, 14.32
router protection che sicuramente sarà una cosa comodissima se verrà messa, insieme ad un firewall, sul manager

torpado
20.05.2009, 14.08
Citazione Originariamente Scritto da MnEm0nIc
a questo punto perche' non mettere direttamente un nullroute sull'ip attaccato? solitamente quando non c'e' la risposta del server dopo un po' l'attaccante si scoccia perche' ha realizzato il suo piccolissimo ego.
La soluzione nullroute è stata adottata da Ovh, in precedenza, ma nolti admin/root non sono stati d'accordo con l'utilizzo di questa opzione perchè non lascia loro il minimo controllo della macchina.

In risposta a questo malcontento è stata attivata l'opzione router protection.

MnEm0nIc
20.05.2009, 12.52
Citazione Originariamente Scritto da torpado
Quando viene impostata la protezione router, tutti i pacchetti sono filtrati e si ha un sensibile rallentamento sulla comunicazione con la macchina, altissima percentuale di perdita di pacchetti.
a questo punto perche' non mettere direttamente un nullroute sull'ip attaccato? solitamente quando non c'e' la risposta del server dopo un po' l'attaccante si scoccia perche' ha realizzato il suo piccolissimo ego.
L'inserimento sotto router protection è automatico, ma a partire da un attacco che raggiunge gli 80mb/s di banda, perchè da quel momento può determinare problemi anche ai server presenti sotto lo stesso switch/baia.

Aprendo un ticket incidente è possibile che un tecnico prenda in considerazione il ticket più velocemente attivanfo la protezione prima del raggiungimento degli 80mb/s
ok, capito. grazie della spiegazione.

ciao

torpado
20.05.2009, 12.03
Citazione Originariamente Scritto da MnEm0nIc
cosa comporta aver la macchina sotto router protection? e soprattutto perche' non fermarli in automatico?
Quando viene impostata la protezione router, tutti i pacchetti sono filtrati e si ha un sensibile rallentamento sulla comunicazione con la macchina, altissima percentuale di perdita di pacchetti.

L'inserimento sotto router protection è automatico, ma a partire da un attacco che raggiunge gli 80mb/s di banda, perchè da quel momento può determinare problemi anche ai server presenti sotto lo stesso switch/baia.

Aprendo un ticket incidente è possibile che un tecnico prenda in considerazione il ticket più velocemente attivanfo la protezione prima del raggiungimento degli 80mb/s

MnEm0nIc
20.05.2009, 11.32
cosa comporta aver la macchina sotto router protection? e soprattutto perche' non fermarli in automatico?

torpado
19.05.2009, 17.19
Citazione Originariamente Scritto da itmisti
Voglio fermare il flusso di DDoS che cosa mi consiglia di utilizzare per essere buono , grazie
durante un attacco puoi comunque aprire un ticket incidente e un tecnico inserisce la macchina sotto router protection.

Tra poco questa opzione sarà attivabile dal manager a discrezione dell'utente.

constantin
19.05.2009, 17.05
Non c'è niente da fare.

itmisti
18.04.2009, 11.01
Voglio fermare il flusso di DDoS che cosa mi consiglia di utilizzare per essere buono , grazie

print screen
http://i39.tinypic.com/2ry39ko.jpg