Pagina 1 di 2 12 Ultima
Risultati da 1 a 10 di 11

Discussione: Come difendersi dagli attacchi DDoS - Windows 2003

  1. #1

    Lightbulb Come difendersi dagli attacchi DDoS - Windows 2003

    Chi ha un server dedicato e non è mai stato esaminato a fondo dagli hacker Russi, Cinesi e Ukraini, è fortunato. Finora pensavo che non sarebbe mai successo, e invece ...

    Dunque questo capitolo nasce fresco dall'esperienza appena vissuta e vinta in via definitiva. Ve la racconto brevemente, mentre mi dedico soprattutto alla descrizione dei numerosi interventi tecnici, che sono richiesti. Ovviamente, un totale principiante non può farci nulla.

  2. #2

    Mettere il freno ad Apache

    Prima di tutto, non è possibile salvarsi preventivamente dagli attacchi, ma si può fare qualcosina a livello di Apache, tipo inserire tanti Deny From 1.2.3.0/24 nei diritti di accesso.

    Ad esempio, una tipica configurazione potrebbe trovarsi nel file .htaccess, dove si cerca prima di arginare l'arrivo degli invasori:

    Order allow,deny
    Allow From All
    Deny From 1.2.3.4
    Deny From 5.6.7.0/24

    L'ordine definito da Order allow,deny è vitale. Ovviamente nel manuale ufficiale l'hanno sbagliato e invertita (Order deny,allow), e quindi non va. Prima si permette tutto e poi si nega l'accesso a determinati IP.

    Un po' meno intuitivo è la sintassi implicita dei CIDR che richiede che i byte mascherati siano zeri, altrimenti non va nemmeno quella, anche se non dovrebbe fare nessuna differenza. Ergo 5.6.7.0/24 funziona, 5.6.7.8/24 non funziona. Da tenere presente, quando il tempo stringe

  3. #3

    Installare dosevasive22_module

    Come già detto qui, è un ottimo mezzo per contenere le iniziali fasi dell'attacco. Bisogna tenere presenti due cose importanti dei nostri avversari:

    Sono pigri e di regola non sanno cosa fanno.

    Questi due fattori ci permettono di vincere la battaglia in tempi ragionevoli. L'efficienza dipende anche dalla nostra voglia di imparare cose nuove. Se ci manca, è meglio terminare qui e affidare il caso a un esperto.

    L'impostazione corretta è:

    Codice:
    <IfModule dosevasive22_module>
        DOSHashTableSize 3097
        DOSPageCount 3
        DOSSiteCount 50
        DOSPageInterval 1
        DOSSiteInterval 1
        DOSBlockingPeriod 10
    </IfModule>
    C'è un unico problema: Apache emette per ogni richiesta respinta una pagina di errore, che alla fine satura il sistema, e comunque bisogna andare a combattere altrove, nella giungla dell'IPSec.

  4. #4

    Installare le utilità di supporto

    Le utilità di supporto possono essere scaricate qui da Microsoft per XP. Non si installa, ma gira anche su Windows 2003.

    Il problema è, come ca**o installare questi mezzi indispensabili sul nostro PC con Windows Vista, Windows 7 o Windows 2003. Eccoci quindi con la cura: metto i file a disposizione.

    Questi file vanno messo in una cartella a vostra scelta, ma non sul desktop.
    File Allegati File Allegati

  5. #5

    Creare dei file Batch

    Per la manutenzione facile, vi consiglio di utilizzare esclusivamente il blocco dinamico degli IP, e creare quindi alcuni file Batch per facilitare la gestione.

    I seguenti file si mettono tutti in una cartella e si correggono i percorsi a ipseccmd.exe. Altrimenti non succede proprio nulla

    ipban.bat
    Codice:
    @ECHO OFF
    REM MAI FARE: ipseccmd -f [mio_ip=*]
    REM Altrimenti bisogna rimuovere la regola da un'altra macchina o riavviare,
    REM salvo che il firewall di Windows "ripara" questo problema, ma non credo.
    REM PROVE:
    REM QUI: ipseccmd -f [altro_ip=*]
    REM Su altro_ip: telnet mio_ip 25
    "D:\Program Files\Support Tools\ipseccmd.exe" -u > nul
    REM 2010-06-05
    CALL _ipban.bat 58.61.164.*
    CALL _ipban.bat 66.90.104.159
    CALL _ipban.bat 67.159.44.*
    CALL _ipban.bat 74.118.192.*
    CALL _ipban.bat 76.73.*.*
    _ipban.bat
    Codice:
    @ECHO OFF
    IF %1X == X GOTO :END
    SET ipseccmd="D:\Program Files\Support Tools\ipseccmd.exe"
    ECHO %1
    %ipseccmd% -f [%1=*] > nul
    :END
    SET ipseccmd=
    add_ipban.bat
    Codice:
    @ECHO OFF
    IF %1X == X GOTO :END
    REM Harden system
    CALL _ipban.bat %1
    ECHO CALL _ipban.bat %1>>ipban.bat
    :END
    _ipallow.bat
    Codice:
    @ECHO OFF
    IF %1X == X GOTO :END
    ECHO %1
    "D:\Program Files\Support Tools\ipseccmd.exe" -f (%1=*) > nul
    :END

