[FUG-BR] PF + Tarpitting
Victor
victor_volpe em bol.com.br
Terça Novembro 18 10:24:56 BRST 2008
Olá Rodrigo,
Então... eu rodei o IIS em um VPS para testes e mandei fazer 2000 conexões
que é mais do que suficiente para floodar um apache e não fez nem cócegas.
Consumo de memória e CPU estáveis, respondeu a todas conexões e não ficou
lento e nem caiu. Testei com 4 e 8 mil conexões também com o mesmo
resultado.
Abraços.
--
Atenciosamente,
Victor Gustavo Volpe
Diretor Executivo
Grupo Total Serviços de Internet LTDA - ME
CNPJ: 08.776.401/0001-40
(17) 3227-0686 / 9105-5392
----- Original Message -----
From: "Rodrigo de Oliveira Gomes" <akada em uol.com.br>
To: ""Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)""
<freebsd em fug.com.br>
Sent: Tuesday, November 18, 2008 9:02 AM
Subject: Re: [FUG-BR] PF + Tarpitting
Victor,
Esse script *.pl tb funciona para IIS?
Obrigado,
Atenciosamente,
Rodrigo
Victor escreveu:
> Olá Renato,
>
> Desculpe mas acho que você não entendeu. O SPAM que eu me refiro é ao
> flood
> de conexões feito por um script em Perl que gera quantas conexões você
> quiser no alvo e consequentemente o apache para de responder,
> simplificando
> é um DDoS. Se quiser, pode mandar uma mensagem em particular que eu te
> explico melhor e se desejar efetuo o ataque em seu apache para você ver
> como
> funciona.
>
> Obrigado.
>
>
> --
> Atenciosamente,
> Victor Gustavo Volpe
> Diretor Executivo
> Grupo Total Serviços de Internet LTDA - ME
> CNPJ: 08.776.401/0001-40
> (17) 3227-0686 / 9105-5392
>
> ----- Original Message -----
> From: "renato martins" <renatobsd em gmail.com>
> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
> <freebsd em fug.com.br>
> Sent: Monday, November 17, 2008 10:35 AM
> Subject: Re: [FUG-BR] PF + Tarpitting
>
>
> Você está usando pf para proteger seu apache de spam ?
> apache é seu servidor de sites no máximo spammers podem coletar emails de
> seu site para envia para eles spam mas desta forma seu usuário receberia
> um
> caminhào de spam e não seria taxados como spammers.
>
> Se seus usuários está sendo marcos como spammers provavelmente eles sejão,
> até involuntariamente pois suas máquinas podem estar contaminadas com
> vírus,
> warms e outros ou estão mandando email marketing mesmo.
>
> quanto á isso você não vai resolver com pf nem ipfw a menos que você
> descubra os usuarios que estào fazendo isso e feche eles no firewall para
> que não usem servidores smtp externos e em alguns casos como contaminados
> por virus feche eles até para o seu smtp, O esquema de tarpit tb é muito
> util nesses casos.
>
> oriente seus usuários nào clicarem links em emails desconhecidos ou
> duvidoso
> , recomende o uso de ant-virus e ant-spyware
>
> 2008/11/16 Victor <victor_volpe em bol.com.br>
>
>
>> Olá Cristina,
>>
>> Agradeço sua resposta. Será que você teria tal regra para IPFW ?
>>
>> Obrigado.
>>
>>
>> --
>> Atenciosamente,
>> Victor Gustavo Volpe
>> Diretor Executivo
>> Grupo Total Serviços de Internet LTDA - ME
>> CNPJ: 08.776.401/0001-40
>> (17) 3227-0686 / 9105-5392
>>
>> ----- Original Message -----
>> From: "Cristina Fernandes Silva" <cristinafs.listas em gmail.com>
>> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
>> <freebsd em fug.com.br>
>> Sent: Saturday, November 15, 2008 11:14 PM
>> Subject: Re: [FUG-BR] PF + Tarpitting
>>
>>
>> Ja tentou usar o IPFW ??
>>
>> 2008/11/15 Victor <victor_volpe em bol.com.br>:
>>
>>> Olá amigos,
>>>
>>> Utilizo o PF do FreeBSD para proteger meu apache contra ataques de spam
>>> (httpd.pl). Estou no momento usando uma regra apresentada nos documentos
>>> oficiais do PF (http://www.openbsd.org/faq/pf/filter.html):
>>>
>>> table <abusive_hosts> persist
>>> block in quick from <abusive_hosts>
>>>
>>> pass in on $ext_if proto tcp to $web_server \
>>> port www flags S/SA keep state \
>>> (max-src-conn 100, max-src-conn-rate 15/5, overload <abusive_hosts>
>>> flush)
>>>
>>> Porém vários usuários estão sendo taxados como spammers indevidamente.
>>> Vi
>>> no
>>> man page do PF que é possível fazer um tarpit para os overloads, o que
>>> seria
>>> mais interessante do que adcionar os IP's em uma black list definitiva.
>>> Não
>>> sei que software pode ser utilizado para fazer este tarpit ou mesmo como
>>> redirecionar a table para ele. Não consegui nada no Google, apenas
>>> tarpitting de SMTP. Será que alguém poderia me dar uma luz ? Só para
>>> constar, quando eu usava Linux, utilizava a seguinte regra no iptables e
>>> funcionava perfeitamente:
>>>
>>> /sbin/iptables -A INPUT -p tcp --dport 80 -m state --state NEW -m
>>> recent --set --name ANTISPAM -j ACCEPT
>>> /sbin/iptables -A INPUT -p tcp --dport 80 -m recent --update --seconds
>>> 5 --hitcount 15 --name ANTISPAM -j DROP
>>>
>>> Obrigado.
>>>
>>> --
>>> Atenciosamente,
>>> Victor Gustavo Volpe
>>> Diretor Executivo
>>> Grupo Total Serviços de Internet LTDA - ME
>>> CNPJ: 08.776.401/0001-40
>>> (17) 3227-0686 / 9105-5392
>>>
>>> -------------------------
>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>
>>>
>> -------------------------
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
>> __________ NOD32 3615 (20081115) Information __________
>>
>> This message was checked by NOD32 antivirus system.
>> http://www.eset.com
>>
>>
>> -------------------------
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
>>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
> __________ NOD32 3618 (20081117) Information __________
>
> This message was checked by NOD32 antivirus system.
> http://www.eset.com
>
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
>
>
-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
__________ NOD32 3620 (20081118) Information __________
This message was checked by NOD32 antivirus system.
http://www.eset.com
Mais detalhes sobre a lista de discussão freebsd