Proteger Tu Server de Ataques DDOS

Topic created · 7 Mensajes · 6581 Visitas
  • **Hola gente de UJ.

    Se que el Tema de la protección de un server no se ha tratado muy profundamente Y pss segun las pocas guías de seguridad pa un servidor Funcionana y otras no como la de Djzed Bloquear Ataques de DDOS que aha algunos no le funciona como ami que no em aparace el Pf.conf y no responden como hacerlo

    poes me eh deja la tare de investigar un poco sobre esto ataques y protección para plataformas BSD

    les dejo un tutorial que encontre que puede ser Que Funcione bajo un ataque (este se hace por firewall)**

    estoy realmente bajo un ataque DDoS ¿? :

    Muchas veces suele suceder que algunos usuarios y administradores confunden un ataque DDoS con algunas anomalías que se presentan en las redes o sistemas operativos. Los sintomas caracteristicos ante un ataque DDoS es la cantidad excesiva de procesos creados por demonios de servicio tales como httpd o eximd, ftpd, etc. que suelen ser los objetivos comunes de estos ataques y los recursos del sistema operativo suelen centrarse en la atención de esos servicios generando una gran carga del sistema muchas veces colapsando el mismo por falta de recursos.
    Para FreeBSD:

    netstat -na | awk '{print $5}' | cut -d. -f1-4 | sort -n | uniq -c | sort -n

    De esta forma podrán ver cuantas conexiones hay por ip a cada servicio de nuestro servidor y asi poder un poco quitarnos las dudas de si realmente es un ataque DDoS.

    Estoy Bajo un Ataque DDoS, Que hago ??

    Plataformas BSD:

    En las plataformas BSD ( mis favoritas ) el manejo de protocolos de comunicación es mucho mas complejo y por tal es mucho mas efectivo. Estas plataformas no poseen IPTABLES como sus hermanos LINUX, utilizan otros manejadores como lo son IPFW Y IPFILTER, estos Firewalls estan entre los mas solidos y efectivos entre los sistemas operativos.
    Aqui les pasaré algunas reglas de estos firewalls que pueden ser utiles para mitigar el efecto de DDoS pequeños que intentan consumir trafico de nuestro equipo.

    La siguiente configuración del firewall limitara las conexiones ssh y el trafico tcp syn entrante a 1 Mbit por segundo por cada IP de destino asi como el trafico entrante ICMP a 128kbits/s

    ipfw -q flush
    ipfwadd="let \"rule += 1\" ; ipfw -q add \$rule"
    ipfwaddpipe="let \"rule += 1\" ; ipfw -q add \$rule pipe \$rule"
    ipfwpipe="ipfw pipe \$rule"
    netclass="(incluir aqui la clase de la red Ej: 200.123"
    boxclass="colocar aqui CDIR Ej 200.72.1.2/24"
    mainip=`ifconfig | egrep "$netclass" | head -1 | awk '{ print $2 }' 2>/dev/null`

    ## TRAFICO ENTRANTE ##
    rule=227 ; let "rule -= 1"
    eval $ipfwaddpipe tcp from not $boxclass to any 22 setup in // TRAFICO ENTRANTE : SSH TCP-SYN POR IP DESTINO
    eval $ipfwpipe config bw 1Mbit/s mask dst-ip 0xffffffff

    eval $ipfwaddpipe icmp from any to any in // TRAFICO ENTRANTE: ICMP
    eval $ipfwpipe config bw 128Kbit/s

    Ahora para trabajar con el trafico saliente podemos utilizar las siguientes reglas que limitaran el trafico UDP a 3 mbits, el trafico TCP de puertos que no sean del 1 al 1023 a 256kbits/s por ip fuente y el trafico ICMP saliente a 128 kbits/s en total.

