OVH Community, your new community space.

Ataque DDoS desde servidores OVH


MundoAlterno
26/09/2012, 00:07
Cita Publicado inicialmente por kennysamuerto
Os recuerdo que hay un subforo de HowTo donde hay muchos manuales, entre ellos, de prevencion de ataques DDoS.

Por si a alguien le sirve.

Saludos
En HowTo hay muchos tutoriales pero de los cuales algunos están des actualizados, actualmente este tipo de ataque DDos da muchos dolores de cabeza ya que un DDos ejecutada desde una botnet de mas de 4 gbps de potencia es un poco complicada de pararla, seria una buena opción que OVH ofreciera pack o módulos de seguridad DDos (aunque eso es mucho pedir ya que seria un servidor administrativo) como servicio extra ya que este tipo de ataques esta muy de moda últimamente.

obs: Otra que te podría sacar de apuros es la de contratar un servicio administrativo opción temporal en tu dedicado que ofrece esta empresa y muchas mas con el plan Urgente, aclaro que no he llegado a probar este tipo de asistencia y no estoy en conocimiento de la bases y condiciones.

http://www.mundiserver.com/sysadmin.php

suicidal
08/09/2012, 14:48
Cita Publicado inicialmente por kennysamuerto
Os recuerdo que hay un subforo de HowTo donde hay muchos manuales, entre ellos, de prevencion de ataques DDoS.

Por si a alguien le sirve.

Saludos
tutorial tuyo, y muy bueno por cierto, estoy aprendiendo un montón de como administrar dedicados con todos los tutoriales que teneis

http://foros.ovh.es/showthread.php?t...highlight=ddos

kennysamuerto
08/09/2012, 01:36
Os recuerdo que hay un subforo de HowTo donde hay muchos manuales, entre ellos, de prevencion de ataques DDoS.

Por si a alguien le sirve.

Saludos

MDayLoteos
07/09/2012, 17:01
buen post !!! me sirvio para aprender

fuegox
22/08/2012, 03:47
Cita Publicado inicialmente por MundoAlterno
este tipo de ataque syn flood esta siendo muy polular lastimosamente en los gameserver o servidores de juegos, yo tengo un servidor en modo ftp para recupera los datos por que me lo bloquearon ya que recibía mas de 30 ataques de 143 mbps al dia, el soporte tecnico mucho no ayudo ya que la solución a todos los problemas hera re instalar el SO.

adjunto grafico de ataques de MRTG

https://www.dropbox.com/s/juyscmm0z7s6tyq/ddos.png
https://www.dropbox.com/s/eo7m0aao0m0ax7z/ddos2.png

te paso una regla de iptables que espero te ayude
Código:
# syn-flood
-N syn-flood
-A INPUT -i eth+ -p tcp --tcp-flags SYN,ACK,FIN,RST RST -j syn-flood
-A FORWARD -i eth+ -p tcp --tcp-flags SYN,ACK,FIN,RST RST -j syn-flood
-A syn-flood -m limit --limit 4/s --limit-burst 16 -j RETURN
-A syn-flood -m limit --limit 75/s --limit-burst 100 -j RETURN
-A syn-flood -j LOG --log-prefix "SYN FLOOD " --log-tcp-sequence  --log-tcp-options  --log-ip-options -m limit --limit 1/second
-A syn-flood -j DROP
aki un buen manual para intetar detener un ataque DDos
http://foro.elhacker.net/tutoriales_...t137442.0.html

Te quejarás de ataques de 143mb/s cuando llevo 1 mes con la maquina en ovh y me están puteando todos los dias cada 4-6 horas, con ataques de entre 190-250mb/s .....

Y no sé ni como pararlos.. Voy a echarle un vistazo a ese tutorial alomejor me sirve, gracias

MundoAlterno
21/08/2012, 23:18
este tipo de ataque syn flood esta siendo muy polular lastimosamente en los gameserver o servidores de juegos, yo tengo un servidor en modo ftp para recupera los datos por que me lo bloquearon ya que recibía mas de 30 ataques de 143 mbps al dia, el soporte tecnico mucho no ayudo ya que la solución a todos los problemas hera re instalar el SO.

