PF Nele!!!!
Retirado do FAQ do PF
"...
Opções de Rastreamento de Estado
Quanto uma regra de filtragem cria uma entrada na tabela de estados
através do uso de qualquer uma das palavras-chave keep state, modulate
state ou synproxy state, algumas opções podem ser especificadas que
controlam o comportamento da criação de estados. As seguintes opções
estão disponíveis:
max número
Limita o número máximo de estados que a regra pode criar para
número. Se o máximo for alcançado, pacotes que normalmente criariam
estados são descartados até que o número de estados existentes
diminua.
source-track
Esta opção habilita o rastreamento do número de estados criados
por endereço IP de origem. Esta opção tem dois formatos:
* source-track rule - O número máximo de estados criados por
esta regra é limitado pelas opções max-src-nodes e max-src-states da
regra. Somente estados criados por esta regra em particular conta para
o limite da regra.
* source-track global - O número de estados criados por todas
as regras que usam esta opção é limitado. Cada regra pode especificar
diferentes opções para max-src-nodes e max-src-states, contudo estados
criados por qualquer regra participante conta cada limite de regra
individualmente.
O número total de endereços IP de origem rastreados globalmente
podem ser controlados pela opção src-nodes em tempo de execução.
max-src-nodes número
Quando opção source-track é usada, max-src-nodes limitará o número
de endereços IP de origem que podem criar estados simultâneamente.
Esta opção só pode ser usada com source-track rule.
max-src-states número
Quanto a opção source-track é usada, max-src-states limitará o
número de estados simultâneos que podem ser criados por endereços IP
de origem. O escopo deste limite (ex., somente estados criados por
esta regra ou estados criados por todas a regras que usam
source-track) é dependente da opção source-track especificada.
Uma regra de exemplo:
pass in on $ext_if proto tcp to $web_server \
port www flags S/SA keep state \
(max 200, source-track rule, max-src-nodes 100, max-src-states 3)
A regra acima define o seguinte comportamento:
* Limita o número máximo de estados que esta regra pode criar para 200
* Habilida rastreamento por origem; limita a criação de estados
baseada em estados criados apenas por esta regra
* Limita o número máximo de nós que podem criar estados
simultâneamente para 100
* Limita o número máximo de estados simultâneos por IP de origem para 3
Um conjunto separado de restrições pode ser colodado em conexões TCP
stateful que completaram o 3-way handshake.
max-src-conn número
Limita o número máximo de conexões TCP simultâneas que completaram
o 3-way handshake que um único host pode fazer.
max-src-conn-rate número / intervalo
Limita a taxa de novas conexões a uma certa quantidade por
intervalo de tempo.
Ambas as opções invocam automaticamente a opção source-track rule e
são incompatíveis com source-track global.
Uma vez que estes limites são colocados em conexões TCP que
completaram o 3-way handshake, ações mais agressivas podem ser tomadas
em endereços IP ofensivos.
overload <tabela>
Coloca um endereço IP de um host ofensivo em uma tabela.
flush [global]
Mata qualquer outro estado que combine com esta regra e que foi
criado por este IP de origem. Quando global é especificado, mata todos
os estados combinando este IP de origem,
Um exemplo:
table <abusive_hosts> persist
block in quick from <abusive_hosts>
pass in on $ext_if proto tcp to $web_server \
port www flags S/SA keep state \
(max-src-conn 100, max-src-conn-rate 15/5, overload
<abusive_hosts> flush)
Isto faz o seguinte:
* Limita o número máximo de conexões por origem para 100
* Limita a taxa de número de conexões para 15 em medição de 5 segundos
* Coloca o endereço IP de qualquer host que quebre estes limites
na tabela <abusive_hosts>
* Para qualquer endereço IP ofensivo, limpa qualquer estado criado
por esta regra.
..."
Em 05/09/07, Gilberto Villani Brito<[EMAIL PROTECTED]> escreveu:
> On 05/09/07, Marcio Antunes <[EMAIL PROTECTED]> wrote:
> > O pior ele ficar pagando 50 dolares.. pq intimidação é complicado.. o cara
> > vai
> > querer fazer isso novamente..
> >
> > >>1- conversar com a telecom para eles identificarem a origem e bloquearem;
> >
> > ele ja fez isso.. e esta em constante contanto.. porem ate agora nada
> > fizeram..
> >
> > >>2 - trocar o bloco de ip do provedor (incluindo o ip do roteador de
> > >>borda);
> >
> > Ja trocou.. o bloco de ip, trocou o roteador e nada
> >
> > 3 - pagar os 50 dólares.
