[FUG-BR] ***SPAM*** Re: Traduzir regra do TCPDUMP para o IPFW

[Marco Aurélio V. da Silva]

Caro Marcelo,

Eu consegui bloquear o ataque com a seguinte regra:
/sbin/ipfw add 150 deny log udp from any to any src-ip 111.111.111.111 not 
src-port 53 not dst-port 53 not dst-ip 222.222.222.222 via re0
e ta funcionando legal.

Os fragmentos de um dos ataques coletados pelo tcpdump segue abaixo:
IP (tos 0x0, ttl 64, id 54066, offset 0, flags [none], proto UDP (17), 
length 29, bad cksum 0 (->12a0)!) 111.111.111.111.50222 > 
91.204.161.226.55624: [bad     udp cksum 4e08!] UDP, length 1
IP (tos 0x0, ttl 64, id 54067, offset 0, flags [none], proto UDP (17), 
length 29, bad cksum 0 (->129f)!) 111.111.111.111.50222 > 
91.204.161.226.55624: [bad     udp cksum 4e08!] UDP, length 1
IP (tos 0x0, ttl 64, id 54068, offset 0, flags [none], proto UDP (17), 
length 29, bad cksum 0 (->129e)!) 111.111.111.111.50222 > 
91.204.161.226.55624: [bad     udp cksum 4e08!] UDP, length 1
IP (tos 0x0, ttl 64, id 54069, offset 0, flags [none], proto UDP (17), 
length 29, bad cksum 0 (->129d)!) 111.111.111.111.50222 > 
91.204.161.226.55624: [bad     udp cksum 4e08!] UDP, length 1
IP (tos 0x0, ttl 64, id 54070, offset 0, flags [none], proto UDP (17), 
length 29, bad cksum 0 (->129c)!) 111.111.111.111.50222 > 
91.204.161.226.55624: [bad     udp cksum 4e08!] UDP, length 1

Com a regra funcionando estou logando tb as tentativas de ataque, segue 
fragmentos do log do ipfw.
Apr  4 10:01:09 ns1 kernel: ipfw: 150 Deny UDP 111.111.111.111:51541 
94.125.182.234:39863 out via re0
Apr  4 10:01:09 ns1 kernel: ipfw: 150 Deny UDP 111.111.111.111:51078 
94.125.182.234:21345 out via re0
Apr  4 10:01:09 ns1 kernel: ipfw: 150 Deny UDP 111.111.111.111:49361 
94.125.182.234:63380 out via re0
Apr  4 10:01:09 ns1 kernel: ipfw: 150 Deny UDP 111.111.111.111:52813 
94.125.182.234:52468 out via re0
Apr  4 10:01:09 ns1 kernel: ipfw: 150 Deny UDP 111.111.111.111:63571 
94.125.182.234:27017 out via re0
Apr  4 10:01:09 ns1 kernel: ipfw: 150 Deny UDP 111.111.111.111:63269 
94.125.182.234:24971 out via re0
Apr  4 10:01:09 ns1 kernel: ipfw: 150 Deny UDP 111.111.111.111:62786 
94.125.182.234:34251 out via re0

As  tentativas de ataque continuam, mas estaum parando todas na regra acima. 
Se alguém tiver alguma sugestão para melhorar a regra.

Desde já agradeço a atenção recebida.

Marco Aurélio V. da Silva
marco at prodatanet.com.br
marcoprodata at gmail.com
msn: marco at prodatanet.com.br
Prodata Inf. e Cadastros LTDA
(33) 3322-4444
-----Mensagem Original----- 
From: Marcelo Gondim
Sent: Wednesday, April 04, 2012 4:29 PM
To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
Subject: ***SPAM*** Re: [FUG-BR] Traduzir regra do TCPDUMP para o IPFW

Em 04/04/2012 12:31, trober at trober.com escreveu:
>> Caros,
>>
>> Como seria a tradução desta escuta do tcpdump para uma regra do ipfw para
>> travar este mesmo trafego ?
>>
>> tcpdump -i re0 -n -q -vvv udp and src 111.111.111.111 and not port 53 and
>> not dst 222.222.222.222
>>
>> Desde já agradeço a atenção recebida.
>>
>> Marco Aurélio V. da Silva

Me parece que você está tentando bloquear um ataque e coletou o ataque
com as regras filtradas acima. Ao invés de tentar fazer uma regra
baseada no filtro acima, poste pra gente o resultado que foi o ataque
para que a gente lhe mostre uma regra adequada ao ataque e não ao
filtro.  ;) Pode mascarar seu IP público.

> [SNIP]
> Boa tarde.
>
> Você aplicou três operadores lógicos "AND", ou seja, tudo precisa ser
> verdadeiro, logo, a porta de origem e destino não podem ser 53, em ambos
> os hosts. Procede?
>
> Se sim, sua regra de bloqueio fica assim:
>
> ipfw add deny udp from 111.111.111.111 not domain to not 222.222.222.222
> not domain
>
> Essa é a regra que atende "ipsis litteris" o que seu TCPDUMP está
> capturando. Entretanto, "ipsis verbis", é isso mesmo que você precisa? Se
> fosse um diálogo entre dois humanos, como você pediria a contraparte para
> bloquear?
>
> Pressupondo que você deseja que o host 111.111.111.11 somente trafegue UDP
> se for requisição DNS para o servidor 222.222.222.222, negando todo o
> tráfego UDP restante, então a regra fica diferente, sendo:
>
> #Negar todo o tráfego UDP originado em 111.111.111.111, exceto requisições
> DNS para 222.222.222.222
> ipfw add deny udp from 111.111.111.111 to not 222.222.222.222 not domain
>
> Espero ter ajudado.
>
> Saudações,
>
> Trober
> -
> -
> -
> -
> -
>
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>

-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd