Windows Server 2008: Limite de pacotes UDP / TCP por IP ou proibição

2

Como posso limitar os pacotes UDP / TCP por envio de IP ao meu host (ou melhor PORTA) por segundo ou minuto? Seria bom proibir esse IP por 12/24 horas ou mesmo para sempre.

Eu tenho o Windows Server 2008 e sou muito pobre na administração do Windows, mas muito bom no Linux.

EDITAR: Por problema básico é que eles enviam um monte de lixo UPD e pacotes TCP .. Pacotes TCP sem SYNCH, pacotes UDP fragmentados para que meus servidores parem de responder ..

Por isso, preciso cortar os usuários (IPs) que enviam mais de X pacotes por segundo. Eu preciso de uma solução que me permita, de alguma forma, configurável: X pacotes de certos tipos (UDP, TCP ou ambos - digamos, parâmetro chamado Z) podem ser recebidos pelo IP na porta Y, caso contrário, este pacote deve ser DROPPED.

Meus hosts virtuais são hospedados pelo VirtualBox e eu sou capaz de encaminhar todos os pacotes de entrada certos tipos e certas portas para o Virtual Host específico, mas eu preciso DROP eles antes do meu VirtualBox recebê-los.

    
por WBAR 11.10.2012 / 11:38

1 resposta

1

Para ficar com você, os ataques do D-DOS são muito difíceis de remediar sem criar redundâncias no nível de rede e servidor e balanceamento de carga e bloqueio de máquinas ofensivas, mesmo se houver um esforço coordenado para derrubá-lo e eles tiverem mais recursos do que você, bem, você é sol.

O que eu recomendaria como a melhor solução seria investir dinheiro em uma solução de hardware para eliminar o tráfego ruim. os firewalls de filial do Juniper SRX oferecem suporte à proteção de ddos e outros recursos interessantes para proteger sua rede com um orçamento acessível.

a segunda solução seria usar um firewall baseado em software e criar scripts alfandegários que pesquisem o uso da rede e reajam bloqueando esse dispositivo.

Eu recomendaria o link do WIPFW que vem do mundo BSD

WIPFW is a MS Windows operable version of IPFW for FreeBSD OS. You can use the same functionality and configure it as only you work with IPFW.

IPFW is a packet filtering and accounting system which resides in the kernelmode, and has a user-land control utility, ipfw. Together, they allow you to define and query the rules used by the kernel in its routing decisions.

There are two related parts to ipfw. The firewall section performs packet filtering. There is also an IP accounting section which tracks usage of the router, based on rules similar to those used in the firewall section. This allows the administrator to monitor how much traffic the router is getting from a certain machine, or how much WWW traffic it is forwarding, for example.

As a result of the way that ipfw is designed, you can use ipfw on non-router machines to perform packet filtering on incoming and outgoing connections. This is a special case of the more general use of ipfw, and the same commands and techniques should be used in this situation.

    
por 13.10.2012 / 16:43