adjunto grafico de ataques de MRTG

https://www.dropbox.com/s/juyscmm0z7s6tyq/ddos.png
https://www.dropbox.com/s/eo7m0aao0m0ax7z/ddos2.png

te paso una regla de iptables que espero te ayude
Código:
# syn-flood
-N syn-flood
-A INPUT -i eth+ -p tcp --tcp-flags SYN,ACK,FIN,RST RST -j syn-flood
-A FORWARD -i eth+ -p tcp --tcp-flags SYN,ACK,FIN,RST RST -j syn-flood
-A syn-flood -m limit --limit 4/s --limit-burst 16 -j RETURN
-A syn-flood -m limit --limit 75/s --limit-burst 100 -j RETURN
-A syn-flood -j LOG --log-prefix "SYN FLOOD " --log-tcp-sequence  --log-tcp-options  --log-ip-options -m limit --limit 1/second
-A syn-flood -j DROP
aki un buen manual para intentar detener un ataque DDos
http://foro.elhacker.net/tutoriales_...t137442.0.html

MatiasS
17/08/2012, 16:56
Cita Publicado inicialmente por joropito
Yo no queria publicarlas aqui para resguardar la privacidad de sus clientes.

Me pasas por privado un email donde te las pueda enviar?
He visto el correo que ha enviado a soporte con los datos y procedo a consultarlos

joropito
17/08/2012, 15:48
Yo no queria publicarlas aqui para resguardar la privacidad de sus clientes.

Me pasas por privado un email donde te las pueda enviar?

MatiasS
17/08/2012, 15:40
Hola joropito;

Esperamos nos puedas pasar un log de tus conexiones entrantes para comprobar las IPs que mencionas.

luis_sanz
14/08/2012, 17:51
Cita Publicado inicialmente por joropito
Buen dia Ruben

Precisamente ya envie esa informacion en reiteradas ocasiones a la direccion de abuse, a soporte, a noc.
Ninguna respuesta obtuve, por eso me registre en el foro para ver si conseguia la atencion de alguien.


Ahora estare enviando nuevamente la informacion, con una captura de trafico para proveer mas evidencia.

lo de abuse@ es simplemente un timo de esta empresa para sus clientes, nunca hay respuestas y nunca he visto que solucionen nada, yo he enviado decenas de ataques y escaneos continuos sufridos desde OVH a mi servidor en OVH y todo sigue igual.

sinceramente, creo que pierdes el tiempo aqui..
mi recomendacion es que hables con tu proveedor para que intente betar toda conexion que se haga desde OVH y denuncies en las redes de spam las ips de estos servidores atacantes con la intencion de que los filtren como spam, es la unica solucion que te servira de algo..

no seria la primera vez que un proveedor banea completamente a la red de OVH o varios rangos de IPs, esto se a hecho en MUCHAS ocasiones y si se a hecho sera por algo, se que esto nos afecta a todos los clientes de OVH pero lo primero es tu negocio y luego nosotros

joropito
14/08/2012, 13:00
Buen dia Ruben

Precisamente ya envie esa informacion en reiteradas ocasiones a la direccion de abuse, a soporte, a noc.
Ninguna respuesta obtuve, por eso me registre en el foro para ver si conseguia la atencion de alguien.


Ahora estare enviando nuevamente la informacion, con una captura de trafico para proveer mas evidencia.

RubenColmenarejoOVH
14/08/2012, 07:33
Estimado Joropito,

Si recibe ataques producidos desde máquinas localizadas dentro de la red de OVH, rogamos nos remita correo, exponiendo el caso e incluyendo trazas de tráfico y toda la información que considere oportuna para que los técnicos del datacenter localicen y solventen la situación.

Para una mejor atención remitir el mensaje a abuse@ovh.net.

Rogamos perdone las molestias.

joropito
13/08/2012, 18:43
Cita Publicado inicialmente por Tope
Me parece muy extraño que sean más de 35 servidores contra tu servidor, qué tendrás ahí

Todas las IPs que hacen eso son de OVH? (Habrás hecho whois imagino.. no creo que lo digas por decir)

Y también decirte, quién es tu proveedor? Porqué no hablas con él y que lo arreglen? Cuando es una cosa que no puedo controlar, tiro por un lado, que no, pues intento que la otra parte lo mueva.
Ya lo hable con mi proveedor.

Me estan atacando con mas de 60 direcciones ip. La casualidad es que de ahi 35 por lo menos son de OVH.
Revisandolo son gameservers (counter strike o similares) y VPS (esto lo se porque tienen rdp abierto).


