OVH Community, your new community space.

Medidas preventivas contra ataques DDOS

franci34

27/02/2017, 13:59

genial, muchas gracias

Augustino

27/08/2016, 14:46

Tengo algunas preguntas, en el APF, le di permiso a los siguientes puertos, queria saber si alguno sobra

Listening TCP ports: 21,22,25,53,80,110,143,587,783,953,993,995,3306,54 32,9999,10000,20000
Listening UDP ports: 53,111,323,10000,20000

El rkhunter, me dio ciertos warnings

/usr/bin/egrep [ Warning ]
/usr/bin/fgrep [ Warning ]
/usr/bin/GET [ Warning ]
/usr/bin/ldd [ Warning ]

Performing 'shared libraries' checks
Checking for preloading variables [ None found ]
Checking for preloaded libraries [ None found ]
Checking LD_LIBRARY_PATH variable [ Not found ]

Performing file properties checks
Checking for prerequisites [ Warning ]
/usr/sbin/ifdown [ Warning ]
/usr/sbin/ifup [ Warning ]
/usr/bin/egrep [ Warning ]
/usr/bin/fgrep [ Warning ]
/usr/bin/GET [ Warning ]
/usr/bin/ldd [ Warning ]
Checking if SSH root access is allowed [ Warning ]
Checking if SSH protocol v1 is allowed [ Warning ]
Checking if syslog remote logging is allowed [ Not allowed ]
Checking for hidden files and directories [ Warning ]

Cuando trate de iniciar al inicio del servidor el ddos y el bfd, me da un error

chkconfig --level 2345 /usr/local/ddos/ddos.sh on
error al leer la información del servicio /usr/local/ddos/ddos.sh: No existe el fichero o el directorio
chkconfig --level 2345 /usr/local/bfd/bfd on
error al leer la información del servicio /usr/local/bfd/bfd: No existe el fichero o el directorio

Pero si logro entrar a nano /usr/local/ddos/ddos.sh y tambien a nano /usr/local/bfd/bfd, ya le di permiso chmod -R 777 ddos.sh y chmod -R 777 bfd y si toma bien los permisos, entonces no se que pasa

lsanchez

02/06/2016, 09:16

Muchas gracias por la guía

String

23/12/2015, 15:46

Algien puede ayudarme con e ataque llamado DNS es un ataque amplificado a la ip de servidor que saca a todos los latinos solo los latinos se salen del servidor necesito ayuda porfavor

Chilango_34

23/12/2015, 08:20

Gracias por el tutorial!

String

22/12/2015, 18:28

Algien sabe como Bloquear el ataque Dns Por favor en linux dedicado de ovh

1Gbps

24/09/2015, 06:42

Gracias por la guía.

Musica

13/05/2015, 02:53

Lo que podes usar es tipo cloudflare esos creo que ayudan para esos ataques. Yo tuve un problema similar, y con esos lo detuve.

usuarioab

25/11/2014, 12:40

Alguien sabe que tipo de ataque es este? No se siquiera si lo es o no?

http://www.rufoweb.com/att/rufoweb.jpg

Entre los meses Febrero y Abril sugiere "estropear" despues su funcionamiento es nulo

http://www.rufoweb.com/att/rufoweb1.jpg

Obseosionado

25/11/2014, 10:19

Buenísimo aporte, lo probaré en mi web

LatenciaZero

19/11/2012, 10:27

Gran aporte. =)

Nacho

09/11/2011, 15:26

¿Algún firewall de este tipo para windows?
Esque no trabajo con linux, si no con windows server...

oroble

25/10/2011, 08:35

Antes de instalar mod_evasive, deberían de leer este articulo ---> http://el-blog-de-thor.blogspot.com/...06735583775607

sulvus

04/09/2011, 21:09

Tengo un problema para iniciar apf.

root@ns214702:/usr/src/utilidades# /etc/init.d/apf start
/etc/init.d/apf: línea 8: /etc/rc.d/init.d/functions: No existe el fichero o el directorio
Starting APF:/etc/init.d/apf: línea 21: echo_success: no se encontró la orden

Bigshow

14/11/2009, 04:16

De lujo, APF + DEFLATE de lo mejorcito!!!

