Mensajes

ese script php no sirve de nada xD Me refiero que no debe ser nada efectivo ante un ataque, porque muchas peticiones no llegan a ejecutar el script php, son peticiones al servidor web que se quedan "a medias."

Mucho más efectivo un módulo para apache para  controlar el ancho de banda , un script basado en netstat, en /proc/sys o usar iptables, apft, etc

No entiendí prácticamente nada de la pregunta.

¿Qué navegador utilizas? ¿Has probado a cambiar de navegdor?

Si sale el cifrado tachado (candado) es que el certificado es inválido, no firmado o caducado (u otras razones). No hace falta ir a un cibercafé para arreglaro, basta con añadir una excepción al navegador.

En cada sede ¿cuántas personas se conectan al correo con la misma ip? Podría ser algun mecanismo automático que cuando detecta más de x conexiones por segundo o minuto al puerto x lo bloquea temporalmente.

Preguntar directamente a 1and1 o cambiar de proveedor. ¿La web y el correo están en la misma máquina?

Pueden ser muchas cosas.

[Guía Avanzada de Nmap 6]

Guía Avanzada de Nmap 6
http://blog.elhacker.net/2014/01/guia-avanzada-de-nmap-6.html

hacer trampas con google ad*sense está totalmente prohibido.

Google se toma muy en serio este tema y a la mínima sospecha te bloquean la cuenta, la cancelan o te dan como clicks inválidos, te lo digo por propia experiencia.

Estoy seguro que hay gente que ha intentando hacer una botnet para visitar publicidad y ganar dinero, pero Google podría perder mucho dinero con este tema y seguro que tienen todas las posibilidades bien estudiadas.

En teoría si borras las cookies, usas otra ip "real" (no de web proxy) e incluso otro navegador es un click diferente, por lo tanto válido.

Pero servicios que ofrecen ip's públicas (para  vpn) pues si tienen muchos usuarios usando esa ip y haciendo clicks en diferentes sitios no los debe contar como válido, porque una ip "normalmente" navega una persona" y en este caso podrían ser 1.000 personas.

Seguramente Google sabe que si tráfico es potencialmente de España y tienes muchos clicks de publicidad de otros países "raros", por ejemplo de habla no española, como China, pues va a sospechar de esos clicks de publicidad.

a raíz de la noticia del ataque del DDoS han ido saliendo mapas también de:

http://www.digitalattackmap.com/

Un proyecto de Google Ideas (Google) junto con los otros dos que comentas.

El de DigitalAttackMap es en tiempo real pero además puedes tirar para atrás en el tiempo.

Sobre el de Norse lo que me llama la atención es que salga la ip del atacante y el servicio, no parece muy de fiar eso... además es imposible procesar toda esa información y mostrarla en un gráfico de la forma que lo hacen ellos, tendría que ser más del tipo caudal como DigitalAttackMap

En Attack Origin siempre sale  primera "China"....

Los datos se suponen que los sacan directamente de los proveedores así que deberían ser "reales".

¿Qué programan usan para hacer el DDoS? ¿Cuál es el nombre del programa? ¿Es una herramienta DoS o DDoS? ¿Usa una lista de proxys o ataca sólo con la ip de usuario que lo ejecuta?

Si lo ejecutas mira con el tcpview de Sysinternals las conexiones que hace si son tcp o udp.

La mayoría de los routers que vienen con la conexión no están capacitados para manejar muchas conexiones simultáneas y se reincian, pierden paquetes o demás cuando reciben un ataque DoS o DDoS

Muchos routers cuando aplicas el "firewall" lo único que hacen es aplicar reglas limit con iptables muy restrictivas, limita mucho los paquetes y por eso te debe fallar cuando juegas.

Si tienes acceso telnet al router quizás puedas añadir reglas manualmente con iptables.

Cambiar la ip no es la solución en tu caso, si descubren la nueva ip volverás a estar en las mismas. Tienes que bloquear o mitigar el ataque.

