Bloqueia toda comunicação de uma lista de endereços IP

Question

Bloqueia toda comunicação de uma lista de endereços IP

#1 resposta do (11 votos)
#2 resposta do (5 votos)
#3 resposta do (2 votos)
#4 resposta do (0 votos)
#5 resposta do (0 votos)

2

Existe algum firewall (preferido algum grátis :)) que pode bloquear toda a comunicação de todos os endereços IP, exceto de alguns IPs vindos de um determinado local ...

Eu basicamente quero bloquear o ataque DDOS em meus servidores, sendo atingido por algum IP fora do meu país

EDIT: estou usando uma máquina de janela e uma máquina linux

EDIT 2: Eu ouvi falar de alguma organização que funciona na ÍNDIA que nos ajuda a fazer isso, então eu acho que é possível. Eles filtram apenas os IPs vindos apenas da região da Índia e bloqueiam o restante.

windows firewall geoip linux ddos

por Varun 06.07.2011 / 07:30

5 respostas

Tags windows firewall geoip linux ddos

A equipe de manutenção deve ter acesso a salas de servidores? [fechadas] Acelerar a autenticação de chave pública (linux)?

score 11 · Answer 1

Você não mencionou seu sistema operacional. Linux tem netfilter / iptables , Net / Open / FreeBSD tem pf , o Windows Server 2008 R2 tem o Windows Firewall com Segurança Avançada que poderia facilmente filtrar o tráfego com base nos endereços IP de origem. Não há nada que possa filtrar (com segurança) com base em uma localização geográfica.

Mas, dependendo do tipo de ataque DoS (você também omite qualquer detalhe aqui), bloquear o tráfego no nível da pilha da rede O / S não ajudará você. Se o DoS saturar sua largura de banda, você precisaria falar com seu ISP upstream e pedir filtragem.

score 5 · Answer 2

Existem módulos geoip tanto para o iptables quanto para o Apache, o que permitirá que você faça uma lista negra de países inteiros. Os mapeamentos de sub-rede não são 100% precisos, mas são "muito bons".

Com isso dito, se você estiver realmente recebendo DoS (como em seu link ficar saturado), o firewall não será suficiente; seus servidores ainda terão que mastigar esses pacotes para descobrir se devem ser bloqueados. Você precisará fazer com que o upstream faça o upgrade de seus servidores ou invasores - e, se for altamente distribuído, bem, é apenas uma questão de como o seu provedor é responsivo e cooperativo.

score 2 · Answer 3

Esta pergunta sobre o Serverfault tem algumas boas dicas gerais sobre mitigação de DDoS - há muitas de coisas que você pode tentar, mas um DDoS significativo requer ajuda do seu ISP, como mencionado.

Ajudaria a conhecer o servidor da Web que você está usando no Windows e no Linux - presumivelmente o IIS e o Apache.

Algumas opções em ordem decrescente de utilidade:

Use o firewall do kernel do Linux (iptables) para bloquear - a abordagem xtables-addons é simples, mas o ipset pode lidar com números maiores de intervalos de endereços IP. Configuração semelhante no Windows. Usar um firewall físico separado seria melhor, então ele poderia fazer o frontend do Linux e do Windows, reduzindo a configuração e o descarregamento dos servidores.
Use mod_security no Apache - isso pode funcionar no Windows e no Linux, desde que você use o Apache ambos. Como o uso do GeoIP envolve bastante configuração para manter os blocos do GeoIP atualizados, isso pode reduzir a manutenção geral depois de configurado.
Use o servidor DNS para bloquear no GeoIP - OK para um DoS casual que usa seu nome de domínio. No entanto, isso é inútil contra qualquer pessoa simplesmente usando seu endereço IP para o DOS.

Veja esta pergunta sobre bloqueio de GeoIP como bem e as ddos e geoip (também adicionadas à sua pergunta.)

Um serviço de mitigação de DDoS (também conhecido como serviço "limpar cachimbos" ) pode ser a melhor opção para DDoS sério: eles fazem o front-end do seu tráfego e filtram o DDoS, deixando-o apenas com tráfego de site válido, sujeito a quão bem eles filtram. Eles têm canos enormes e estão focados nesse problema, então provavelmente farão um trabalho melhor do que uma solução interna, e muito depende de ter um cano grande o suficiente para absorver um DDoS para que seu hardware / software possa filtrá-lo. O BlockDOS.net é um serviço com preços razoáveis, a Prolexic e a Verisign são mais sofisticadas e muito mais caras.

Se isso for muito caro, talvez seja útil hospedar novamente o Amazon EC2, que pode rotear todo o tráfego por meio de uma instância específica do EC2 (como um VPS) - há um AMI específica (imagem VPS) destinada a servir de front end aos seus servidores da Web, que estariam em instâncias separadas do EC2. O Amazon EC2 também possibilita a criação de novas instâncias do servidor para lidar com o aumento da carga. Você ainda pode ser cobrado pelo tráfego de DDoS (possivelmente mais do que por um serviço de atenuação) e pagaria pelos servidores extras, portanto, isso precisa de alguma investigação. Outros provedores de VPS em nuvem podem ter melhores políticas de DDOS ou serviços internos de mitigação de DDoS.

score 0 · Answer 4

Você pode querer examinar alguns serviços de limpeza DDos. Basicamente, esses serviços vão tomar todo o tráfego que você está recebendo, eliminar os "bandidos" e enviar-lhe os dados limpos. Esteja avisado, dependendo do tamanho do ataque, estes podem ficar muito caros. Um firewall no seu servidor não ajuda muito, porque já chegou até você. Você precisa deixar o tráfego mais longe de você e isso pode ficar complexo.

Alguns fornecedores:

link
link

score 0 · Answer 5

Um ataque DDOS sustentado em larga escala geralmente envolve atacar seus servidores de nomes. Que impede que o público em geral acesse seu site por meio do nome de domínio. Já que um ataque DDOS pode derrubar o Yahoo por mais de 24 horas. Você não será capaz de mitigar um ataque DDOS simplesmente bloqueando uma lista de IPs em seu firewall de software / hardware.