We are in the process of migrating this forum. A new space will be available soon. We are sorry for the inconvenience.

Mitigación de un ataque. ¿Y ahora que?


pepejlr
20/10/2016, 01:24
El AntiDDoS lo que hace es descartar paquetes procedentes del ataque aunque obviamente no va a poder descartar todos, con lo que los paquetes que no descartan, llegarán a tu servidor y con la sonda que te dije, te lo registrará y te puedes hacer una idea de por donde pueden ir los tiros.

CloudFlare es buena idea si tu web o webs tienen mucho tráfico y además quieres ofrecer la misma rapidez a todo el mundo ya que ellos ofrecen CDN y proxy-caché inverso.

alvaroag
19/10/2016, 07:29
Efectivamente, OVH ofrece un AntiDDOS a nivel de red, de manera que los clientes no debamos preocuparnos por ello. Es cierto que algunos datos nos podrían ser útiles para fines estadísticos, pero en ningún caso para fines prácticos.

Creo que sí es posible observar el inicio del ataque mediante análisis de logs detallados de iptables, o mediante capturas de tráfico; sin embargo, ello podría ser muy laborioso, y no nos brindaría información útil sobre el ataqu, ya que sólo mostraría el inicio, antes que el VAC lo detecte.

No es mala idea poner CloudFlare a las webs.... ten en cuenta que CloudFlare no sólo te da la protección AntiDDOS, si no también caché web y algunas protecciones adicionales en capa de aplicación, las cuales nunca están de más.

Tango
18/10/2016, 23:09
Ok pepejlr, suponía que soporte no lo iba a analizar, pero si como dice alvaroag, ¿para que voy a analizar nada? OVH mitiga todo antes de llegar a poder analizar nada...

¿no?

pepejlr
17/10/2016, 18:15
Soporte no te va a analizar el ataque.

La única forma de obtener información sobre el ataque es añadiendo "sondas" en el tráfico syn/new en TCP/UDP en el iptables de tu servidor y que los registre usando -j LOG.

Yo he tenido episodios similares y con este sistema, supe que mi objetivo era un servidor de Teamspeak que tenia alojado.

Tango
17/10/2016, 15:01
Hola alvaroag, gracias nuevamente por tu ayuda...

Entonces, según lo que me dices, mi cerebro traduce: "No hagas nada, antes de que llegue a ti el ataque, OVH ya lo mitiga".

Lo de si el ataque se producía a la IP o a una web, lo decía para pasar la web por cloudflare...

Estaba por poner un cortafuegos APF, pero claro, como dices: Al servidor no llegan conexiones, entonces mirando netstat no veo nada muy anormal...

alvaroag
17/10/2016, 14:54
Hola. No me sorprende, los de soporte nunca han sido de mucha ayuda para obtener mayor información técnica....

El ataque que puedan haber dirigido a tu server siempre va a ser a una o varias IPs de tu server. Los tipos de ataques son muy variados, así que no te puedo asegurar que sea a algún puerto en particular. Suelen ser DDOS, así que las IPs de origen son muy variadas. Aunque el ataque no se da por web, si no por IP o servidor, es probable que alguna web alojada en tu server haya sido el motivo: una web con algún enemigo.

Con firewalld no creo que logres mucho. El VAC (AntiDDOS) es a nivel de red, de manera que mitiga el ataque antes de que llegue a tu servidor. Es la única forma eficaz de mitigar ataques AntiDDOS, pero tiene como consecuencia colateral que en el server no vas a encontrar mayor información.

Aunque, ya de paso, si quieres un buen firewall por software, no te recomiendo firewalld; échale una mirada a Shorewall, que es muy bueno.

Tango
17/10/2016, 12:39
Hola de nuevo!

No me dan mas pistas en el ticket de soporte.

He preguntado si OVH tiene alguna guia, o algo, para despejar mis dudas:

¿Atacan la IP directamente?
¿Un puerto en especial?
¿Un web de las muchas que tengo alojadas?

No se como "ver" esto... estoy empapandome de firewalld... a ver que tal.

Tango
16/10/2016, 03:17
Hola alvaroag, gracias por tu ayuda. La verdad es que el correo no dice nada de nada. Así dicen los 5 correos con "fin de ataque" que me han llegado:

Estimado/a cliente,
Por lo tanto, procedemos a retirar su infraestructura de nuestra mitigación.
Para más información sobre la infraestructura de mitigación OVH : http://www.soyoustart.com/es/anti-ddos/
Atentamente,
Atención al Cliente de So you Start

Así que abriré un ticket de soporte, a ver si me dan alguna pista mas.

En cuanto a lo de los servidores KS, imaginé que sería por eso: hacía mucho tiempo que tenía esos servidores, antes de la "reestructuración".

Saludos y gracias nuevamente.

alvaroag
16/10/2016, 03:02
No estoy muy seguro de como funcionan las notificaciones de mitigación de ataques, pero creo que cuando el AntiDDOS detecte el fin del ataque, recibirás una notificación, en la cual debería haber algo más de información. De lo contrario, tendrías que solicitar a soporte de SYS que te brinden más información; esto lo harías desde el Manager de SYS.

En cuanto al panel en que puedes ver los servidores, te explico. Los KS antiguos, aunque se vendían bajo la marca KS, eran considerados servidores OVH; por eso es que se gestionaban desde el Manager de OVH. Incluso, si a día de hoy alguien conserva un KS de los antiguos, lo gestiona desde ovh.com, no desde kimsufi.com. Los nuevos KS, al igual que los nuevos SYS, son gestionados desde la web donde fueron contratados.

Tango
15/10/2016, 23:22
Hola! Llevo AÑOS con servidores KS y SYS, y es la primerisima vez que me llega un mail diciendo que OVH está mitigando un ataque a mi IP... un server dedicado, solo con webs, nada de juegos ni nada.

¿Y ahora que?

¿Donde puedo ver mas info?

Quiero ver si el ataque iba a algún puerto, o me gustaría ver alguna guia de como actuar.

¡Saludos!

PS: He mirado en el panel de SYS y no veo nada que me de más datos... y en mi panel de OVH no aparece el dedicado de SYS (raro, ya que antes tenía varios KS y si que aparecían ahí).