Como eu faço o Iptables bloquear um ip que realiza mas de 30 conexões com o servidor?

roberto1saa
(usa Outra)

Enviado em 05/07/2012 - 22:01h

Como eu faço o Iptables bloquear um ip que realiza mas de 30 conexões com o servidor ou com uma porta específica?

danniel-lara
(usa Fedora)

Enviado em 05/07/2012 - 22:02h

bom tu pode bloquear a porta

iptables -I INPUT -i ethX -s <Ip a ser bloqueado> -j DROP 

espero que ajude

roberto1saa
(usa Outra)

Enviado em 06/07/2012 - 00:08h

Mas o cara que esta me atacando em uma porta que eu preciso para meu servidor fusiona

estou mandando o log que o datacente me envio

Coloquei meu ip assim 000.000.00.00 por que tenho medo de pessoas mal-intencionadas ok

Mas o ip do atacante é verdadeiro




=====================
13:47:48.197818 IP 200.98.138.44.54750 > 000.000.00.00.80: UDP, length 1
13:47:48.197823 IP 165.230.95.119.49422 > 000.000.00.00.80: UDP, length 1
13:47:48.197828 IP 165.230.95.119.49422 > 000.000.00.00.80: UDP, length 1
13:47:48.197833 IP 165.230.95.119.49422 > 000.000.00.00.80: UDP, length 1
13:47:48.197838 IP 165.230.95.119.49422 > 000.000.00.00.80: UDP, length 1
13:47:48.197843 IP 165.230.95.119.49422 > 000.000.00.00.80: UDP, length 1
13:47:48.197848 IP 165.230.95.119.49422 > 000.000.00.00.80: UDP, length 1
13:47:48.197854 IP 165.230.95.119.49422 > 000.000.00.00.80: UDP, length 1
13:47:48.197859 IP 165.230.95.119.49422 > 000.000.00.00.80: UDP, length 1
13:47:48.197864 IP 165.230.95.119.49422 > 000.000.00.00.80: UDP, length 1
13:47:48.197869 IP 165.230.95.119.49422 > 000.000.00.00.80: UDP, length 1
13:47:48.197874 IP 165.230.95.119.49422 > 000.000.00.00.80: UDP, length 1
13:47:48.197880 IP 165.230.95.119.49422 > 000.000.00.00.80: UDP, length 1
13:47:48.197885 IP 165.230.95.119.49422 > 000.000.00.00.80: UDP, length 1
13:47:48.197890 IP 165.230.95.119.49422 > 000.000.00.00.80: UDP, length 1
13:47:48.197895 IP 165.230.95.119.49422 > 000.000.00.00.80: UDP, length 1
13:47:48.197900 IP 165.230.95.119.49422 > 000.000.00.00.80: UDP, length 1
13:47:48.197905 IP 165.230.95.119.49422 > 000.000.00.00.80: UDP, length 1
13:47:48.197910 IP 165.230.95.119.49422 > 000.000.00.00.80: UDP, length 1
13:47:48.197915 IP 165.230.95.119.49422 > 000.000.00.00.80: UDP, length 1
13:47:48.197921 IP 165.230.95.119.49422 > 000.000.00.00.80: UDP, length 1
13:47:48.197931 IP 200.98.138.44.54750 > 000.000.00.00.80: UDP, length 1
13:47:48.197936 IP 165.230.95.119.49422 > 000.000.00.00.80: UDP, length 1
13:47:48.197941 IP 165.230.95.119.49422 > 000.000.00.00.80: UDP, length 1
13:47:48.197946 IP 165.230.95.119.49422 > 000.000.00.00.80: UDP, length 1
13:47:48.197951 IP 165.230.95.119.49422 > 000.000.00.00.80: UDP, length 1
13:47:48.197957 IP 165.230.95.119.49422 > 000.000.00.00.80: UDP, length 1
13:47:48.199530 IP 165.230.95.119.49422 > 000.000.00.00.80: UDP, length 1
13:47:48.199547 IP 165.230.95.119.49422 > 000.000.00.00.80: UDP, length 1
13:47:48.199555 IP 165.230.95.119.49422 > 000.000.00.00.80: UDP, length 1
13:47:48.199563 IP 165.230.95.119.49422 > 000.000.00.00.80: UDP, length 1
13:47:48.199571 IP 165.230.95.119.49422 > 000.000.00.00.80: UDP, length 1
13:47:48.199580 IP 165.230.95.119.49422 > 000.000.00.00.80: UDP, length 1
13:47:48.199588 IP 165.230.95.119.49422 > 000.000.00.00.80: UDP, length 1
13:47:48.199596 IP 165.230.95.119.49422 > 000.000.00.00.80: UDP, length 1
13:47:48.199605 IP 165.230.95.119.49422 > 000.000.00.00.80: UDP, length 1
13:47:48.199613 IP 165.230.95.119.49422 > 000.000.00.00.80: UDP, length 1
