Caro Marcelo, Eu consegui bloquear o ataque com a seguinte regra: /sbin/ipfw add 150 deny log udp from any to any src-ip 111.111.111.111 not src-port 53 not dst-port 53 not dst-ip 222.222.222.222 via re0 e ta funcionando legal.
Os fragmentos de um dos ataques coletados pelo tcpdump segue abaixo: IP (tos 0x0, ttl 64, id 54066, offset 0, flags [none], proto UDP (17), length 29, bad cksum 0 (->12a0)!) 111.111.111.111.50222 > 91.204.161.226.55624: [bad udp cksum 4e08!] UDP, length 1 IP (tos 0x0, ttl 64, id 54067, offset 0, flags [none], proto UDP (17), length 29, bad cksum 0 (->129f)!) 111.111.111.111.50222 > 91.204.161.226.55624: [bad udp cksum 4e08!] UDP, length 1 IP (tos 0x0, ttl 64, id 54068, offset 0, flags [none], proto UDP (17), length 29, bad cksum 0 (->129e)!) 111.111.111.111.50222 > 91.204.161.226.55624: [bad udp cksum 4e08!] UDP, length 1 IP (tos 0x0, ttl 64, id 54069, offset 0, flags [none], proto UDP (17), length 29, bad cksum 0 (->129d)!) 111.111.111.111.50222 > 91.204.161.226.55624: [bad udp cksum 4e08!] UDP, length 1 IP (tos 0x0, ttl 64, id 54070, offset 0, flags [none], proto UDP (17), length 29, bad cksum 0 (->129c)!) 111.111.111.111.50222 > 91.204.161.226.55624: [bad udp cksum 4e08!] UDP, length 1 Com a regra funcionando estou logando tb as tentativas de ataque, segue fragmentos do log do ipfw. Apr 4 10:01:09 ns1 kernel: ipfw: 150 Deny UDP 111.111.111.111:51541 94.125.182.234:39863 out via re0 Apr 4 10:01:09 ns1 kernel: ipfw: 150 Deny UDP 111.111.111.111:51078 94.125.182.234:21345 out via re0 Apr 4 10:01:09 ns1 kernel: ipfw: 150 Deny UDP 111.111.111.111:49361 94.125.182.234:63380 out via re0 Apr 4 10:01:09 ns1 kernel: ipfw: 150 Deny UDP 111.111.111.111:52813 94.125.182.234:52468 out via re0 Apr 4 10:01:09 ns1 kernel: ipfw: 150 Deny UDP 111.111.111.111:63571 94.125.182.234:27017 out via re0 Apr 4 10:01:09 ns1 kernel: ipfw: 150 Deny UDP 111.111.111.111:63269 94.125.182.234:24971 out via re0 Apr 4 10:01:09 ns1 kernel: ipfw: 150 Deny UDP 111.111.111.111:62786 94.125.182.234:34251 out via re0 As tentativas de ataque continuam, mas estaum parando todas na regra acima. Se alguém tiver alguma sugestão para melhorar a regra. Desde já agradeço a atenção recebida. Marco Aurélio V. da Silva ma...@prodatanet.com.br marcoprod...@gmail.com msn: ma...@prodatanet.com.br Prodata Inf. e Cadastros LTDA (33) 3322-4444 -----Mensagem Original----- From: Marcelo Gondim Sent: Wednesday, April 04, 2012 4:29 PM To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Subject: ***SPAM*** Re: [FUG-BR] Traduzir regra do TCPDUMP para o IPFW Em 04/04/2012 12:31, tro...@trober.com escreveu: >> Caros, >> >> Como seria a tradução desta escuta do tcpdump para uma regra do ipfw para >> travar este mesmo trafego ? >> >> tcpdump -i re0 -n -q -vvv udp and src 111.111.111.111 and not port 53 and >> not dst 222.222.222.222 >> >> Desde já agradeço a atenção recebida. >> >> Marco Aurélio V. da Silva Me parece que você está tentando bloquear um ataque e coletou o ataque com as regras filtradas acima. Ao invés de tentar fazer uma regra baseada no filtro acima, poste pra gente o resultado que foi o ataque para que a gente lhe mostre uma regra adequada ao ataque e não ao filtro. ;) Pode mascarar seu IP público. > [SNIP] > Boa tarde. > > Você aplicou três operadores lógicos "AND", ou seja, tudo precisa ser > verdadeiro, logo, a porta de origem e destino não podem ser 53, em ambos > os hosts. Procede? > > Se sim, sua regra de bloqueio fica assim: > > ipfw add deny udp from 111.111.111.111 not domain to not 222.222.222.222 > not domain > > Essa é a regra que atende "ipsis litteris" o que seu TCPDUMP está > capturando. Entretanto, "ipsis verbis", é isso mesmo que você precisa? Se > fosse um diálogo entre dois humanos, como você pediria a contraparte para > bloquear? > > Pressupondo que você deseja que o host 111.111.111.11 somente trafegue UDP > se for requisição DNS para o servidor 222.222.222.222, negando todo o > tráfego UDP restante, então a regra fica diferente, sendo: > > #Negar todo o tráfego UDP originado em 111.111.111.111, exceto requisições > DNS para 222.222.222.222 > ipfw add deny udp from 111.111.111.111 to not 222.222.222.222 not domain > > Espero ter ajudado. > > Saudações, > > Trober > - > - > - > - > - > > > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
