SA-MP Forums

SA-MP Forums (https://forum.sa-mp.com/index.php)
-   Lançamentos/Releases (https://forum.sa-mp.com/forumdisplay.php?f=56)
-   -   [Tutorial] Medidas para evitar ataques DDoS (https://forum.sa-mp.com/showthread.php?t=657337)

Koplan 05/08/2018 04:59 PM

Medidas para evitar ataques DDoS
 
Medidas para evitar ataques DDoS


Introdução:

Os ataques DoS/DDoS tem vindo a aumentar bastante nos últimos meses, e com isso é preciso implementar medidas para evitar que seu servidor seja atacado. Se você é daqueles caras que prefere ter um servidor hospedado no seu computador para evitar gastar dinheiro e está aguardando algum milagre, então já pode fechar este tutorial.
Não há nenhuma forma de evitar um ataque DDoS a 100% e muito menos num servidor online cujo o protocolo é 17 (UDP), o que podemos fazer é implementar medidas para reduzir a probalidade disto acontecer.



Ingredientes:

⦁ Virtual Private Server (VPS) Linux.
⦁ Cérebro.



Procedimentos:

Em primeiro lugar devemos proteger a máquina de ataques RANDOM que são feitos através de portas aleatórias que estejam abertas, é muito frequente atacarem a porta 22. Este tipo de ataque atualmente é muito perigoso, principalmente nos servidores da OVH, em que a proteção dos servidores dedicados em Layer 4 é quase perfeita, mas quando se trata de VPS a história é outra, há vários metódos RANDOM que fazem bypass aos planos básicos da OVH.

Solução:

Configuramos algumas regras no iptables para permitir somente o seu IP a estabelecer uma conexão à porta 22.

PHP Code:

iptables -F
iptables 
-A INPUT -s SEUIP -p tcp --dport 22 -j ACCEPT
iptables 
-A INPUT -p tcp --dport 22 -j DROP 

Em "SEUIP" deve modificar pelo seu IP público, se você não sabe o seu IP pode verificar-lo neste site.

Se utilizar um servidor mysql, deverá fazer o mesmo procedimento para a porta 3306.

PHP Code:

iptables -A INPUT -s SEUIP -p tcp --dport 3306 -j ACCEPT
iptables 
-A INPUT -p tcp --dport 22 -j DROP 

Se você utilizar alguma conexão remota para o mysql, por exemplo, um UCP terá de permitir o IP da máquina em que está hospedado o mesmo.


https://i.imgur.com/RX3ofkO.png

Em segundo temos de proteger contra os ataques ICMP que já são velhos mas continuam a funcionar e bastantes empresas Hosting continuam vulneráveis. Este tipo de ataque são os mais perturbadores, na minha opinião. Eu já explorei esta vulnerabilidade muito a fundo, desenvolvi um script em línguagem C em que mandava milhares de requisições a um servidor e o mesmo deixava de responder. Vou deixar abaixo um metódo de proteção.

PHP Code:

iptables -A INPUT -p ICMP --icmp-type echo-request -m length --length 60:65535 -j ACCEPT
iptables 
-A INPUT -p ICMP --icmp-type echo-request -m pkttype --pkttype broadcast -j DROP
iptables 
-A INPUT -p ICMP --icmp-type echo-request -m limit --limit 3/-j ACCEPT
iptables 
-A INPUT -p ICMP --j DROP 



https://i.imgur.com/gzqbKM4.png

Em terceiro, há os ataques UDP Flood que a maioria das empresas de hospedagem games oferece uma mitigação. Vou deixar abaixo algumas regras.

PHP Code:

iptables -N UDP-FLOOD 
iptables 
-A INPUT -p udp --dport 7777 -m ttl --ttl-eq=128 -j UDP-FLOOD
iptables 
-A UDP-FLOOD -p udp --dport 7777 -m length --length 17:604 -j DROP 



Quarto e terminando, não façam igual muitas pessoas que estou vendo... Muitos colocam o servidor e o UCP na mesma máquina, isso é um erro extremo. Ao fazerem isto, a probalidade de receberem ataques triplica e não é recomendável ter um servidor web e game na mesma máquina.