  6. #6

    Come bloccare gli hacker

    Siamo arrivati fin qui, e il lavoro maggiore ci attende ancora. Prima di tutto dobbiamo togliere i divieti dal file .htaccess, visto che ora abbiamo lo scettro pronto per colpire.

    Vi consiglio caldamente di non bloccare il vostro IP a titolo di prova, insomma a nessun titolo. Vi potreste trovare nella situazione di non sapere come riavviare o altrimenti accedere al server. Ve l'ho detto ...

    Ora lanciate il programma Apache Monitor, che troverete nella cartella bin di Apache (2.2.x), se non avete fatto strage. Si mette bravo nella Tray. Poi andate a copiare il nutrito file log con gli errori sul desktop, dopo aver spento un attimo Apache. Avviatelo dopo. Se il file log non vi serve per le statistiche, potete anche spostarlo, tanto gli hacker vi fanno subito un altro ancora più pieno.

    Andate a cercare errori del genere:
    Codice:
    [Sat Jun 05 23:44:41 2010] [error] [client 217.23.13.66] client denied by server configuration: D:/vhosts/xxx.it/httpdocs/forum/yyy.php (Possible DOS Attack)
    Quello che vi attacca, ha una lunga lista di questi errori, solitamente sempre con lo stesso file. Ecco perché spiegato perché sono pigri. Usano il programma ab (Apache Benchmark) di Linux pe farci la visita. Prendiamo il suo IP e lo depositiamo con add_ipban.bat:
    Codice:
    add_ipban 217.23.13.66
    Questo piccolo programma inserisce l'IP nella tabella degli IP da scartare, e lo aggiunge anche alla nostra lista generale. Se l'inserimento fallisce, è probabile che c'è già nella policy, ad esempio da un aggiornamento di Windows. Tuttavia potrebbe essere disattivato per qualche motivo, ma prima dobbiamo calmare le acque. Le rifiniture facciamo dopo

    Se siete abili ricercatori, entro breve il livello della CPU torna al normale, ma forse anche di più. Perché? Qualche hacker è sempre attivo, ora beccate tutti!

    E' però importante di non bloccare eventuali legittimi utenti che in preda al panico rinfrescano le pagine a raffica.

  7. #7

    Le rifiniture

    Quando blocchiamo gli hacker, ci si rende subito conto di alcune tipiche tattiche: cambiano IP e rientrano con ancora più violenza. E' chiaro che si rendono conto del nostro operato, e devono ora batterci anche sul tempo. Se sapessero cosa fanno, smetterebbero subito e andrebbero a riprovare magari domani. Ma non ci arrivano a queste finezze. Invece a lasciarci a bocca asciutta, ce la riempiono.

    Meno male che gli IP costano (gli attacchi professionali sono diretti da server grossi), e si fa presto a trovare lo schema base.

    Nel nostro file ipban.bat troveremo tutta una serie di IP da bloccare, che spesso appartengono allo stesso gruppo di IP. E' essenziale di ridurre il numero di IP al massimo e quindi usare i wildcard per bloccare un po' tutti, anche quelli che eventualmente non sono mai apparsi. Generalmente si possono bloccare tranquillamente tutti Cinesi e Russi. Fin quando non abbiamo loro come clienti, è difficile che ci vengono a trovare per la cortesia. Abbiate però cura della scelta. Ogni IP bloccato non entra da nessunissima parte, server email compreso. Potrebbe essere un problema. Ecco spiegato perché è bene avere il server di posta su un server separato.

    Se abbiamo degli IP tipo:

    1.2.3.1
    1.2.3.2
    1.2.3.3
    1.2.3.4
    1.2.3.5
    1.2.3.6
    1.2.3.7
    1.2.3.8
    1.2.3.9

    possiamo dire:

    1.2.3.*

    Se c'è un gruppo tipo:

    CALL _ipban.bat 94.142.129.*
    CALL _ipban.bat 94.142.130.*
    CALL _ipban.bat 94.142.131.*
    CALL _ipban.bat 94.142.132.*
    CALL _ipban.bat 94.142.133.*
    CALL _ipban.bat 94.142.134.*

    è abbastanza intuitivo di trasformare tutto in

    CALL _ipban.bat 94.142.*

    Occhio però ai conflitti. Bisogna andare su Internet e indagare di chi sono questi IP e dove si trovano. Nel dubbio è meglio lasciarli separati.

