Protegendo contra um ataque do DOS

2

Alguém está fazendo o DOS no meu servidor. Não é um ataque DDOS, pois há apenas um servidor envolvido neste ataque. Eu simplesmente coloco seguindo a regra iptable para eliminar todos os pacotes que vêm do atacante:

iptables -I INPUT 1 -s IP_OF_ATTACKER -j DROP

Esta regra funcionou bem. Eu podia ver o tráfego dele chegando ao meu servidor usando o comando iftop. No entanto, todos os meus serviços estavam indo bem, mesmo sob ataque do DOS. Ele manteve a DOSAGEM do meu servidor por 2-3 dias, mas as regras do iptables funcionaram muito bem para deixar cair seus pacotes. No entanto, hoje ele executou novamente seu ataque DOS com a mesma largura de banda, mas meu servidor estava morto. Eu capturei / analisei pacotes, mas o iptables soltou com sucesso todos os pacotes.

Também corri o seguinte comando para ver quanto tráfego foi bloqueado por tabelas de IP:

iptables -nvL --line-numbers

O tráfego 22G foi bloqueado por 2 a 3 dias:

num   pkts bytes target     prot opt in     out     source               destination
1    3203K   22G DROP       all  --  *      *       ATTACKER_IP          0.0.0.0/0

Apenas o tráfego de 3GB foi bloqueado. No entanto, ele DOSed nosso servidor para todo o dia e havia mais de 100GB de tráfego (IMHO).

num   pkts bytes target     prot opt in     out     source               destination
1     707K 3553M DROP       all  --  *      *       ATTACKER_IP         0.0.0.0/0

Por que o servidor ainda estava inoperante? Quais coisas poderiam ter sido mudadas? Existe alguma outra regra ou proteção que eu possa fazer para detê-lo? Eu já relatei seus IPs para a empresa de hospedagem, mas eles demoram de 7 a 8 dias para que a investigação feche seus servidores.

    
por Vik 14.06.2015 / 06:16

1 resposta

3

Um firewall baseado em host pode proteger seus serviços, mas o tráfego ofensivo ainda precisa ser entregue ao seu host antes que ele possa ser descartado.

Seu uplink ainda é um recurso finito e, se as quantidades de lixo que o invasor envia aumentar, o risco de afetar o tráfego legítimo também será prejudicial. Você pode entrar em contato com seu provedor de hospedagem se ele puder oferecer suporte (talvez na extremidade da rede).

    
por 14.06.2015 / 09:12