Há outros métodos para derrubar um servidor, tal como exploits e também falhas nos gamemodes. Este tutorial o foco é somente DoS e DDoS, para as outras formas farei um tutorial diferente.

Qualquer dúvida, deixem nos comentários.

HelderPT 05/08/2018 05:06 PM

Re: Medidas para evitar ataques DDoS
 
Caramba.

Nunca vi isso por aqui.

Koplan, obrigado por disponibilizar.

+rep

Koplan 05/08/2018 05:14 PM

Re: Medidas para evitar ataques DDoS
 
Quote:

Originally Posted by HelderPT (Post 4042437)
Caramba.

Nunca vi isso por aqui.

Koplan, obrigado por disponibilizar.

+rep

Não precisa agradecer, o fórum serve para compartilhar conhecimento. :)

pisico187 05/08/2018 09:01 PM

Re: Medidas para evitar ataques DDoS
 
Show.

bruxo00 06/08/2018 12:39 AM

Re: Medidas para evitar ataques DDoS
 
É sempre bom ter algumas essas proteções, mas isso só vai adiantar contra script kiddies que vão ao ****** e procuram IP Stresser e usam o primeiro site que aparecer. Mas, como a maioria dos retardados que mandam DDoS a servidores de SAMP são script kiddies, vale sempre a pena utilizar essas dicas.

Em relação à OVH, essa empresa é muito usada a nível mundial, e por isso é alvo de muitos ataques, logo há centenas de métodos especializados contra esse tipo de máquinas. Se for um ataque bem feito só é parado banindo os IPs manualmente (o que em alguns métodos é impossível) ou usando uma firewall física.

E uma coisa, qual é a razão de a probabilidade dos ataques triplicar tendo uma página web e um servidor de SAMP no mesmo servidor? Isso faria sentido se o IP do SAMP estivesse protegido, mas como não está, o máximo que pode acontecer é atacarem o servidor e cair o SAMP e o Web Server.

Koplan 06/08/2018 01:03 AM

Re: Medidas para evitar ataques DDoS
 
Quote:

Originally Posted by bruxo00 (Post 4042580)
É sempre bom ter algumas essas proteções, mas isso só vai adiantar contra script kiddies que vão ao ****** e procuram IP Stresser e usam o primeiro site que aparecer. Mas, como a maioria dos retardados que mandam DDoS a servidores de SAMP são script kiddies, vale sempre a pena utilizar essas dicas.

Em relação à OVH, essa empresa é muito usada a nível mundial, e por isso é alvo de muitos ataques, logo há centenas de métodos especializados contra esse tipo de máquinas. Se for um ataque bem feito só é parado banindo os IPs manualmente (o que em alguns métodos é impossível) ou usando uma firewall física.

E uma coisa, qual é a razão de a probabilidade dos ataques triplicar tendo uma página web e um servidor de SAMP no mesmo servidor? Isso faria sentido se o IP do SAMP estivesse protegido, mas como não está, o máximo que pode acontecer é atacarem o servidor e cair o SAMP e o Web Server.

Porque atualmente é muito fácil derrubar um website, ainda mais do que um servidor SA-MP. Um simples ataque Layer 7 (que quase nenhuma empresa tem uma verdadeira proteção contra este tipo de ataque) poderia travar a máquina por completo, caso a máquina atingir o limite de recursos, coisa que é bem fácil e não é necessário muitas máquinas atacantes para o fazer.

E também, poderia abrir verraduras na Firewall porque iria ter de permitir o tráfego TCP para uma grande lista de usuários, enquanto que tendo só um servidor SA-MP, pode permitir somente na porta 22 para o seu IP e bloquear o resto.

