Contra-medidas para ataques DDoS e Smurf

Colaboração: André Jaccon

Data de Publicação: 03 de Abril de 2005

Ataques DDoS ( Distributed Denial of Service ), consistem em "inundar" a rede da vítima com uma grande quantidade de pacotes e indisponibilizar todo o link dependendo da frequência do ataque.

Como o nome mesmo sugere é um ataque distribuido de negação de serviço no qual diversas máquinas/hosts irão multiplicar seu tráfego contra a vítima, no qual o sucesso do ataque se dá pelo número de atacantes contra um só ip.

Contra medidas

A) Limite a quantidade de pacotes a serem enviados pela sua aplicação de filtro de pacotes (Netfilter Iptables para kernel 2.4.x)

Ex:

  # iptables -A INPUT -i eth0 -p tcp tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

Para carregar a regra acima o módulo ipt_limit do Netfilter Iptables, deve estar carregado, caso queira carregar manualmente use:

  # modprobe ipt_limit

Ataques Smurf

Ataques Smurf é originado pela falha do IPV4 ( Spoofing ), no qual envia pacotes ICMP type 8 (ICMP_ECHO_REQUEST), com o endereço de origem "spoofado", com isso o atacante envia uma quantidade consideravél de pacotes para uma lista de ip's, esses servidores irão responder para o endereço de origem informado no pacote, caso todos os ip's responderem para o mesmo endereço o alvo será inundado.

Contra medida contra o ataques Smurf

Uma contra medida para o Smurf é negar pacotes do tipo 8 do ICMP, com a regra abaixo você poderá negar através do firewall com o Netfilter/Iptables este tipo de pacote:

  # iptables -A INPUT -p icmp --icmp-type 8 -j DROP

e também adicione o em seu /proc/sys/net/ipv4/conf/all/rp_filter

  # /bin/echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter

Não se esqueça para ataques mais complexos, estes exemplos não irão suprir as necessidades de segurança requeridas.