    ## TRAFICO SALIENTE ##
    rule=229 ; let "rule -= 1"
    eval $ipfwaddpipe udp from any not 1-1023 to any out // TRAFICO SALIENTE: UDP
    eval $ipfwpipe config bw 3Mbit/s

    eval $ipfwaddpipe tcp from any not 1-1023 to any setup out // TRAFICO SALIENTE: TCP POR IP DE ORIGEN
    eval $ipfwpipe config bw 256Kbit/s mask src-ip 0xffffffff

    eval $ipfwaddpipe icmp from any to any out // TRAFICO SALIENTE : ICMP
    eval $ipfwpipe config bw 128Kbit/s

    Este tipo de reglas atenuarán de forma considerable un ataque pequeño a nuestros servidores FreeBSD.

    Ahora para para manejar el tipo de ataque basado en servicios uno puede simplemente hacer un rate limit por puerto e ip. ejemplo:

    ipfw -q add #regla allow tcp from any to 200.45.2.15 dst-port 80 in limit src-addr 40

    Esta regla limitara por IP a un limite de 40 conexiones en el puerto 80 de nuestra ip 200.45.2.15 . obviamente estos valores son de ejemplo y uno puede ajustarlos a gusto y en cualquier puerto comprometido.

    Tambien se puede limitar la cantidad de conexiones total a un puerto o ip
    ej:

    ipfw -q add #regla allow tcp from any to 200.123.14.155 dst-port 25 in limit dst-addr 30

    esta regla limitara a la ip 200.123.14.155 a recibir solo 30 conexioens en el port 25.

    Estas reglas y ayuda son solo para aquellos que estan siendo victimas de ataques ddos pequeños.

    **Con esta guía que encontre pueden Medio protegerse de ataques DDOs peuqeños los que te hacenpetar el Server 😧

    PD: esto aun no lo eh probado pero segun por lo que la utlización de comandos lo que se ahce es dar reglas para el firewall algo asi

    Fuente:

    http://www.comunidadhosting.com/asuntos-tecnicos/7019-guia-para-saber-que-hacer-ante-un-ataque-ddos-parte-1-a.html**

  • Mas rapido en lo basico claro, osea a prueba de lammers no de hackers reales.
    add deny icmp from 0/0 to tuip
    add deny icmp from tuip to 0/0
    eso agregado al rc.firewall.rules o como le llames y no veran la ip osea cuando tiren los pines o pines de la muerte no respondera, muchos empiezan por hay parten tirando pines para ver si hay respuesta es como se escanea en la red, aveces hay muchos script que buscan maquinas zombis muchas veces para tirar ataques por fuerza bruta o encontrar relays abiertos o muchas cosas mas.
    xD.

    Se me olvidaba la fuente:
    Yo, kuek...

    Otra opcion mas facil seria colocar un firewall en la red como asen las grandes empresas de hosting, un firewall con la ip publica y dentro en la red interna la maquina con el servicio en un nateo, un buen software para eso es el Mikrotik un software en base a linux que puede ser instalado en un pc el cual se transforma en un poderoso router con Layer 7 y mucho mas, con el cual puedes setear ilimitadas configuraciones de proteccion control y claro ya lo dije mucho mas.

  • no te enrrolles xDDD

    lo mas facil, es meterle como dice Samaelito, 2 firewalls, aparte de cambiar los puertos de ssh,

    lo que si os recomiendo, es tener la web fuera del host, sin perl5 no pueden hacer ddos xd, y un ddos a una web dentro del host afectaria a todo el host, por eso lo digo...

  • **a por eso eh echo la weba separa montada orgullosamente en ww.000webhost.com

    y sama como lo ago ams rapido xDDD para eso puse la guía apra aquelllos ^Y que hackers :|||:
    porque no se le llama ni hakcer lo que ahcenes es buscar programas y cosas asi en epvp y dañana aservers desprotegido principalmente serves con hamachi :facepalm: **

  • jajaj te tengo una simple solucion contra los ataques de negacion descarg los files de daroo busca la carpeta kernel copia el contenido de andetro y pegalo en el 2007 y funcionara perfectamente y con porteccion de atake de negacion xD

  • **en que 2007? en o en el kernerl de mi instat? **

  • No le entiendo a eso xd alguien me la puede explicar esa regla 😄