[FUG-BR] PF + Tarpitting

Rodrigo de Oliveira Gomes akada em uol.com.br
Terça Novembro 18 10:20:54 BRST 2008


Victor,

    Gostaria de testar esse script... vc poderia enviar para lista ou pvt?

OBrigado,

Atenciosamente,

Rodrigo Gomes


Victor escreveu:
> Olá Rodrigo,
>
> Então... eu rodei o IIS em um VPS para testes e mandei fazer 2000 conexões 
> que é mais do que suficiente para floodar um apache e não fez nem cócegas. 
> Consumo de memória e CPU estáveis, respondeu a todas conexões e não ficou 
> lento e nem caiu. Testei com 4 e 8 mil conexões também com o mesmo 
> resultado.
>
> Abraços.
>
>
> --
> Atenciosamente,
> Victor Gustavo Volpe
> Diretor Executivo
> Grupo Total Serviços de Internet LTDA - ME
> CNPJ: 08.776.401/0001-40
> (17) 3227-0686 / 9105-5392
>
> ----- Original Message ----- 
> From: "Rodrigo de Oliveira Gomes" <akada em uol.com.br>
> To: ""Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"" 
> <freebsd em fug.com.br>
> Sent: Tuesday, November 18, 2008 9:02 AM
> Subject: Re: [FUG-BR] PF + Tarpitting
>
>
> Victor,
>
>     Esse script *.pl tb funciona para IIS?
>
> Obrigado,
>
> Atenciosamente,
>
> Rodrigo
>
> Victor escreveu:
>   
>> Olá Renato,
>>
>> Desculpe mas acho que você não entendeu. O SPAM que eu me refiro é ao 
>> flood
>> de conexões feito por um script em Perl que gera quantas conexões você
>> quiser no alvo e consequentemente o apache para de responder, 
>> simplificando
>> é um DDoS. Se quiser, pode mandar uma mensagem em particular que eu te
>> explico melhor e se desejar efetuo o ataque em seu apache para você ver 
>> como
>> funciona.
>>
>> Obrigado.
>>
>>
>> --
>> Atenciosamente,
>> Victor Gustavo Volpe
>> Diretor Executivo
>> Grupo Total Serviços de Internet LTDA - ME
>> CNPJ: 08.776.401/0001-40
>> (17) 3227-0686 / 9105-5392
>>
>> ----- Original Message ----- 
>> From: "renato martins" <renatobsd em gmail.com>
>> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
>> <freebsd em fug.com.br>
>> Sent: Monday, November 17, 2008 10:35 AM
>> Subject: Re: [FUG-BR] PF + Tarpitting
>>
>>
>> Você está usando pf para proteger seu apache de spam ?
>> apache é seu servidor de sites no máximo spammers podem coletar emails de
>> seu site para envia para eles spam mas desta forma seu usuário receberia 
>> um
>> caminhào de spam e não seria taxados como spammers.
>>
>> Se seus usuários está sendo marcos como spammers provavelmente eles sejão,
>> até involuntariamente pois suas máquinas podem estar contaminadas com 
>> vírus,
>> warms e outros ou estão mandando email marketing mesmo.
>>
>>  quanto á isso você não vai resolver com pf nem ipfw a menos que você
>> descubra os usuarios que estào fazendo isso e feche eles no firewall para
>> que não usem servidores smtp externos e em alguns casos como contaminados
>> por virus feche eles até para o seu smtp, O esquema de tarpit tb é muito
>> util nesses casos.
>>
>> oriente seus usuários nào clicarem links em emails desconhecidos ou 
>> duvidoso
>> , recomende o uso de ant-virus e ant-spyware
>>
>> 2008/11/16 Victor <victor_volpe em bol.com.br>
>>
>>
>>     
>>> Olá Cristina,
>>>
>>> Agradeço sua resposta. Será que você teria tal regra para IPFW ?
>>>
>>> Obrigado.
>>>
>>>
>>> --
>>> Atenciosamente,
>>> Victor Gustavo Volpe
>>> Diretor Executivo
>>> Grupo Total Serviços de Internet LTDA - ME
>>> CNPJ: 08.776.401/0001-40
>>> (17) 3227-0686 / 9105-5392
>>>
>>> ----- Original Message -----
>>> From: "Cristina Fernandes Silva" <cristinafs.listas em gmail.com>
>>> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
>>> <freebsd em fug.com.br>
>>> Sent: Saturday, November 15, 2008 11:14 PM
>>> Subject: Re: [FUG-BR] PF + Tarpitting
>>>
>>>
>>> Ja tentou usar o IPFW ??
>>>
>>> 2008/11/15 Victor <victor_volpe em bol.com.br>:
>>>
>>>       
>>>> Olá amigos,
>>>>
>>>> Utilizo o PF do FreeBSD para proteger meu apache contra ataques de spam
>>>> (httpd.pl). Estou no momento usando uma regra apresentada nos documentos
>>>> oficiais do PF (http://www.openbsd.org/faq/pf/filter.html):
>>>>
>>>> table <abusive_hosts> persist
>>>> block in quick from <abusive_hosts>
>>>>
>>>> pass in on $ext_if proto tcp to $web_server \
>>>>    port www flags S/SA keep state \
>>>>    (max-src-conn 100, max-src-conn-rate 15/5, overload <abusive_hosts>
>>>> flush)
>>>>
>>>> Porém vários usuários estão sendo taxados como spammers indevidamente.
>>>> Vi
>>>> no
>>>> man page do PF que é possível fazer um tarpit para os overloads, o que
>>>> seria
>>>> mais interessante do que adcionar os IP's em uma black list definitiva.
>>>> Não
>>>> sei que software pode ser utilizado para fazer este tarpit ou mesmo como
>>>> redirecionar a table para ele. Não consegui nada no Google, apenas
>>>> tarpitting de SMTP. Será que alguém poderia me dar uma luz ? Só para
>>>> constar, quando eu usava Linux, utilizava a seguinte regra no iptables e
>>>> funcionava perfeitamente:
>>>>
>>>> /sbin/iptables -A INPUT -p tcp --dport 80 -m state --state NEW -m
>>>> recent --set --name ANTISPAM -j ACCEPT
>>>> /sbin/iptables -A INPUT -p tcp --dport 80 -m recent --update --seconds
>>>> 5 --hitcount 15 --name ANTISPAM -j DROP
>>>>
>>>> Obrigado.
>>>>
>>>> --
>>>> Atenciosamente,
>>>> Victor Gustavo Volpe
>>>> Diretor Executivo
>>>> Grupo Total Serviços de Internet LTDA - ME
>>>> CNPJ: 08.776.401/0001-40
>>>> (17) 3227-0686 / 9105-5392
>>>>
>>>> -------------------------
>>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>>
>>>>
>>>>         
>>> -------------------------
>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>
>>> __________ NOD32 3615 (20081115) Information __________
>>>
>>> This message was checked by NOD32 antivirus system.
>>> http://www.eset.com
>>>
>>>
>>> -------------------------
>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>
>>>
>>>       
>> -------------------------
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
>> __________ NOD32 3618 (20081117) Information __________
>>
>> This message was checked by NOD32 antivirus system.
>> http://www.eset.com
>>
>>
>> -------------------------
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
>>
>>
>>     
>
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
>
> __________ NOD32 3620 (20081118) Information __________
>
> This message was checked by NOD32 antivirus system.
> http://www.eset.com
>
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
>
>   




Mais detalhes sobre a lista de discussão freebsd