Yo cambie de proveedor hace poco, por eso me atacan, simplemente porque me fui. Me consta esta informacion.

Lo que hace esta persona es:

- Distribuir plugins de gameservers con troyanos
- Contratar VPS para hacer esto (o hackear algunos)

Tope
13/08/2012, 18:31
Me parece muy extraño que sean más de 35 servidores contra tu servidor, qué tendrás ahí

Todas las IPs que hacen eso son de OVH? (Habrás hecho whois imagino.. no creo que lo digas por decir)

Y también decirte, quién es tu proveedor? Porqué no hablas con él y que lo arreglen? Cuando es una cosa que no puedo controlar, tiro por un lado, que no, pues intento que la otra parte lo mueva.

joropito
13/08/2012, 17:51
Cita Publicado inicialmente por graid
y el flood udp con ip tables no puedes detenerlo?
El flood no afecta los servicios corriendo en mis servidores.
Veamos el problema:

- Un ataque en una conexion limitada a 100mbps, te satura las interfaces. Si lo filtras en el servidor, la interfaz se satura igual

- Si te cobraran por el trafico, estan perjudicando tu negocio

- Filtrando en el servidor no eliminas la posible latencia que te genere en tus vinculos a internet

En este instante desde OVH estan generando mas de 250Mbps

Ya envie un email a noc@ovh.net/es....
Yo no estoy en España, alguien puede darme una mano con esto?

graid
13/08/2012, 17:46
y el flood udp con ip tables no puedes detenerlo?

joropito
13/08/2012, 17:11
Para identificar el origen primero debes determinar el tipo de ataque.

En mi caso es un flood udp desde mas de 35 servidores de OVH.
Como se que es OVH? Es muy facil, hago un tcpdump, guardo 5 minutos de captura y luego lo analizo. Puedes analizarlo a mano o con wireshark (yo prefiero a mano).

Todo esto en un servidor linux claro esta.

Con iptables pueden hacer reglas tambien que detecten automaticamente comportamientos anomalos y que logueen en syslog.

graid
13/08/2012, 14:30
Cita Publicado inicialmente por davidlig
Aquí va ser dificil que pase un técnico, prueba soporte@ovh.es



Por ejemplo el que utiliza el DDoS Deflate, sale el número de conexiones e IP:
Código:
netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n > fichero.log
Y una pregunta... Para que te saque una diferente imagínate

que el log se llama atdos.log

¿como tendría que hacer para que cada 5 minutos crease un archivo nuevo con lo que hay en ese momento? es decir

16:00 - atdos1.log
16:05 - atdos2.log
16:10 - atdos3.log

...

Un saludo y gracias. Espero tu respuesta.

davidlig
13/08/2012, 13:00
Aquí va ser dificil que pase un técnico, prueba soporte@ovh.es

Cita Publicado inicialmente por graid
Hola buenas:

¿Cómo sabes que es de la red de OVH?

Por otro lado ¿Sabrías decirme que comando tengo que ejecutar o que tengo que hacer para sacar las IPs que atacan en un DoS e imprimirlas a un log? Ubuntu server?
Por ejemplo el que utiliza el DDoS Deflate, sale el número de conexiones e IP:
Código:
netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n > fichero.log

graid
13/08/2012, 12:52
Hola buenas:

¿Cómo sabes que es de la red de OVH?

Por otro lado ¿Sabrías decirme que comando tengo que ejecutar o que tengo que hacer para sacar las IPs que atacan en un DoS e imprimirlas a un log? Ubuntu server?

Tope
13/08/2012, 06:59
Habrás enviado el abuse a ovh.net, no?

De todos modos, mándalo también a noc (arroba) ovh.net o llama a España o a Francia, que sin entender nada de francés llamé y me atendieron perfectamente, salvo que en lugar de decir Email, decian Emilio

joropito
13/08/2012, 02:05
Buenas noches/dias

Desde hace aproximadamente 2 meses estoy recibiendo en mis servidores (ajenos a OVH) un ataque del tipo DDoS proveniente de su red.

El ataque esta originado en mas de 35 servidores (desde gameservers hasta vps) de la red de OVH.

Por distintos medios trate de conectar al departamento de abuse sin éxito.

Necesitaria por favor que alguien me contactase para poder revisar esta situacion. Mi intencion es que puedan detenerlo y que no llegue a mayores.

Si me pudieran contactar por el email que utilice para registrarme aqui se los agradeceria.

Un saludo