Resultados 1 a 4 de 4
  1. #1
    Aspirante a Evangelist
    Data de Ingresso
    Nov 2010
    Localização
    São Paulo
    Posts
    386

    Proteção básica DDos

    Pessoal vou pastar aqui algumas regras adicionais usadas aqui para ajudar a combater um ataque DDos (Proteção básica)

    ### SSH ataque de força bruta ###
    /sbin/iptables -A INPUT -p tcp --dport ssh -m conntrack --ctstate NEW -m recent --set
    /sbin/iptables -A INPUT -p tcp --dport ssh -m conntrack --ctstate NEW -m recent --update --seconds 60 --hitcount 10 -j DROP

    ### scanner de portas ###
    /sbin/iptables -N port-scanning
    /sbin/iptables -A port-scanning -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s --limit-burst 2 -j RETURN
    /sbin/iptables -A port-scanning -j DROP

    ================================================== ================================================== ===========
    ###bogus TCP flags ###
    /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
    /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
    /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
    /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
    /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags FIN,RST FIN,RST -j DROP
    /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags FIN,ACK FIN -j DROP
    /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags ACK,URG URG -j DROP
    /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags ACK,FIN FIN -j DROP
    /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags ACK,PSH PSH -j DROP
    /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags ALL ALL -j DROP
    /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags ALL NONE -j DROP
    /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags ALL FIN,PSH,URG -j DROP
    /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags ALL SYN,FIN,PSH,URG -j DROP
    /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP

    ================================================== ================================================== =============

    ### spoofed pacotes ###
    /sbin/iptables -t mangle -A PREROUTING -s 224.0.0.0/3 -j DROP
    /sbin/iptables -t mangle -A PREROUTING -s 169.254.0.0/16 -j DROP
    /sbin/iptables -t mangle -A PREROUTING -s 172.16.0.0/12 -j DROP
    /sbin/iptables -t mangle -A PREROUTING -s 192.0.2.0/24 -j DROP
    /sbin/iptables -t mangle -A PREROUTING -s 192.168.0.0/16 -j DROP
    /sbin/iptables -t mangle -A PREROUTING -s 10.0.0.0/8 -j DROP
    /sbin/iptables -t mangle -A PREROUTING -s 0.0.0.0/8 -j DROP
    /sbin/iptables -t mangle -A PREROUTING -s 240.0.0.0/5 -j DROP
    /sbin/iptables -t mangle -A PREROUTING -s 127.0.0.0/8 ! -i lo -j DROP

    abraços a todos.
    Carlos Nunes
    Analista de sistemas
    Desenvolvimento de Soluções para web.
    Criarnaweb E-Solutions
    www.criarnaweb.com.br
    https://br.linkedin.com/in/nunescarlos

  2. #2
    WHT-BR Top Member
    Data de Ingresso
    Dec 2010
    Posts
    15,023
    Meus 2€

    Para quem tem um servidor por hobby ... pratique o hobby Estude e experimente.

    Para quem tem servidor para uso comercial, contrate profissionais.

    Para os demais, qualquer tutorial "Digital Ocean" é receita para o desastre, mas quem se importa?

  3. #3
    Aspirante a Evangelist
    Data de Ingresso
    Nov 2010
    Localização
    São Paulo
    Posts
    386
    Para os imbecis de plantão meia palavra basta, para os inteligentes apenas a razão!!!
    Estudar é bom muito mas dizer algo correto é sensato é apenas para os que conhecem realmente,quanto a plágio de tutorias meu caro hobista aqui não praticamos pelo contrario somos profissionais.
    Carlos Nunes
    Analista de sistemas
    Desenvolvimento de Soluções para web.
    Criarnaweb E-Solutions
    www.criarnaweb.com.br
    https://br.linkedin.com/in/nunescarlos

  4. #4
    Louco pelo WHT Brasil
    Data de Ingresso
    Feb 2014
    Posts
    166
    Citação Postado originalmente por carlosnunes Ver Post
    Pessoal vou pastar aqui algumas regras adicionais usadas aqui para ajudar a combater um ataque DDos (Proteção básica)

    ### SSH ataque de força bruta ###
    /sbin/iptables -A INPUT -p tcp --dport ssh -m conntrack --ctstate NEW -m recent --set
    /sbin/iptables -A INPUT -p tcp --dport ssh -m conntrack --ctstate NEW -m recent --update --seconds 60 --hitcount 10 -j DROP

    ### scanner de portas ###
    /sbin/iptables -N port-scanning
    /sbin/iptables -A port-scanning -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s --limit-burst 2 -j RETURN
    /sbin/iptables -A port-scanning -j DROP

    ================================================== ================================================== ===========
    ###bogus TCP flags ###
    /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
    /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
    /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
    /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
    /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags FIN,RST FIN,RST -j DROP
    /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags FIN,ACK FIN -j DROP
    /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags ACK,URG URG -j DROP
    /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags ACK,FIN FIN -j DROP
    /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags ACK,PSH PSH -j DROP
    /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags ALL ALL -j DROP
    /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags ALL NONE -j DROP
    /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags ALL FIN,PSH,URG -j DROP
    /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags ALL SYN,FIN,PSH,URG -j DROP
    /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP

    ================================================== ================================================== =============

    ### spoofed pacotes ###
    /sbin/iptables -t mangle -A PREROUTING -s 224.0.0.0/3 -j DROP
    /sbin/iptables -t mangle -A PREROUTING -s 169.254.0.0/16 -j DROP
    /sbin/iptables -t mangle -A PREROUTING -s 172.16.0.0/12 -j DROP
    /sbin/iptables -t mangle -A PREROUTING -s 192.0.2.0/24 -j DROP
    /sbin/iptables -t mangle -A PREROUTING -s 192.168.0.0/16 -j DROP
    /sbin/iptables -t mangle -A PREROUTING -s 10.0.0.0/8 -j DROP
    /sbin/iptables -t mangle -A PREROUTING -s 0.0.0.0/8 -j DROP
    /sbin/iptables -t mangle -A PREROUTING -s 240.0.0.0/5 -j DROP
    /sbin/iptables -t mangle -A PREROUTING -s 127.0.0.0/8 ! -i lo -j DROP

    abraços a todos.
    Sempre bom ter uma dica de proteção. Parabéns pela iniciativa !

Permissões de Postagem

  • Você não pode iniciar novos tópicos
  • Você não pode enviar respostas
  • Você não pode enviar anexos
  • Você não pode editar suas mensagens
  •