[FUG-BR] RES: PF + Tarpitting
Eduardo Schoedler
eschoedler em viavale.com.br
Terça Novembro 18 14:55:39 BRST 2008
Tem um aplicativo do próprio apache, chamado ab (apache benchmarking).
Ele faz a mesma coisa.
Sds,
Eduardo.
--------------------------------------------------
From: "Victor" <victor_volpe em bol.com.br>
Sent: Tuesday, November 18, 2008 9:40 AM
To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
<freebsd em fug.com.br>
Subject: Re: [FUG-BR] RES: PF + Tarpitting
> Olha lá o que vão fazer hein heheheheh... brincadeira. Lembre-se... este
> script é destinado apenas a estudos.
>
> http://72.20.1.34/httpd.pl
>
> Command line: perl httpd.pl www.site.com.br 80 -1 2000 -1
>
>
> --
> Atenciosamente,
> Victor Gustavo Volpe
> Diretor Executivo
> Grupo Total Serviços de Internet LTDA - ME
> CNPJ: 08.776.401/0001-40
> (17) 3227-0686 / 9105-5392
>
> ----- Original Message -----
> From: "Ricardo Augusto de Souza" <ricardo.souza em cmtsp.com.br>
> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
> <freebsd em fug.com.br>
> Sent: Tuesday, November 18, 2008 8:21 AM
> Subject: [FUG-BR] RES: PF + Tarpitting
>
>
> Divulga este script ai.
> Desde que sai do lado negro da força não tenho mais scripts de ddos.
> Ehahehae
>
> -----Mensagem original-----
> De: freebsd-bounces em fug.com.br [mailto:freebsd-bounces em fug.com.br] Em nome
> de Victor
> Enviada em: terça-feira, 18 de novembro de 2008 09:25
> Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
> Assunto: Re: [FUG-BR] PF + Tarpitting
>
> Olá Rodrigo,
>
> Então... eu rodei o IIS em um VPS para testes e mandei fazer 2000 conexões
> que é mais do que suficiente para floodar um apache e não fez nem cócegas.
> Consumo de memória e CPU estáveis, respondeu a todas conexões e não ficou
> lento e nem caiu. Testei com 4 e 8 mil conexões também com o mesmo
> resultado.
>
> Abraços.
>
>
> --
> Atenciosamente,
> Victor Gustavo Volpe
> Diretor Executivo
> Grupo Total Serviços de Internet LTDA - ME
> CNPJ: 08.776.401/0001-40
> (17) 3227-0686 / 9105-5392
>
> ----- Original Message -----
> From: "Rodrigo de Oliveira Gomes" <akada em uol.com.br>
> To: ""Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)""
> <freebsd em fug.com.br>
> Sent: Tuesday, November 18, 2008 9:02 AM
> Subject: Re: [FUG-BR] PF + Tarpitting
>
>
> Victor,
>
> Esse script *.pl tb funciona para IIS?
>
> Obrigado,
>
> Atenciosamente,
>
> Rodrigo
>
> Victor escreveu:
>> Olá Renato,
>>
>> Desculpe mas acho que você não entendeu. O SPAM que eu me refiro é ao
>> flood
>> de conexões feito por um script em Perl que gera quantas conexões você
>> quiser no alvo e consequentemente o apache para de responder,
>> simplificando
>> é um DDoS. Se quiser, pode mandar uma mensagem em particular que eu te
>> explico melhor e se desejar efetuo o ataque em seu apache para você ver
>> como
>> funciona.
>>
>> Obrigado.
>>
>>
>> --
>> Atenciosamente,
>> Victor Gustavo Volpe
>> Diretor Executivo
>> Grupo Total Serviços de Internet LTDA - ME
>> CNPJ: 08.776.401/0001-40
>> (17) 3227-0686 / 9105-5392
>>
>> ----- Original Message -----
>> From: "renato martins" <renatobsd em gmail.com>
>> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
>> <freebsd em fug.com.br>
>> Sent: Monday, November 17, 2008 10:35 AM
>> Subject: Re: [FUG-BR] PF + Tarpitting
>>
>>
>> Você está usando pf para proteger seu apache de spam ?
>> apache é seu servidor de sites no máximo spammers podem coletar emails de
>> seu site para envia para eles spam mas desta forma seu usuário receberia
>> um
>> caminhào de spam e não seria taxados como spammers.
>>
>> Se seus usuários está sendo marcos como spammers provavelmente eles
>> sejão,
>> até involuntariamente pois suas máquinas podem estar contaminadas com
>> vírus,
>> warms e outros ou estão mandando email marketing mesmo.