> >
> > O pior ele ficar pagando 50 dolares.. pq intimidação é complicado.. o cara
> > vai
> > querer fazer isso novamente..
> >
> >
> > Em 05/09/07, Welkson Renny de Medeiros<[EMAIL PROTECTED]> escreveu:
> > > daria uma boa thread lá no GTS-L ou GTER... obrigar o cara a pagar para
> > > parar com o ataque ... rsrsrs :-)
> > >
> > > Sem mais,
> > >
> > >
> > > --
> > > Welkson Renny de Medeiros
> > > Focus Automação Comercial
> > > Desenvolvimento / Gerência de Redes
> > > [EMAIL PROTECTED]
> > >
> > >
> > >
> > > Powered by ....
> > >
> > > (__)
> > > \\\'',)
> > > \/ \ ^
> > > .\._/_)
> > >
> > > www.FreeBSD.org
> > >
> > >
> > > ----- Original Message -----
> > > From: "Gilberto Villani Brito" <[EMAIL PROTECTED]>
> > > To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
> > > <freebsd@fug.com.br>
> > > Sent: Wednesday, September 05, 2007 4:54 PM
> > > Subject: Re: [FUG-BR] Ataque de DDoS tem como evitar ?
> > >
> > >
> > > On 05/09/07, Marcio Antunes <[EMAIL PROTECTED]> wrote:
> > > > Lista,
> > > >
> > > > Um amigo tem um pequeno provedor, ele esta sendo atacado há varios
> > > > dias, ja tentou de todas as formas, até mesmo com a operadora e não
> > > > conseguiu bloquear esse ataque, o atacante esta conseguindo deixar a
> > > > navegação dele lenta.
> > > >
> > > > Sei que para esse tipo de ataque é quase impossivel evitar, ouvi dizer
> > > > que o OpenBSD existe possibilide de barrar um ataque desse é verdade
> > > > ? no FreeBSD é possivel ? será que usando regras PF ou IPFW é
> > > > possivel
> > > >
> > > > Olha o e-mail que ele recebeu..do sacana..
> > > >
> > > > =============
> > > > >"Ola."
> > > > >"Sou dos USA e estou enviando ataques DDoS no seu servidor e
> > > > brevemente estarei" >"finalizando sua conta com ataques de 50gigabit
> > > > direto no gateWAY,se fosse eu eu ja >teria parado com o seu
> > > > provedorzinho de bosta."
> > > > >"O DDOS VAI COME QUENTE FILHO DA PUTA! "
> > > > >"O BONDE É XAPA KENTE MANÉ NINGUEM ME SEGURA FODA-SE A SEUS INDIOS
> > > > >"FILHOS DA PUTA LAZARENTOS!
> > > > >"PRA PARAR O ATAQUE EU QUERO 50 DOLLARES VIA:"
> > > > >"WWW.PAYPAL.COM"
> > > >
> > > > >":)"
> > > > >"GOOD NIGHT!"
> > > >
> > > > Alguem teve algum caso parecido.. ?
> > > > -------------------------
> > > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > > >
> > >
> > > Inicialmente eu acho que existe 3 soluções:
> > > 1 - conversar com a telecom para eles identificarem a origem e bloquearem;
> > > 2 - trocar o bloco de ip do provedor (incluindo o ip do roteador de
> > > borda);
> > > 3 - pagar os 50 dólares.
> > >
> > > Abraços
> > > --
> > > Gilberto Villani Brito
> > > System Administrator
> > > Londrina - PR
> > > Brazil
> > > gilbertovb(a)gmail.com
> > > -------------------------
> > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > >
> > > -------------------------
> > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > >
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
>
> Você já identificou da onde vem esse ataque???
> Pode ser difícil para a telecom, mas não é impossível. Na minha
> opinião isso é corpo mole por parte deles.
> Evitar o ataque usando o seu firewall não tem como, pois se os pacotes
> chegam na sua máquina, mesmo sendo ignorados eles consomem a banda do
> seu link.
> Se realmente a troca de IPs já foi feita e não funcionou, "brigue" com
> a telecom pela solução.
>
> OBS: A opção 3 que eu sugeri foi irônica, eu esqueci de colocar
> hahahahah... na frente.
>
> Abraços
> --
> Gilberto Villani Brito
> System Administrator
> Londrina - PR
> Brazil
> gilbertovb(a)gmail.com
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
--
Thiago J. Ruiz
http://thiagoruiz.blogspot.com
-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
