ATAQUES DDOS

Imagen de smell

Forums: 

SALUDOS AMIGOS, LES COMENTO DEL PROBLEMA, DEBEN SABER QUE TELCONET SIEMPRE INSTALA UN SERVIDOR LINUX EN CADA CLIENTE, DEBAJO DE ESTE HAY OTRO SERVIDOR QUE ADMINISTRA EL ANCHO DE BANDA, EL SERVIDOR DE TELCONET EN MUCHAS OCACIONES RECIBE ATAQUES DE DDOS ATTEMPT ATTACK DDOS, QUE HACE QUE EL INTERNET SE CAIGA SEGURO EL IDS DE TELCONET BLOQUEA LA IP DEL SERVER QUE ELLOS DEJAN.
HAY ALGUN FIREWALL O SOLUCION QUE SE DEBA PONER DEBAJO DEL SERVER DE TELCO PARA EVITAR ESTOS ATAQUES?
COMO SIEMPRE AGRADEZCO SU AYUDA.

Veamos... debajo del server

Imagen de Monkito

Veamos...
debajo del server de Telconet tienes algún rango de direcciones públicas?, de no ser el caso los controles los deben hacer ellos, pero si tu administras alguna de esas direcciones deberías bloquear las ip desde donde te hacen el DDOS, o limitar los paquetes syn en un intervalo de tiempo así:


iptables -i $IF -I INPUT -p tcp --syn -m recent --set
iptables -i $IF -I INPUT -p tcp --syn -m recent --update --seconds 10 --hitcount 30 -j DROP

allí se establece que puedes aceptar máximo 30 paquetes syn en un período de 10 segundos, por su puesto debes modificar esos valores de acuerdo a tus requerimientos, ej eso nunca se lo pondría a un servidor web medianamente visitado.

Otra cosa... estás seguro de que el DDOS llega a tu servidor?, puedes ver con tcpdump o combinando lo anterior con una regla de iptables de tipo "-j LOG --log-prefix 'DDOS: '" y esperando los logwatchs en tu mail...

Saludos

------------
counter.li.org

Cogito Ergo Sum

Aparte o en lugar de limitar

Imagen de acl

Aparte o en lugar de limitar los paquetes de syn, podrías activar tcp_syncookies para evitar que se desperdicien tus recursos.

Ten en cuenta también que el ancho de banda para enviarlos ya se usó y por lo tanto si el atacante quisiera, podría aún saturarte enviándote SYNs descontroladamente. Lo mejor que puedes hacer es hablar con tu isp y reportar estos casos, si los ataques vienen de su lado.

Si los ataques vienen de tu lado, tienes que identificar el problema y desconectar a los hosts maleducados.

Y por favor no escribas en mayúsculas.

Con tcp_syncookies, no se

Imagen de damage

Con tcp_syncookies, no se soluciona, ya lo he probado desde hace mucho tiempo, la razón no la se a ciencia cierta, me imagino que debido a que el ataque no es hacia el server en si, si no que son miles de paquetes con estado SYN_SEND (sin el ACK de respuesta) con destino hacia un server o varios server´s en el Internet, estos paquetes son transmitidos por un virus el cual envia dichos paquetes con destino los puertos tcp 445 y 843, por lo general, eso le deduzco mediante el uso de tcptrack, iptraf, tcpdump, además con iptraf se puede ver que en la eth apuntada hacia la red local, como se establecen conexiones de pocos paquetes de (1 a 2 por minuto) hacia todos los puertos menores al 1024, lo que he hecho con exito es hacer que el firewall tenga como pólitica por defecto DROP, así solo habilito los necesarios como 20,21,22,80,443, 53, voip, messenger, etc, con esto se logra que todo vuelva a la normalidad.

Saludos.

Los syncookies solo te

Imagen de acl

Los syncookies solo te protegen contra syn floods dirigidos a servicios tcp ejecutándose localmente dentro del servidor. Eso es lo que asumí que pasaba, pues el dueño del post no da detalles. No te protegen contra paquetes mal formados o clientes tuyos infectados que ataquen a otros lugares.

Para saber qué se puede hacer valdría la pena que nos diga qué ve durante el ataque con su monitor de red.

Gracias

Imagen de smell

Gracias por todas las notas voy a aplicar de manera inmediata y les comentare.... si se puede hacer algo mas agradezco sus comentarios

smell