    Doppio occhio agli IP che iniziano come il nostro. Non è la prima volta che un server nelle nostre vicinanze viene utilizzato come veicolo da hacker. Se succede questo, dovete assolutamente segnalare il problema al provider. Così avete anche la doppia soddisfazione: un server costa un sacco di soldi, e quello mancherà moltissimo al hacker. Se c'è qualcosa che fa male anche a loro, è la perdita di soldi. Teniamolo sempre in mente

  8. #8

    Per concludere

    ... eccovi l lista di ieri:

    CALL _ipban.bat 58.61.164.*
    CALL _ipban.bat 66.90.104.159
    CALL _ipban.bat 67.159.44.*
    CALL _ipban.bat 74.118.192.*
    CALL _ipban.bat 76.73.*.*
    CALL _ipban.bat 87.250.253.243
    CALL _ipban.bat 91.214.44.*
    CALL _ipban.bat 94.142.129.*
    CALL _ipban.bat 94.142.130.*
    CALL _ipban.bat 94.142.131.*
    CALL _ipban.bat 94.142.132.*
    CALL _ipban.bat 94.142.133.*
    CALL _ipban.bat 94.142.134.*
    CALL _ipban.bat 95.108.*.*
    CALL _ipban.bat 109.123.80.*
    CALL _ipban.bat 112.111.175.*
    CALL _ipban.bat 114.80.*.*
    CALL _ipban.bat 124.115.1.*
    CALL _ipban.bat 174.141.231.153
    CALL _ipban.bat 187.210.137.*
    CALL _ipban.bat 193.200.150.*
    CALL _ipban.bat 206.*.*.*
    CALL _ipban.bat 212.48.8.140
    CALL _ipban.bat 217.23.13.66
    CALL _ipban.bat 218.96.96.*
    CALL _ipban.bat 218.96.112.*
    CALL _ipban.bat 218.96.120.*
    CALL _ipban.bat 218.96.124.*
    CALL _ipban.bat 218.96.126.*
    CALL _ipban.bat 218.96.127.*

  9. #9

    Lista aggiornata

    CALL _ipban.bat 173.208.127.178
    CALL _ipban.bat 174.141.231.153
    CALL _ipban.bat 206.51.226.198
    CALL _ipban.bat 206.217.211.118

    CALL _ipban.bat 58.60.0.0/255.252.0.0
    CALL _ipban.bat 61.*
    CALL _ipban.bat 67.*
    CALL _ipban.bat 74.*
    CALL _ipban.bat 76.*
    CALL _ipban.bat 87.250.253.*
    CALL _ipban.bat 91.214.44.*
    CALL _ipban.bat 94.142.128.0/255.255.248.0
    CALL _ipban.bat 95.108.0.0/255.255.128.0
    CALL _ipban.bat 109.123.80.*
    CALL _ipban.bat 112.111.*
    CALL _ipban.bat 114.80.0.0/255.240.0.0
    CALL _ipban.bat 123.112.0.0/255.240.0.0
    CALL _ipban.bat 124.114.0.0/255.254.0.0
    CALL _ipban.bat 187.210.*
    CALL _ipban.bat 193.*
    CALL _ipban.bat 212.95.54.*
    CALL _ipban.bat 217.23.13.*
    CALL _ipban.bat 218.96.0.0/255.255.0.0
    CALL _ipban.bat 218.97.0.0/255.255.128.0

    CALL _ipban.bat 174.36.228.154

  10. #10

    Lista aggiornata

    CALL _ipallow.bat 66.249.64.0/255.255.224.0
    CALL _ipallow.bat 72.14.192.0/255.255.192.0
    CALL _ipallow.bat 74.125.*

    CALL _ipban.bat 41.145.14.163
    CALL _ipban.bat 173.208.127.178
    CALL _ipban.bat 174.36.228.154
    CALL _ipban.bat 174.141.231.153
    CALL _ipban.bat 206.51.226.198
    CALL _ipban.bat 206.217.211.118