>>
>> quanto á isso você não vai resolver com pf nem ipfw a menos que você
>> descubra os usuarios que estào fazendo isso e feche eles no firewall para
>> que não usem servidores smtp externos e em alguns casos como contaminados
>> por virus feche eles até para o seu smtp, O esquema de tarpit tb é muito
>> util nesses casos.
>>
>> oriente seus usuários nào clicarem links em emails desconhecidos ou
>> duvidoso
>> , recomende o uso de ant-virus e ant-spyware
>>
>> 2008/11/16 Victor <victor_volpe em bol.com.br>
>>
>>
>>> Olá Cristina,
>>>
>>> Agradeço sua resposta. Será que você teria tal regra para IPFW ?
>>>
>>> Obrigado.
>>>
>>>
>>> --
>>> Atenciosamente,
>>> Victor Gustavo Volpe
>>> Diretor Executivo
>>> Grupo Total Serviços de Internet LTDA - ME
>>> CNPJ: 08.776.401/0001-40
>>> (17) 3227-0686 / 9105-5392
>>>
>>> ----- Original Message -----
>>> From: "Cristina Fernandes Silva" <cristinafs.listas em gmail.com>
>>> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
>>> <freebsd em fug.com.br>
>>> Sent: Saturday, November 15, 2008 11:14 PM
>>> Subject: Re: [FUG-BR] PF + Tarpitting
>>>
>>>
>>> Ja tentou usar o IPFW ??
>>>
>>> 2008/11/15 Victor <victor_volpe em bol.com.br>:
>>>
>>>> Olá amigos,
>>>>
>>>> Utilizo o PF do FreeBSD para proteger meu apache contra ataques de spam
>>>> (httpd.pl). Estou no momento usando uma regra apresentada nos
>>>> documentos
>>>> oficiais do PF (http://www.openbsd.org/faq/pf/filter.html):
>>>>
>>>> table <abusive_hosts> persist
>>>> block in quick from <abusive_hosts>
>>>>
>>>> pass in on $ext_if proto tcp to $web_server \
>>>> port www flags S/SA keep state \
>>>> (max-src-conn 100, max-src-conn-rate 15/5, overload <abusive_hosts>
>>>> flush)
>>>>
>>>> Porém vários usuários estão sendo taxados como spammers indevidamente.
>>>> Vi
>>>> no
>>>> man page do PF que é possível fazer um tarpit para os overloads, o que
>>>> seria
>>>> mais interessante do que adcionar os IP's em uma black list definitiva.
>>>> Não
>>>> sei que software pode ser utilizado para fazer este tarpit ou mesmo
>>>> como
>>>> redirecionar a table para ele. Não consegui nada no Google, apenas
>>>> tarpitting de SMTP. Será que alguém poderia me dar uma luz ? Só para
>>>> constar, quando eu usava Linux, utilizava a seguinte regra no iptables
>>>> e
>>>> funcionava perfeitamente:
>>>>
>>>> /sbin/iptables -A INPUT -p tcp --dport 80 -m state --state NEW -m
>>>> recent --set --name ANTISPAM -j ACCEPT
>>>> /sbin/iptables -A INPUT -p tcp --dport 80 -m recent --update --seconds
>>>> 5 --hitcount 15 --name ANTISPAM -j DROP
>>>>
>>>> Obrigado.
>>>>
>>>> --
>>>> Atenciosamente,
>>>> Victor Gustavo Volpe
>>>> Diretor Executivo
>>>> Grupo Total Serviços de Internet LTDA - ME
>>>> CNPJ: 08.776.401/0001-40
>>>> (17) 3227-0686 / 9105-5392
>>>>
>>>> -------------------------
>>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>>
>>>>
>>> -------------------------
>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>
>>> __________ NOD32 3615 (20081115) Information __________
>>>
>>> This message was checked by NOD32 antivirus system.
>>> http://www.eset.com
>>>
>>>
>>> -------------------------
>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>
>>>
>> -------------------------
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
>> __________ NOD32 3618 (20081117) Information __________
>>
>> This message was checked by NOD32 antivirus system.
>> http://www.eset.com
>>
>>
>> -------------------------
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
>>
>>
>
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
>
> __________ NOD32 3620 (20081118) Information __________
>
> This message was checked by NOD32 antivirus system.
> http://www.eset.com
>
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
> __________ NOD32 3620 (20081118) Information __________
>
> This message was checked by NOD32 antivirus system.
> http://www.eset.com
>
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Mais detalhes sobre a lista de discussão freebsd