Repetido hasta la saciedad:

4. Cambia el SSID u ocúltalo

El Service Set IDentifier es un nombre incluido en todos los paquetes de una red inalámbrica. Con un máximo de 32 caracteres alfanuméricos refiere el nombre de nuestra red inalámbrica o de otras que están al alcance de un dispositivo u ordenador. El nombre incluido por defecto, generalmente delata el modelo y fabricante, algo que tampoco debemos revelar, más aún si no hemos cambiado su acceso determinado como hablámanos en el punto dos.

Además de cambiar su nombre, la configuración de los routers permiten la opción de ocultar esta SSID para evitar que se muestre como red inalámbrica. Hay programas especiales que pueden rastrearla pero es una opción recomendada.

Cambiar el nombre si (basta ya de hacer publicidad a la operadora), ocultarlo no sirve de nada.



Proteger Red Wifi


Medidas que NO funcionan para proteger el Wifi:

   

Cifrado WEP: es de sobra conocido que este tipo de cifrado se ha quedado obsoleto. La razón principal por la cual se sigue usando es la compatibilidad con adaptadores 802.11b, y es quizá por ello que muchos ISP lo activan por defecto
    Filtrado MAC: restringir la navegación a las direcciones MAC de tus ordenadores puede parecer una solución, pero no es efectiva. Con las direcciones detectadas por el intruso y utilidades como MacMakeUp, que cambian la dirección del dispositivo, el mac-spoofing se lleva a cabo en un segundo.
    Ocultar el SSID: ocultar el nombre de la red inalámbrica es como caminar detrás de una puerta y pretender que nadie te ve. Sí es interesante, por otra parte, cambiar el nombre del SSID por algo que no se parezca al nombre por defecto o se pueda relacionar con tu ubicación. Por ejemplo cambiar el nombre del Wifi te tu compañía WLAN_XXX, JAZZTEL_XXX,  VODAFONE_XXXX, ADAMO_XXX,TELMEX, INFINITUM,

Medidas efectivas para proteger y asegurar nuestro Wifi contra intrusos:

    Cifrado WPA/WPA2: la tecnología de cifrado WPA, compatible con adaptadores 802.11g o superiores, es mucho más fuerte que WEP. Cualquier router dispone de WPA-PSK; en lugar de un código hexadecimal, hay una frase de paso de longitud variable (que debería ser resistente a ataques de diccionario). Mejor usar si tu router tiene WPA2-AES
    Cambiar la contraseña por defecto del router: es lo primero que debes hacer. El hipotético intruso querrá abrir puertos en el router para usar su programa P2P favorito u ocultar sus movimientos. Cambia la contraseña del router para tener la última palabra sobre la conexión.
    Mantener el firmware del punto de acceso actualizado: Las vulnerabilidades de cada punto de acceso se publican periódicamente en internet y por lo tanto, a nosotros nos compete el mantener actualizado el mismo o cambiarlo si tenemos fuertes sospechas de que puede ser fácilmente atacable.

Fuente:
http://blog.elhacker.net/2013/03/saber-descubrir-quien-se-conecta-accede-tu-mi-red-wifi.html

¿el video (tarjeta gráfica) es integrado en la placa base?

Pueden ser mil cosas, tienes que ir descartando componentes.

- Memoria Ram (test de Memoria ram)
- Procesador (si tienes otro procesador)
- Tarjeta gráfica
- Placa base
- Fuente alimentación
- Disco duro

Si cambias el disco duro y vuelve a ocurrir, es que no es el disco duro.

[Limitar ancho de banda en Apache]

con un .htacces no puedes hacer eso.

Para bloquear una ip cada x peticiones tienes que usar un módulo tipo mod_evasive para apache.

Aunque hay muchos otros:

- mod_bandwidth para Apache versión/rama 1.3.x
- mod_bw para Apache versión/rama 2.x
- mod_cband para Apache2
- mod_ratelimit para Apache 2.4.x y 2.5.x
- mod_qos  para Apache 2 (quality of service (QoS))

Limitar ancho de banda en Apache
http://blog.elhacker.net/2013/02/limitar-ancho-de-banda-en-apache.html


O usar floodmon, ddos deflate, etc

DDoS Deflate, script bash para mitigar ataques DoS
http://blog.elhacker.net/2013/12/ddos-deflate-script-bash-para-mitigar-ataques-ddos-dos.html