13:47:48.199621 IP 165.230.95.119.49422 > 000.000.00.00.80: UDP, length 1
13:47:48.199637 IP 165.230.95.119.49422 > 000.000.00.00.80: UDP, length 1
13:47:48.199653 IP 165.230.95.119.49422 > 000.000.00.00.80: UDP, length 1
13:47:48.199660 IP 165.230.95.119.49422 > 000.000.00.00.80: UDP, length 1
13:47:48.199667 IP 165.230.95.119.49422 > 000.000.00.00.80: UDP, length 1
13:47:48.199675 IP 165.230.95.119.49422 > 000.000.00.00.80: UDP, length 1
13:47:48.199682 IP 165.230.95.119.49422 > 000.000.00.00.80: UDP, length 1
13:47:48.199690 IP 165.230.95.119.49422 > 000.000.00.00.80: UDP, length 1
13:47:48.199697 IP 165.230.95.119.49422 > 000.000.00.00.80: UDP, length 1
13:47:48.199705 IP 165.230.95.119.49422 > 000.000.00.00.80: UDP, length 1
13:47:48.199713 IP 165.230.95.119.49422 > 000.000.00.00.80: UDP, length 1
13:47:48.199722 IP 165.230.95.119.49422 > 000.000.00.00.80: UDP, length 1
13:47:48.199730 IP 165.230.95.119.49422 > 000.000.00.00.80: UDP, length 1
13:47:48.199740 IP 165.230.95.119.49422 > 000.000.00.00.80: UDP, length 1
13:47:48.199748 IP 165.230.95.119.49422 > 000.000.00.00.80: UDP, length 1
13:47:48.199754 IP 165.230.95.119.49422 > 000.000.00.00.80: UDP, length 1
13:47:48.199759 IP 165.230.95.119.49422 > 000.000.00.00.80: UDP, length 1
13:47:48.199765 IP 165.230.95.119.49422 > 000.000.00.00.80: UDP, length 1
13:47:48.199770 IP 165.230.95.119.49422 > 000.000.00.00.80: UDP, length 1
13:47:48.199778 IP 165.230.95.119.49422 > 000.000.00.00.80: UDP, length 1
13:47:48.199783 IP 165.230.95.119.49422 > 000.000.00.00.80: UDP, length 1
13:47:48.199794 IP 165.230.95.119.49422 > 000.000.00.00.80: UDP, length 1
13:47:48.199799 IP 165.230.95.119.49422 > 000.000.00.00.80: UDP, length 1
13:47:48.199804 IP 165.230.95.119.49422 > 000.000.00.00.80: UDP, length 1
13:47:48.199810 IP 165.230.95.119.49422 > 000.000.00.00.80: UDP, length 1
13:47:48.199816 IP 165.230.95.119.49422 > 000.000.00.00.80: UDP, length 1
13:47:48.199824 IP 165.230.95.119.49422 > 000.000.00.00.80: UDP, length 1
13:47:48.199831 IP 165.230.95.119.49422 > 000.000.00.00.80: UDP, length 1
13:47:48.199838 IP 165.230.95.119.49422 > 000.000.00.00.80: UDP, length 1
13:47:48.200342 IP 165.230.95.119.49422 > 000.000.00.00.80: UDP, length 1
13:47:48.200350 IP 165.230.95.119.49422 > 000.000.00.00.80: UDP, length 1
13:47:48.200355 IP 165.230.95.119.49422 > 000.000.00.00.80: UDP, length 1
13:47:48.200360 IP 165.230.95.119.49422 > 000.000.00.00.80: UDP, length 1
13:47:48.200365 IP 165.230.95.119.49422 > 000.000.00.00.80: UDP, length 1
13:47:48.200370 IP 165.230.95.119.49422 > 000.000.00.00.80: UDP, length 1
13:47:48.200383 IP 165.230.95.119.49422 > 000.000.00.00.80: UDP, length 1
13:47:48.200392 IP 165.230.95.119.49422 > 000.000.00.00.80: UDP, length 1
13:47:48.200400 IP 165.230.95.119.49422 > 000.000.00.00.80: UDP, length 1
13:47:48.200407 IP 165.230.95.119.49422 > 000.000.00.00.80: UDP, length 1
13:47:48.200415 IP 165.230.95.119.49422 > 000.000.00.00.80: UDP, length 1
13:47:48.200422 IP 165.230.95.119.49422 > 000.000.00.00.80: UDP, length 1
13:47:48.200429 IP 165.230.95.119.49422 > 000.000.00.00.80: UDP, length 1
13:47:48.200437 IP 165.230.95.119.49422 > 000.000.00.00.80: UDP, length 1
13:47:48.200445 IP 165.230.95.119.49422 > 000.000.00.00.80: UDP, length 1
13:47:48.200452 IP 165.230.95.119.49422 > 000.000.00.00.80: UDP, length 1
13:47:48.200460 IP 165.230.95.119.49422 > 000.000.00.00.80: UDP, length 1
13:47:48.200468 IP 165.230.95.119.49422 > 000.000.00.00.80: UDP, length 1
=====================

neltavares
(usa Slackware)

