Buenas, describo la situación. Tengo un servidor de un juego, este últimamente esta recibiendo ataques de ~5Gbps. Mi duda es, como puedo preveer estos ataques? Por lo visto atacan con UDP.
Edit: (http://image.prntscr.com/image/968e1514d8bb4d6c98853f73efa71bb6.png)
Gracias de antemano.
Yo te recomiendo instalar CSF, el cual es un Firewall que funciona de la mano con IPTABLES y es muy bueno y facil de usar.
Para instalar CSF debes seguir los siguientes pasos:
cd /usr/src
rm -fv csf.tgz
wget https://download.configserver.com/csf.tgz
tar -xzf csf.tgz
cd csf
sh install.sh
El siguiente paso es saber si estan activado todos los modulos de iptables que necesita CSF para funcionar.
perl /usr/local/csf/bin/csftest.pl
Es posible que aparezcan algunos warnings.. no es nada para preocuparse.. Si aparece un FATAL error.. ahi si habría que solucionarlo. Pero no deberías tener problemas.
Es recomendable que no tengas otro script o firewall similar ya que puede entrar en conflicto con CSF. Para saber si tenes otro script instalado en tu server, corre el siguiente script:
sh /usr/local/csf/bin/remove_apf_bfd.sh
Aclaro que ese script remueve los firewalls que puedan entrar en conflicto con CSF.
Hay un archivo de configuración en donde puedes modificar las reglas del firewall
/etc/csf/csf.conf
Ahi podes configurar cuantas peticiones puede hacer cada ip cada cierto tiempo. Por ejemplo, puedes poner que 1 IP no pueda hacer mas de 5 Peticiones en 30 segundos.
Al ser un DDoS las IPs excederán ese límite y automáticamente el script lo banneará.
Si haces algún cambio en ese archivo de configuración, ejecutá lo siguiente para que tome efecto:
csf -r
Con esto ya deberías frenarlo. Este script funciona de la mano con IPTABLES, asique de forma muy sencilla evitas todos los pasos para no tener que configurar las reglas de IPTABLES.
A las IPs banneadas las agrega en un blacklist que luego puedes limpiar.
Además de detener DDoS, también detecta bruteforces al FTP, SSH, además de scanneos que realicen al servidor... La verdad es que es bastante completo.
Otra cosa que podes hacer, es frenar el ataque a mano (teniendo CSF instalado).
Lo primero que tenes que hacer, es ver que IPs estan conectadas y cuantas peticiones está haciendo cada una. Para ello ejecutá el siguiente comando
netstat -plan|grep :80|awk {'print $5'}|cut -d: -f 1|sort|uniq -c|sort -n
Eso te dirá algo como esto:
437 190.123.32.12
402 190.123.32.13
397 190.123.32.14
Los primeros numeros son las peticiones que está haciendo esa IP.
Lo único que debes hacer es copiar las IPs con muchas peticiones, las agregas al blacklist de CSF y reinicias con csf -r para que tome los cambios.
Es tedioso, pero muy efectivo.
Saludos y cualquier duda que tengas, solo la comentas.
ANTRAX
Gracias por la respuesta ANTRAX, una duda, como puedo analizar el ataque, es decir para saber de donde provienen las IPs que nos atacan, con que frecuencia...
Gracias!
No tienes permitido ver enlaces.
Registrate o Entra a tu cuenta
Gracias por la respuesta ANTRAX, una duda, como puedo analizar el ataque, es decir para saber de donde provienen las IPs que nos atacan, con que frecuencia...
Gracias!
En el archivo /var/log/syslog puedes ver las IP's , hora y que tipo de ataque es.
Un saludo
Buenas, te dejo mi propuesta sobre el DDoS, siendo incompatible (la parte de firewall) con la de @ANTRAX (https://underc0de.org/foro/index.php?action=profile;u=1).
Como dato, te dejo, que puedes utilizar cloudflare con una cuenta gratuita te ayudará a mitigar el DDoS, pero ahora mismo, conocen tu IP pública y aunque la ocultes, podrán atacar directamente bypasseando esto.
Por lo que me dijiste, tu servidor es bastante potente, y el DDoS no lo es tanto, no deberías tener mucho problema para mitigarlo, ya que la empresa de hosting también ofrece AntiDDoS gratuito (todos sabemos que no sirve para nada, pero ayudará a tu fw).
Bien, dicho esto, yo te recomiendo que instales fail2ban que mediante iptables, bloqueará automáticamente todas las conexiones. Es muy fácil de instalar y de activar/desactivar y más aún de configurar, siendo además, bastante ligero.
Te dejo aquí el artículo sobre como instalarlo y demás información: https://underc0de.org/foro/seguridad-en-servidores/ataques-ddos-a-traves-de-xss-persistente-by-alvarodh5/
Cualquier cosa, me dices.
Un saludo!