Bueno, pues en vista del nuevo foro, que era algo que solicitabamos, entre otros muchos yo mismo, con vuestro permiso paso a crear un post sobre medidas preventivas para evitar ataques DDOS.
En primer Lugar:
¿QUE ES UN DDOS?
En seguridad informática, un ataque de denegación de servicio, también llamado ataque DoS (de las siglas en inglés Denial of Service), es un ataque a un sistema de computadoras o red que causa que un servicio o recurso sea inaccesible a los usuarios legítimos. Normalmente provoca la pérdida de la conectividad de la red por el consumo del ancho de banda de la red de la víctima o sobrecarga de los recursos computacionales del sistema de la víctima.
Fuente y mas:
http://es.wikipedia.org/wiki/Ataques...3n_de_servicio
DETECTAR UN DDOS
Bueno, ademas de en las graficas MRTG de OVH, podemos saber si nos estan atacando con el siguiente comando:
# netstat -alpn | grep 0 | awk '{print $5}' |awk -F: '{print $(NF-1)}' |sort | uniq -c | sort -n
METODOS DE PREVENCION
Existen metodos para intentar evitar un ataque. Pero no siempre son eficaces. Si nos enfrentamos a un ataque fuerte, quizas estos metodos no sean suficientes para detener el mismo.
INSTALACION DE UN FIREWALL
Seguro que en poco tiempo tenemos una guia sobre como instalar y configurar CSF+LFD, que nos descubrio Power.
Yo voy a proponer la instalacion de APF, ya que uso ambos (No juntos, que ya al explicarlo una vez, me equivoque al escribir este punto).
La instalacion de APF es sencillisima:
# cd /usr/src
# mkdir utilidades
# cd utilidades
# wget
http://rfxnetworks.com/downloads/apf-current.tar.gz
# tar xfz apf-current.tar.gz
# cd apf-*
# ./install.sh
Con esto tenemos el firewall instalado. Luego editamos /etc/apf/conf.apf de la forma que necesitemos. Yo por ejemplo, para evitar ataques ddos, suelo usar:
DEVEL_MODE="0"
IG_TCP_CPORTS="21,22,25,53,80,110,143,443,3306"
IG_UDP_CPORTS="53,111"
USE_AD="1"
El parametro USE_AD es para usar el antiddos que lleva el APF. Tambien se puede configurar: /etc/apf/ad/conf.antidos segun vuestras necesidades.
DETECCION DE FUERZA BRUTA
Esto sirve para evitar ataques de fuerza bruta. YO recomiendo la instalacion de BFD, que funciona con APF, y sirve para detectar intentos de autentificacion. Es muy sencilla, pero a la par, muy efectiva:
# cd /usr/src/utilidades
# wget
http://rfxnetworks.com/downloads/bfd-current.tar.gz
# tar xfz bfd-current.tar.gz
# cd bfd-*
# ./install.sh
Recomiendo leer el Readme y editar el fichero: /usr/local/bfd/conf.bfd.
Es muy sencillo de configurar, en las primeras lineas encontrareis para poner vuestro correo y si quereis que se os avise de cuando detecta algun ataque.
Luego editad: /usr/local/bfd/ignore.hosts y añadid las IP's de confianza para que no os detecte como intrusos. Es importante, porque al usar APF, puede banearos!
DDOS DEFLATE
Para mi basico. Como sabeis, no es la solucion definitiva, porque los ataques grandes no los evita precisamente. Pero es una buena medida.
## Get the latest source
# cd /usr/src/utilidades
# mkdir ddos
# cd ddos
# wget
http://www.inetbase.com/scripts/ddos/install.sh
# sh install.sh
Editar la configuracion: /usr/local/ddos/ddos.conf y poner en marcha.
DETECCION DE ROOTKIT
# cd /usr/src/utilidades
# wget http://downloads.rootkit.nl/rkhunter-
.tar.gz
# tar xfz rkhunter-*.gz
# cd rkhunter
# ./installer.sh
## run rkhunter
# rkhunter -c
Bueno, pues con esto, son medidas preventivas basicas. Editare el post añadiendo otras medidas como el mod_evasive de apache.
Espero que os sirva.
Un Saludo