Enviado em 06/07/2012 - 07:55h

Bom dia
Imagino q vc queira algo +- assim:

iptables -A INPUT -p tcp --dport <porta> -m state --state NEW -m recent --set
iptables -A INPUT -p tcp --dport <porta> -m state --state NEW -m recent --update --seconds 120 -
-hitcount 5 -j DROP


Com esta regra se o cara tentar conectar, na porta especificada, mais de 5 vezes será bloqueado. Mas por apenas um periodo de tempo, nao permanente.
É uma boa regra pra minimizar força bruta, agora se quiser limitar eh pings disparados contra seu servidor. Esta regra é melhor:

iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 3/s -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP



Abraço
Espero ter ajudado.

roberto1saa
(usa Outra)

Enviado em 08/07/2012 - 16:51h

Onde tem "-m limit" eu coloco numero de maximo de conexoes?

neltavares
(usa Slackware)

Enviado em 09/07/2012 - 11:38h

Esta regra que existe o -m limit ela bloquea pings, pacotes ICMP, o --limit vai definir o tempo de intervalo entre eles.

iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 3/s -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP

Agora para bloquear conexoes em uma porta especifica e no protocolo TCP vc vai usar estas regras abaixo:

iptables -A INPUT -p tcp --dport <porta> -m state --state NEW -m recent --set
iptables -A INPUT -p tcp --dport <porta> -m state --state NEW -m recent --update --seconds 120 --hitcount 5 -j DROP

No parametro <porta> vc vai colocar o numero da porta q vc deseja, e no --hitcount o numero de tentativas de conexoes. Se vc deseja 30 (não sei pq esse numero elevado) troque o 5 por 30.



Abraço

roberto1saa
(usa Outra)

Enviado em 09/07/2012 - 17:58h

iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 3/s -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP


neltavares muito obrigado mesmo agradeço de coração

Aparente mente não estou mais recebendo ataques, valeu mesmo.

Só mim tira uma duvida, essa regra segura ataques com T50?


Abraço
Muito obrigado pela ajuda.

neltavares
(usa Slackware)

Enviado em 10/07/2012 - 10:45h

Bom dia,
A ferramenta T50 usa o conceito de stress testing(ataques DDoS e DoS).
Ele utiliza pacotes ICMP, TCP, UDP.

Para pacotes ICMP essa regra é válida sim.

Agora nos outros protocolos é bom vc liberar as portas que seu server trabalhar e bloqueia o resto (não vai sanar todos seus problemas, mas é é um começo, rs).


Abraço

roberto1saa
(usa Outra)

Enviado em 10/07/2012 - 20:28h

neltavares boa noite eu dei o comando ping -t no ip ele esta aceitando ping

roberto1saa
(usa Outra)

Enviado em 12/07/2012 - 06:54h

neltavares o cara passou a noite inteira me atacando e meu servidor caindo
neltavares me da uma ideia para pelo menos para segura um pouco mas o servidor online

imagem de alguns ips que estão atacando:
http://i.imgur.com/rdLwP.png

roberto1saa
(usa Outra)

Enviado em 14/07/2012 - 06:47h

Alguem sabe mim dizer se essa regra vai bloquear os ips de 0.0.0.0 a 166.250.250.250

iptables -A INPUT -s 0.0.0.0/166.250.250.250 -j DROP

Outra duvida

Se eu usa a regra abaixo tem como eu criar uma outra regra para o servidor aceita apenas ping vindo do meu ip?
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP


Prints de alguns ip´s que consegui pega na hora do ataque

http://imgur.com/Y27aC,Z99XG,NMc98,mlj4s,OHLyK,lh9pF

http://i.imgur.com/Y27aC.png
http://i.imgur.com/Z99XG.png
http://i.imgur.com/NMc98.png
http://i.imgur.com/mlj4s.png
http://i.imgur.com/OHLyK.png
http://i.imgur.com/lh9pF.png

roberto1saa
(usa Outra)

Enviado em 16/07/2012 - 10:02h

Mas uma noite sem dormi

O filho de deus passou das 22:00 horas ate as 3:00 atacando meu servidor, eu creio que ele só parou porque foi dormi.

Vou deixa os vídeos que gravei durante o ataque, se alguém poder mim ajuda vou fica muito grato

http://tinypic.com/r/154g8i9/6
http://tinypic.com/r/1zzt5zc/6