Re: [FUGSPBR] prevenção de ataques DOS .

Alfredo Tomio Junior atomio em sodisa.com.br
Qui Dez 4 12:01:26 BRST 2003 

Pessoal,

Este email é do dia 22, mas me chamou a atenção, pelo assunto
abordado, e gostaria de compartilhar de algumas idéias.

Sempre fui muito preocupado em segurança, procurando sempre
configurar os servidores que eu faço não somente para filtrar pacotes,
mas utilizando o sysctl para alterar a capacidade de buffers e outros
aspectos do sistema como sockets, por exemplo.

No entanto há alguns dias atrás tive o 'privilégio' de ser atacado.
Possuo um link de 2 Mbits ligado a um roteador CISCO e um
FreeBSD fazendo filtragem e controle de banda dos clientes ligados
a este enlace.

O ataque a um dos IP da minha classe foi tão fulminante que os
2 Mbits foram ocupados somente para os pedidos de conexão
que vinham de centenas de IPs aleatórios (DDOS), e o upload
foi a zero, mesmo com configurações via sysctl para diminuir o
tempo de cache de rotas, aumentar sockets; a unica alternativa
que tive enquanto o pessoal da conecessionária do meu link de
Internet fazia o bloqueio nos roteadores deles, foi desligar minha
maquina.

Após o bloqueio por parte da concessionária do link de Internet,
tudo voltou ao normal. Mas o IP ficou inutilizável.

Do que me adiantou a configuração para deixar a maquina
super segura, com buffers e sockets alterados e etc ?

Que tipo de segurança eu poderia exigir da concessionária de link ?
Me disseram que a Embratel tem esse tipo de segurança sem que
bloqueie este IP totalmente.

Exemplo das algumas configurações setadas na maquina:

loader.conf

kern.maxusers=512
kern.ipc.nmbclusters=32768
kern.ipc.nmbufs=32768
kern.ipc.maxsockets=32768

/etc/sysctl.conf

kern.maxfiles=32768
kern.maxfilesperproc=32768
kern.ipc.somaxconn=1024
net.inet.ip.rtexpire=2
net.inet.ip.rtminexpire=2

Atenciosamente,

Alfredo Tomio Junior

----- Original Message ----- 
From: "Márcio Luciano Donada" <marcio em sl.unochapeco.rct-sc.br>
To: <fugspbr em fugspbr.org>
Sent: Saturday, November 22, 2003 5:18 PM
Subject: Re: [FUGSPBR] prevenção de ataques DOS .


: Dá uma olhada no options  ICMP_BANDLIM  e também veja
: no /etc/default/rc.conf
: icmp_drop_redirect="YES"
: icmp_log_redirect="YES"
:
: T+
: Márcio
:
: > Alguém pode me indicar algumas precausões que possam ajudar contra
: > ataques DOS ?
: >
: > valeu
: >
: > -----
: > Fernando Dalmarco
: > fvd em rla12.pucpr.br
: >
: > _______________________________________________________________
: > Sair da Lista: http://lists.fugspbr.org/listinfo.cgi
: > Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
: >
:
: _______________________________________________________________
: Sair da Lista: http://lists.fugspbr.org/listinfo.cgi
: Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
:

_______________________________________________________________
Sair da Lista: http://lists.fugspbr.org/listinfo.cgi
Historico: http://www4.fugspbr.org/lista/html/FUG-BR/

Mais detalhes sobre a lista de discussão freebsd