Ir para o conteúdo
ou

Logo noosfero

ODF Alliance Award

Furusho

TDF Planet

redirection forbidden: http://planet.documentfoundation.org/atom.xml -> https://planet.documentfoundation.org/atom.xml

BR.Linux.org

redirection forbidden: http://br-linux.org/feed -> https://br-linux.org/feed

Seja Livre!

redirection forbidden: http://sejalivre.org/feed/ -> https://sejalivre.org/feed/

Linux Feed

getaddrinfo: Name or service not known

Computerworld

getaddrinfo: Name or service not known

PC World

getaddrinfo: Name or service not known

IDG Now!

getaddrinfo: Name or service not known

Info

Invalid feed format.

Users SL Argentina

redirection forbidden: http://drupal.usla.org.ar/rss.xml -> https://cobalto.gnucleo.net/rss.xml

Tux Chile

Tecno Libres - Cubas

redirection forbidden: http://gutl.jovenclub.cu/feed -> https://gutl.jovenclub.cu/feed

Software Libre Peru

Linux Venezuela

Invalid feed format.

GNU/Linux Paranguay

Invalid feed format.

Soft Libre Honduras

Invalid feed format.

 Voltar a FREE SOFTWAR...
Tela cheia

Lidando com SIP DoS/DDoS no Asterisk

28 de Fevereiro de 2011, 0:00 , por Software Livre Brasil - 0sem comentários ainda | Ninguém está seguindo este artigo ainda.
Visualizado 1066 vezes

Enviado por Charles Alandt (charles·alandtΘgmail·com):

“Depois de “bater a cabeça” no sabado de manhã de sol, com um SIP DoS/DDoS vindo de varios lugares do mundo e ler muito dump de pacotes para entender o que estava acontecendo. Deixo a dica abaixo pois encontrei pouquíssima informação em PT-BR.

Sintomas foram: – Uso excessivo de banda de internet (100% usado) – Uso excessivo do hardware (100% CPU e 100% Memória) – O ataque era em diferentes horários, randomicos e dias aleatórios. O que dificulta bastante para detectar.

Com estes dois itens, já temos a situação de: – Qualidade da voz estava ruim, mas ruim mesmo. ..

Um simples IPTABLES não resolve o problema pois o ataque utiliza varias formas e portas diferentes. Então num DROP, no ip do iniciador do ataque não resolve. Pois ele troca de IP, e ninguem quer acordar no meio da noite para verificar qual será o novo IP do “nosso amigo”. Precisamos automatizar esta ferramenta.

Depois de ler os pacotes chegando na interface de rede, via tcpdump/wireshark, notei que todos utilizavam a seguinte tag no pacote SIP, User-Agent=friendly-scanner. Agora ficou simples, não ?

A seguinte linha no iptables, resolve: iptables -I INPUT -j DROP -p udp -dport 5060 -m string -string “friendly-scanner” -algo bm

Enquanto não trocarem a tag está tranquilo, mas, podemos pensar em ativar iptables com um ratelimit em conjunto com as tag de pacote INVITE, REGISTER e USER-AGENT. So o iptables com ratelimit não funcionou 100%, pois o ataque troca as portas de forma bem “inteligente”.

Segue links que ajudaram a resolver a situação: [blog.sipvicious.org/…], [jcs.org/…], [wiki.voicenetwork.ca/…].

Se alguem quiser os dump para analise, ainda tenho uma copia é so solicitar via email ou qualquer outra dúvida ou informação, segue meu contato : Charles Josiah Rusch Alandt, charles.alandt(a)gmail.com”


Fonte: http://br-linux.org/2011/lidando-com-sip-dosddos-no-asterisk/

0sem comentários ainda

Enviar um comentário

Os campos são obrigatórios.

Se você é um usuário registrado, pode se identificar e ser reconhecido automaticamente.