    CALL _ipban.bat 2.80.0.0/255.252.0.0
    CALL _ipban.bat 24.*
    CALL _ipban.bat 58.60.0.0/255.252.0.0
    CALL _ipban.bat 61.*
    CALL _ipban.bat 64.59.64.0/255.255.192.0
    CALL _ipban.bat 64.83.0.*
    CALL _ipban.bat 67.*
    CALL _ipban.bat 70.84.0.0/255.252.0.0
    CALL _ipban.bat 70.112.0.0/255.240.0.0
    CALL _ipban.bat 71.*
    CALL _ipban.bat 72.160.0.0/255.254.0.0
    CALL _ipban.bat 74.*
    CALL _ipban.bat 76.*
    CALL _ipban.bat 77.91.196.62
    CALL _ipban.bat 80.91.161.168/255.255.255.248
    CALL _ipban.bat 80.133.171.242
    CALL _ipban.bat 82.154.*
    CALL _ipban.bat 83.252.106.89
    CALL _ipban.bat 85.*
    CALL _ipban.bat 87.54.44.240/255.255.255.248
    CALL _ipban.bat 87.250.253.*
    CALL _ipban.bat 88.212.0.0/255.255.192.0
    CALL _ipban.bat 89.248.54.*
    CALL _ipban.bat 91.214.44.*
    CALL _ipban.bat 92.112.*
    CALL _ipban.bat 92.126.254.*
    CALL _ipban.bat 93.136.198.121
    CALL _ipban.bat 94.21.31.*
    CALL _ipban.bat 94.142.128.0/255.255.248.0
    CALL _ipban.bat 94.251.64.0/255.255.240.0
    CALL _ipban.bat 95.108.0.0/255.255.128.0
    CALL _ipban.bat 96.224.0.0/255.224.0.0
    CALL _ipban.bat 109.123.80.*
    CALL _ipban.bat 109.173.*
    CALL _ipban.bat 109.182.4.10
    CALL _ipban.bat 112.111.*
    CALL _ipban.bat 114.80.0.0/255.240.0.0
    CALL _ipban.bat 123.112.0.0/255.240.0.0
    CALL _ipban.bat 124.114.0.0/255.254.0.0
    CALL _ipban.bat 178.137.20.132
    CALL _ipban.bat 186.88.0.0/255.248.0.0
    CALL _ipban.bat 187.34.*
    CALL _ipban.bat 187.38.*
    CALL _ipban.bat 187.210.*
    CALL _ipban.bat 188.92.74.34
    CALL _ipban.bat 189.84.*
    CALL _ipban.bat 189.130.161.0/255.255.255.0
    CALL _ipban.bat 190.25.*
    CALL _ipban.bat 190.34.*
    CALL _ipban.bat 190.35.*
    CALL _ipban.bat 190.81.102.128/255.255.255.128
    CALL _ipban.bat 190.144.0.0/255.252.0.0
    CALL _ipban.bat 190.172.0.0/255.254.0.0
    CALL _ipban.bat 190.198.*
    CALL _ipban.bat 190.199.*
    CALL _ipban.bat 190.200.0.0/255.248.0.0
    CALL _ipban.bat 190.206.*
    CALL _ipban.bat 194.84.61.*
    CALL _ipban.bat 195.138.85.129
    CALL _ipban.bat 195.225.228.0/255.255.252.0
    CALL _ipban.bat 196.*
    CALL _ipban.bat 198.54.202.*
    CALL _ipban.bat 200.4.160.0/255.255.240.0
    CALL _ipban.bat 200.42.160.0/255.255.240.0
    CALL _ipban.bat 201.47.32.*
    CALL _ipban.bat 212.26.141.64/255.255.255.192
    CALL _ipban.bat 212.95.32.0/255.255.252.0
    CALL _ipban.bat 212.95.54.*
    CALL _ipban.bat 212.96.222.*
    CALL _ipban.bat 212.96.223.*
    CALL _ipban.bat 213.141.128.0/255.255.224.0
    CALL _ipban.bat 213.147.110.*
    CALL _ipban.bat 216.16.100.210
    CALL _ipban.bat 216.230.128.0/255.255.224.0
    CALL _ipban.bat 217.23.13.*
    CALL _ipban.bat 218.96.0.0/255.255.0.0
    CALL _ipban.bat 218.97.0.0/255.255.128.0

Pagina 1 di 2 12 Ultima

Discussioni Simili

  1. Risposte: 2
    Ultimo Messaggio: 07-04-2009, 21:29
  2. Risposte: 0
    Ultimo Messaggio: 24-03-2009, 13:48
  3. Risposte: 0
    Ultimo Messaggio: 22-03-2009, 12:43

Tag per Questa Discussione

Segnalibri

Permessi di Scrittura

  • Tu non puoi inviare nuove discussioni
  • Tu non puoi inviare risposte
  • Tu non puoi inviare allegati
  • Tu non puoi modificare i tuoi messaggi
  •