Ferramentas para bloqueio de ataques DDOS

ajsantos20
(usa Ubuntu)

Enviado em 30/03/2016 - 18:01h

Boa tarde, gostaria da opinião e ajuda de vocês sobre melhores formas de bloquear ataques DDOS.
Recentemente sofri ataques no meu servidor linux, que por minha falta de experiência, estava bem desprotegido.
passado o estrago, comecei a pesquisar sofre esse tipo de ataque e sobre algumas ferramentas para auxiliar no combate, então até o momento estou utilizando as seguintes configurações:

Desabilitado acesso root via SSH;
Alteração da porta padrão do SSH;

Instalação da ferramenta:
fail2ban;

Ferramentas de monitoramento:
Ajenti Control Panel;
Vnstat;
Iftop;
Ossec HIDS;

Configuração de firewall via iptables:
# limpando todas as regras existentes.
iptables -F
iptables -X

# aceita todas as conexões (será filtrado depois)
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

# bloqueia os ataques de flood mais comuns
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP

# permite tráfego nas portas
iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 8080 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 5432 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 3306 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT

# desativa a resposta do comando ping
iptables -A OUTPUT -p icmp -o eth0 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-reply -s 0/0 -i eth0 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type destination-unreachable -s 0/0 -i eth0 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type time-exceeded -s 0/0 -i eth0 -j ACCEPT
iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p icmp -i eth0 -j DROP

# permite o SSH, FTP e portas passivas (configuradas em nosso guia)
iptables -A INPUT -p tcp --dport ssh --jump ACCEPT
iptables -A INPUT -p tcp --dport 20 --jump ACCEPT
iptables -A INPUT -p tcp --dport 21 --jump ACCEPT
iptables -A INPUT -p tcp --dport 60000:60005 --jump ACCEPT
iptables -A INPUT -s 127.0.0.1/32 --jump ACCEPT

# nega qualquer conexão que não esteja na regra
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -L -n


Sei que é muito difícil bloquear um ataque ddos 100% mas minha pergunta é: essas ações que tomei são suficiente?

vocês indicam mais alguma coisa pra proteger o servidor desses ataques?

agradeço a opinião de vocês.

Buckminster
(usa Debian)

Enviado em 30/03/2016 - 19:09h

Acrescente nessa posição:

# aceita todas as conexões (será filtrado depois)
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

echo 1 > /proc/sys/net/ipv4/tcp_syncookies <<< acrescente

E aconselho a deixar as políticas padrões assim:

# aceita todas as conexões (será filtrado depois)
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

Buckminster
(usa Debian)

Enviado em 31/03/2016 - 08:52h

Acrescente também as seguintes regras na seguinte posição:

# bloqueia os ataques de flood mais comuns
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP

iptables -A INPUT -m state --state INVALID -j DROP
iptables -A OUTPUT -p tcp ! --tcp-flags SYN,RST,ACK SYN -m state --state NEW -j DROP

ajsantos20
(usa Ubuntu)

Enviado em 05/04/2016 - 18:17h

Obrigado pelas dicas, vou implementa-las no meu firewall!

valeu