[FUG-BR] RES: Evitando DoS com limite de conexões

[Eduardo Schoedler]

Joao Paulo Just escreveu:
> 
> Olá, lista.
> 
> Ultimamente tenho sido vítima de DoS no meu Apache. Várias conexões
> simultâneas do mesmo IP esgotavam os recursos do Apache. A solução
> imediata era bloquear o IP no IPFW, mas alguns dias depois, o atacante
> vinha com outro IP.
> 
> Tentei fazer algo pelo httpd.conf, alterando configurações de time-out
> e keepalive, mas não adiantou. Até que eu decidi limitar o número de
> conexões entrantes com essa regra no IPFW:
> 
> $cmd add pass tcp from any to me 80 via $pif setup limit src-addr 10
> 
> Assim, apenas 10 conexões de um mesmo IP poderão ser feitas na porta
> 80. Fiz isso hoje e vou aguardar pra ver se o DoS acontece de novo.
> 
> O que vocês acham disso? Recomendam ou des-recomendam?


Você trabalha com bgp ?
Coloque o ip do "meliante" em blackhole e seja feliz !
Não tem solução melhor, pois o ataque é bloqueado no seu upstream (que tem
BEM mais recursos de hardware e link que a gente).

Se você fizer no seu firewall, o atacante continuará consumindo seu link até
que seja bloqueado na sua rede.
Sem falar que ainda pode derrubar o firewall e cair toda sua rede.


Sds,

--
Eduardo Schoedler