Recentemente, fui atingido por um ataque que é muito pequeno em torno de 70MBPS, mas causa TONS de upload ... Todos os sinais apontam para o ICMP. Eu percebi no meu firewall eu tenho firewall CSF em execução no CentOS, que eu não tinha limite na minha taxa de ICMP de saída ... Woops. : P
Mais alguma coisa que eu deveria bloquear? Nós somos basicamente servidores de jogos, então obviamente bloquear todo o tráfego de entrada do ICMP é um não não. Ou é? É por isso que estou aqui: D
Obrigado por qualquer dica,
Jeremy
** Também edição rápida, estamos em uma porta de 100MBPS e o firewall atual é capaz de bloquear ataques DDoS genéricos com excesso de 600MB sem suar a camisa.
Bloquear todo o ICMP definitivamente não é um não-não, então eu iria para isso, pelo menos como uma correção temporária se alguns clientes / gamers reclamarem que eles não podem pingar seus servidores.
Também não é bom bloquear o ICMP se você usar ping para monitorar o servidor - mas eu acho que você já sabe disso; -)
Parece um ataque de reflexão / amplificação se você estiver vendo muito tráfego. Infelizmente você não pode fazer muito sobre os 70mbit que estão atingindo o seu firewall, mas você pode tentar minimizar a quantidade de tráfego que está deixando sua rede. Eu não vi ICMP usado para isso por um tempo. Normalmente é o DNS.
Mas eu classificaria o limite de ICMP se você estiver achando que está sendo abusado. Também esse tipo de ataque normalmente parece vir de um único ip ou netblock. Estes são falsificados para que a resposta inunde seu alvo. Você pode bloquear esses endereços IP e netblocks facilmente.
Eu também verifico que você não está vendo algo usando o DNS, pois ele parece ser o sistema mais mal utilizado para esse tipo de ataque. Verifique se você não permite que consultas DNS de sua WAN atinjam seu servidor DNS recursivo local.
Depois de controlar o tráfego de saída se continuar a ser um problema, você pode trabalhar com seu ISP para tentar bloquear o tráfego abusivo.
iptables -t filter -I INPUT -i interface -p icmp --icmp-type qualquer -m limit --limit 1 / s -j ACCEPT
iptables -t filter -I OUTPUT -p icmp --icmp-type qualquer -m limit --limit 1 / s -j ACCEPT
isso limitará qualquer tipo de solicitação de entrada e saída icmp a 1 / s, ou você pode especificar a solicitação de eco apenas especificando "8" ou "echo"
Definitivamente, ele não pode bloquear ataques, mas certamente pode minimizar a solicitação de entrada e saída.
O ICMP não deve causar amplificação a menos que você permita e responda a solicitações em endereços de broadcast. A amplificação do DNS é possível e provavelmente seria um ataque DDOS em outro site. Você pode filtrar esses endereços.
Tente encerrar seu servidor DNS para ver se ele resolve o problema de saída. Nesse caso, você pode realizar várias etapas:
Se não, você precisará determinar o tipo de tráfego. Existem várias coisas que você pode fazer:
Taxa de limitação de conexões ou bloqueio de endereços de envio deve ajudar a resolver o problema. Você pode precisar da ajuda do seu provedor se o volume for muito alto para a sua conexão.
Usamos firewalls de hardware da Cisco, mas bloqueamos tudo (incluindo o ICMP, literalmente tudo) e permitimos apenas IPs e portas específicos. Isso é obviamente mais um esforço para garantir que as coisas funcionem corretamente, mas também definitivamente me deixa dormir bem uma noite.