Gracias por la guia ;')

kennysamuerto

12/11/2009, 15:48

Bueno, pues en vista del nuevo foro, que era algo que solicitabamos, entre otros muchos yo mismo, con vuestro permiso paso a crear un post sobre medidas preventivas para evitar ataques DDOS.

En primer Lugar:

¿QUE ES UN DDOS?

En seguridad informática, un ataque de denegación de servicio, también llamado ataque DoS (de las siglas en inglés Denial of Service), es un ataque a un sistema de computadoras o red que causa que un servicio o recurso sea inaccesible a los usuarios legítimos. Normalmente provoca la pérdida de la conectividad de la red por el consumo del ancho de banda de la red de la víctima o sobrecarga de los recursos computacionales del sistema de la víctima.

Fuente y mas: http://es.wikipedia.org/wiki/Ataques...3n_de_servicio

DETECTAR UN DDOS

Bueno, ademas de en las graficas MRTG de OVH, podemos saber si nos estan atacando con el siguiente comando:

# netstat -alpn | grep 0 | awk '{print $5}' |awk -F: '{print $(NF-1)}' |sort | uniq -c | sort -n

METODOS DE PREVENCION

Existen metodos para intentar evitar un ataque. Pero no siempre son eficaces. Si nos enfrentamos a un ataque fuerte, quizas estos metodos no sean suficientes para detener el mismo.

INSTALACION DE UN FIREWALL

Seguro que en poco tiempo tenemos una guia sobre como instalar y configurar CSF+LFD, que nos descubrio Power.

Yo voy a proponer la instalacion de APF, ya que uso ambos (No juntos, que ya al explicarlo una vez, me equivoque al escribir este punto).

La instalacion de APF es sencillisima:

# cd /usr/src
# mkdir utilidades
# cd utilidades
# wget http://rfxnetworks.com/downloads/apf-current.tar.gz
# tar xfz apf-current.tar.gz
# cd apf-*
# ./install.sh

Con esto tenemos el firewall instalado. Luego editamos /etc/apf/conf.apf de la forma que necesitemos. Yo por ejemplo, para evitar ataques ddos, suelo usar:

DEVEL_MODE="0"
IG_TCP_CPORTS="21,22,25,53,80,110,143,443,3306"
IG_UDP_CPORTS="53,111"
USE_AD="1"

El parametro USE_AD es para usar el antiddos que lleva el APF. Tambien se puede configurar: /etc/apf/ad/conf.antidos segun vuestras necesidades.

DETECCION DE FUERZA BRUTA

Esto sirve para evitar ataques de fuerza bruta. YO recomiendo la instalacion de BFD, que funciona con APF, y sirve para detectar intentos de autentificacion. Es muy sencilla, pero a la par, muy efectiva:

# cd /usr/src/utilidades
# wget http://rfxnetworks.com/downloads/bfd-current.tar.gz
# tar xfz bfd-current.tar.gz
# cd bfd-*
# ./install.sh

Recomiendo leer el Readme y editar el fichero: /usr/local/bfd/conf.bfd.

Es muy sencillo de configurar, en las primeras lineas encontrareis para poner vuestro correo y si quereis que se os avise de cuando detecta algun ataque.

Luego editad: /usr/local/bfd/ignore.hosts y añadid las IP's de confianza para que no os detecte como intrusos. Es importante, porque al usar APF, puede banearos!

DDOS DEFLATE

Para mi basico. Como sabeis, no es la solucion definitiva, porque los ataques grandes no los evita precisamente. Pero es una buena medida.

## Get the latest source
# cd /usr/src/utilidades
# mkdir ddos
# cd ddos
# wget http://www.inetbase.com/scripts/ddos/install.sh
# sh install.sh

Editar la configuracion: /usr/local/ddos/ddos.conf y poner en marcha.

DETECCION DE ROOTKIT

# cd /usr/src/utilidades
# wget http://downloads.rootkit.nl/rkhunter-.tar.gz
# tar xfz rkhunter-*.gz
# cd rkhunter
# ./installer.sh
## run rkhunter
# rkhunter -c

Bueno, pues con esto, son medidas preventivas basicas. Editare el post añadiendo otras medidas como el mod_evasive de apache.

Espero que os sirva.

Un Saludo