Duda sobre protección DDoS

Iniciado por bernatixer, Diciembre 16, 2016, 04:38:17 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Diciembre 16, 2016, 04:38:17 PM Ultima modificación: Diciembre 17, 2016, 06:17:01 AM por bernatixer
Buenas, describo la situación. Tengo un servidor de un juego, este últimamente esta recibiendo ataques de ~5Gbps. Mi duda es, como puedo preveer estos ataques? Por lo visto atacan con UDP.

Edit:

Gracias de antemano.
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Diciembre 16, 2016, 04:42:57 PM #1
Yo te recomiendo instalar CSF, el cual es un Firewall que funciona de la mano con IPTABLES y es muy bueno y facil de usar.

Para instalar CSF debes seguir los siguientes pasos:

Código: bash
cd /usr/src
rm -fv csf.tgz
wget https://download.configserver.com/csf.tgz
tar -xzf csf.tgz
cd csf
sh install.sh


El siguiente paso es saber si estan activado todos los modulos de iptables que necesita CSF para funcionar.

Código: bash
perl /usr/local/csf/bin/csftest.pl


Es posible que aparezcan algunos warnings.. no es nada para preocuparse.. Si aparece un FATAL error.. ahi si habría que solucionarlo. Pero no deberías tener problemas.

Es recomendable que no tengas otro script o firewall similar ya que puede entrar en conflicto con CSF. Para saber si tenes otro script instalado en tu server, corre el siguiente script:

Código: bash
sh /usr/local/csf/bin/remove_apf_bfd.sh


Aclaro que ese script remueve los firewalls que puedan entrar en conflicto con CSF.

Hay un archivo de configuración en donde puedes modificar las reglas del firewall

Código: bash
/etc/csf/csf.conf


Ahi podes configurar cuantas peticiones puede hacer cada ip cada cierto tiempo. Por ejemplo, puedes poner que 1 IP no pueda hacer mas de 5 Peticiones en 30 segundos.

Al ser un DDoS las IPs excederán ese límite y automáticamente el script lo banneará.

Si haces algún cambio en ese archivo de configuración, ejecutá lo siguiente para que tome efecto:

Código: bash
csf -r


Con esto ya deberías frenarlo. Este script funciona de la mano con IPTABLES, asique de forma muy sencilla evitas todos los pasos para no tener que configurar las reglas de IPTABLES.

A las IPs banneadas las agrega en un blacklist que luego puedes limpiar.

Además de detener DDoS, también detecta bruteforces al FTP, SSH, además de scanneos que realicen al servidor... La verdad es que es bastante completo.



Otra cosa que podes hacer, es frenar el ataque a mano (teniendo CSF instalado).

Lo primero que tenes que hacer, es ver que IPs estan conectadas y cuantas peticiones está haciendo cada una. Para ello ejecutá el siguiente comando

Código: bash
netstat -plan|grep :80|awk {'print $5'}|cut -d: -f 1|sort|uniq -c|sort -n


Eso te dirá algo como esto:

Código: text
437  190.123.32.12
402  190.123.32.13
397  190.123.32.14


Los primeros numeros son las peticiones que está haciendo esa IP.

Lo único que debes hacer es copiar las IPs con muchas peticiones, las agregas al blacklist de CSF y reinicias con csf -r para que tome los cambios.

Es tedioso, pero muy efectivo.



Saludos y cualquier duda que tengas, solo la comentas.

ANTRAX

Diciembre 16, 2016, 05:04:13 PM #2
Gracias por la respuesta ANTRAX, una duda, como puedo analizar el ataque, es decir para saber de donde provienen las IPs que nos atacan, con que frecuencia...

Gracias!
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Diciembre 16, 2016, 05:47:32 PM #3
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Gracias por la respuesta ANTRAX, una duda, como puedo analizar el ataque, es decir para saber de donde provienen las IPs que nos atacan, con que frecuencia...

Gracias!

En el archivo /var/log/syslog puedes ver las IP's , hora y que tipo de ataque es.
Un saludo
Diciembre 18, 2016, 12:41:13 PM #4
Buenas, te dejo mi propuesta sobre el DDoS, siendo incompatible (la parte de firewall) con la de @No tienes permitido ver los links. Registrarse o Entrar a mi cuenta.

Como dato, te dejo, que puedes utilizar cloudflare con una cuenta gratuita te ayudará a mitigar el DDoS, pero ahora mismo, conocen tu IP pública y aunque la ocultes, podrán atacar directamente bypasseando esto.

Por lo que me dijiste, tu servidor es bastante potente, y el DDoS no lo es tanto, no deberías tener mucho problema para mitigarlo, ya que la empresa de hosting también ofrece AntiDDoS gratuito (todos sabemos que no sirve para nada, pero ayudará a tu fw).

Bien, dicho esto, yo te recomiendo que instales fail2ban que mediante iptables, bloqueará automáticamente todas las conexiones. Es muy fácil de instalar y de activar/desactivar y más aún de configurar, siendo además, bastante ligero.

Te dejo aquí el artículo sobre como instalarlo y demás información: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Cualquier cosa, me dices.

Un saludo!


Imprimir
Ir Arriba Páginas1
Acciones del Usuario