Tal como eu referi acima, nunca é possível proteger-se a 100% contra ataques DDoS. A mitigação tem um limite, se o ataque é bastante grande, com botnet's e grandes ataques spoof torna-se fácil derrubar dedicados da OVH e também grandes servidores. :)

bruxo00 06/08/2018 01:27 AM

Re: Medidas para evitar ataques DDoS
 
Quote:

Originally Posted by Koplan (Post 4042583)
Porque atualmente é muito fácil derrubar um website, ainda mais do que um servidor SA-MP. Um simples ataque Layer 7 (que quase nenhuma empresa tem uma verdadeira proteção contra este tipo de ataque) poderia travar a máquina por completo, caso a máquina atingir o limite de recursos, coisa que é bem fácil e não é necessário muitas máquinas atacantes para o fazer.

E também, poderia abrir verraduras na Firewall porque iria ter de permitir o tráfego TCP para uma grande lista de usuários, enquanto que tendo só um servidor SA-MP, pode permitir somente na porta 22 para o seu IP e bloquear o resto.

Tal como eu referi acima, nunca é possível proteger-se a 100% contra ataques DDoS. A mitigação tem um limite, se o ataque é bastante grande, com botnet's e grandes ataques spoof torna-se fácil derrubar dedicados da OVH e também grandes servidores. :)

Em relação aos servidores web serem alvos fáceis, é uma verdade, mas hoje em dia toda a gente tem acesso a serviços do tipo da Cloudflare (que têm planos gratuitos), que nunca mostram o IP da máquina onde está o webserver ao utilizador, que logo aqui já é uma coisa excelente, têm proteções contra bots, ddos, optimizam o código em "tempo real", etc. Não é um sistema infalível, mas é um sistema muito bom. Se eles suportassem gameservers é que ia ser excelente.

Koplan 06/08/2018 11:32 AM

Re: Medidas para evitar ataques DDoS
 
Quote:

Originally Posted by bruxo00 (Post 4042589)
Em relação aos servidores web serem alvos fáceis, é uma verdade, mas hoje em dia toda a gente tem acesso a serviços do tipo da Cloudflare (que têm planos gratuitos), que nunca mostram o IP da máquina onde está o webserver ao utilizador, que logo aqui já é uma coisa excelente, têm proteções contra bots, ddos, optimizam o código em "tempo real", etc. Não é um sistema infalível, mas é um sistema muito bom. Se eles suportassem gameservers é que ia ser excelente.

CloudFlare é um bom serviço para otimizar o código, e sem dúvidas protege de ataques dos Script Kiddies, mas quem tem mais conhecimento sabe como passar pela proteção da CF, que é bem fácil por sinal. Há dezenas de formas para obter o IP real da máquina, tal como também formas de fazer bypass ao JS da "página" de proteção aos ataques L7 sem necessitares do IP.

bruxo00 06/08/2018 12:16 PM

Re: Medidas para evitar ataques DDoS
 
Quote:

Originally Posted by Koplan (Post 4042683)
CloudFlare é um bom serviço para otimizar o código, e sem dúvidas protege de ataques dos Script Kiddies, mas quem tem mais conhecimento sabe como passar pela proteção da CF, que é bem fácil por sinal. Há dezenas de formas para obter o IP real da máquina, tal como também formas de fazer bypass ao JS da "página" de proteção aos ataques L7 sem necessitares do IP.

Pois, já ando fora desse "mundo" há algum tempo, não sabia que era assim tão fácil descobrir o IP real da máquina pelo cloudflare!

Locky_ 06/08/2018 02:31 PM

Re: Medidas para evitar ataques DDoS
 
Quote:

Originally Posted by bruxo00 (Post 4042688)
Pois, já ando fora desse "mundo" há algum tempo, não sabia que era assim tão fácil descobrir o IP real da máquina pelo cloudflare!

Há sites que fazem isso por você. Mas não funciona com todos que os utilizam. Acredito que os planos pagos do CloudFlare e alguns outros recursos do mesmo, podem deixar o IP real da hospedagem do site camuflados.


All times are GMT. The time now is 04:37 AM.

Powered by vBulletin® Version 3.8.6
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd.