Ir para conteúdo

POWERED BY:

Arquivado

Este tópico foi arquivado e está fechado para novas respostas.

falcao544

Ataque DDoS, como parar?

Recommended Posts

Ola pessoal, hoje o site de um amigo sofreu um ataque DDoS! O site ficou extremamente lento, a quantidade de bytes transferidos subiu muito e tinha um ip que tinha muitos registros de acesso ao site! Entao eu gostaria de saber se tem como parar um ataque DDoS! Eu dei uma pesquisada no google, mas como nao entendo muito desse assunto, nao entendi muito bem o que fazer! Pesquisei aqui no forum e tambem nao achei, entao, o que posso fazer quando isso acontecer denovo?

Compartilhar este post


Link para o post
Compartilhar em outros sites

Bloquear o IP da fonte de ataque é a solução mais rápida.

Isto pode ser feito via firewall, htaccess ou código.

 

Pode usar mecanismos mais sofisticados para detectar e bloquear quando necessário.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Entao, ele usa o cPanel, eu ate bloquiei o Ip usando uma ferramenta do cPanel, mas nao adiantou, ou leva um certo tempo para funcionar? Quanto ao htaccess, teria como voce me dar um exemplo? E esse codigo seria em que linguagem? PHP mesmo?

 

Obrigado!

Compartilhar este post


Link para o post
Compartilhar em outros sites

olha ja derrubei muita conexao assim a forma mais facil e bloqueando o ip q esta pacotando seu site, mais se ele estiver usando uma ferramenta avançada estara usando ips dimanicos gerados pelo programa. entao usa o programa iptables e configura para bloquear os ips q estao te enviando x de pacotes. qualquer coisa add no msn. pow3rdoido@live.com. espero ter ajudado.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Ao bloquear um IP, pode estar bloqueando um "inocente".

 

Mas como ?

 

Suponha que um "expert" queira fazer "denial service" no seu site com intuito de forçá-lo a bloquear um determinado IP ou mesmo um range de um endereço.

 

O sujeito invade uma rede pública, um hot-spot onde dezenas de milhares de pessoas usam todos os dias, por exemplo, e usa o IP desse ponto para fazer o ataque.

Você detecta e bloqueia o IP.

Mas o que vai acontecer?

Quem tentar acessar o site usando a conexão daquele hot-spot não conseguirá acessar de forma legítima.. Ou seja, você perde acesso de dezenas de milhares de usuários.

Há esse tipo de problema e não é raro. Por isso é considerado radical bloquear o IP por completo.

A forma menos drástica é usar algum firewall ou software específico para detectar conexões fora do comum e bloqueá-los por algumas horas ou alguns dias, por exemplo.

 

No Apache há um módulo chamado mod_evasive, mas está disponível somente para ambientes *nix.

 

Como mencionaram, há diversos softwares que fazem isso. Basicamente procure por firewalls e softawres contra DDoS.

 

Se o caso persistir abra uma ocorrência numa delegacia de crimes digitais.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Hinom, obrigado pela sua atencao! Bom, o meu amigo eh de portugal, por tanto o servidor esta la! O cara que fez o DDoS nao eh tao bom assim pra invadir um hot spot, eu falo isso porque esse meu amigo sabe quem eh o sujeito e o conhece sufucientemente bem pra saber que ele nao sabe fazer isso! Eu sei que bloquear o IP foi algo meio drastico sim, alias, um ato de desespero, devido a minha falta de conhecimento!

 

*nix seria unix? Se for, sim o servidor esta em um servidor linux! Teria como me passar um link para um tutorial de como usar o mod_evasive? Orbigado!

Compartilhar este post


Link para o post
Compartilhar em outros sites

sim, quando ver escrito *nix, quer dizer "ambientes unix ou linux"

 

o mod_evasive é bem antigo.

o que utilizo, modificamos manualmente para suprir necessidades e poder usar em sistemas específicos. Infelizmente não posso distribuir.

 

Para instalar a versão open-source, veja o artigo:

http://www.topwebhosts.org/articles/mod_evasive.php

 

 

Site do desenvolvedor:

http://www.zdziarski.com/blog/?page_id=442

 

RPMs não oficiais:

http://checksuite.sourceforge.net/dl/

Compartilhar este post


Link para o post
Compartilhar em outros sites

Hinom, muito obrigado pela atenção! So uma pergunta, pelo o que li, o mod_evasive não é nativo do Apache, é isso? É uma modificação? Meio que um plug-in? E essas modificações que você faz, são muito complexas?

 

 

Obrigado!

 

 

 

Eeu vi nesse tutorial que está disponivel apenas nas versoes 1.3.x e 2.0.x, sera que funciona na 2.2.21? Obrigado!

Compartilhar este post


Link para o post
Compartilhar em outros sites

Sim, o mod_evasive é um módulo terceiro, ou seja, não é oficial do Apache.

Quanto a compatibilidade, funciona sim no 2.2.x, porém, necessita de alguns ajustes. Mas a versão que está disponível no site original até funciona no apache atual, porém apresentará alguns bugs.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Sim, o mod_evasive é um módulo terceiro, ou seja, não é oficial do Apache.

Quanto a compatibilidade, funciona sim no 2.2.x, porém, necessita de alguns ajustes. Mas a versão que está disponível no site original até funciona no apache atual, porém apresentará alguns bugs.

 

Que ajustes saoe sse? Pelo que li, nao da pra usar em hospedagem compartilhada corrreto? Eu teria que ter um servidor dedicado ou algo do tipo certo? Esses bugs podem fazer com que o mod_evasive nao cumpra a funcao pra qual foi feito?

 

Obrigado!

Compartilhar este post


Link para o post
Compartilhar em outros sites

pequenos ajustes de compatibilidade para apache "thread-safe" sob ambiente windows server 2003 e 2008.. estava dando alguns problemas dando crash no apache usando a versão original do módulo quando recebia ataques.. que no final das contas dava no mesmo que deixar sem proteção...

Mas já faz um tempinho.. foi em 2009 e está rodando até hoje.

 

Quanto a instalação, sim, precisa ter permissões de acesso ao server para instalar..

recomendo avaliar o uso de vps ou cloud onde os custos são menores do que um server dedicado e dependendo do caso os recursos e performance são até melhores..

 

Se não tiver como sair do shared-server, veja com o admnistrador da hospedagem se possuem firewall e relate o que necessita.

 

mas esteja ciente de que um DDoS pode atacar os IPs do provedor ou as máquinas da rota. Nesses casos, como nem chega a encostar no seu server, então não fará diferença alguma ter firewall, plugin, módulos ou seja o que for.. quem deve estar protegido são os servidores que provêem a rota ao server.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Boa noite,

se você usa o cpanel em seu servidor instale o configserver firewall e use ele no nivel alto durante um dias ele da conta do recado para instalar :

 

Installation

============

Installation is quite straightforward:

 

rm -fv csf.tgz

wget http://www.configserver.com/free/csf.tgz

tar -xzf csf.tgz

cd csf

sh install.sh

 

Depois de instalado acesse o whm na opção plugins e faça as configurações.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Olá,

 

Mim ajuda!

 

Você pode estar verificando nos logs da Firewall.

 

Ahhh, já que o tópico (pertinente) foi ressuscitado, eu ainda estou para ver algúm mecanismo, seja HW ou SW conter um ataque de negação distribuído.

Se não for pelo servidor, a falta de responsa fica por conta dos roteadores.

 

[ ]'s

Compartilhar este post


Link para o post
Compartilhar em outros sites

×

Informação importante

Ao usar o fórum, você concorda com nossos Termos e condições.