Ataque DDoS desde el día 12 de julio

[Soir]

Buenas!

Pocas veces he publicado en el foro y eso que llevo registrado desde hace años, lo que quería comentaros es un problema que sufro en mi servidor dedicado desde el día 12 de julio, nos hemos visto envueltos en un ataque DDoS que no tiene fin, el ataque ha empezado el día 12 de julio.

He intentado poner medios para parar el ataque, tanto seguir la guía de documentación para parar DDoS de el-brujo, instalando APF, configurando reglas restrictivas en IPTables y nada... no hay fin para el ataque. Definitivamente se trata de un bot zombie, el problema es que aunque haya limitado la lista de entrada se ha saturado sin distinguir cual es el tráfico legítimo del que no lo es.

He estado revisando el syslog y siempre que sufrimos un ataque dejan los mismos patrones:

Código [Seleccionar] Expandir

Jul 23 07:52:34 ns5001xxx kernel: UDP: bad checksum. From 113.105.13.196:53 to ip_de_mi_dedicado:20862 ulen 4006
Jul 23 07:52:34 ns5001xxx kernel: UDP: bad checksum. From 100.2.207.131:53 to ip_de_mi_dedicado:2024 ulen 4006
Jul 23 07:52:34 ns5001xxx kernel: UDP: bad checksum. From 113.105.13.196:53 to ip_de_mi_dedicado:1812 ulen 4006
Jul 23 07:52:35 ns5001xxx kernel: UDP: bad checksum. From 71.178.251.101:53 to ip_de_mi_dedicado:48847 ulen 4006
Jul 23 07:52:35 ns5001xxx kernel: UDP: bad checksum. From 71.178.251.101:53 to ip_de_mi_dedicado:22149 ulen 4006
Jul 23 07:52:35 ns5001xxx kernel: UDP: bad checksum. From 71.178.251.102:53 to ip_de_mi_dedicado:53469 ulen 4006
Jul 23 07:52:35 ns5001xxx kernel: UDP: bad checksum. From 59.108.111.41:53 to ip_de_mi_dedicado:59302 ulen 4006
Jul 23 07:52:35 ns5001xxx kernel: UDP: bad checksum. From 59.108.111.41:53 to ip_de_mi_dedicado:40044 ulen 4006
Jul 23 07:52:35 ns5001xxx kernel: UDP: bad checksum. From 190.26.211.212:53 to ip_de_mi_dedicado:54572 ulen 4006
Jul 23 07:52:35 ns5001xxx kernel: UDP: bad checksum. From 71.178.251.101:53 to ip_de_mi_dedicado:10312 ulen 4006

Hemos cerrado el puerto 53 ya que no necesitamos para nada solicitudes de DNS, el problema es que no hay quién pare el ataque, nos saturan el ancho de banda del servidor dedicado que actualmente tenemos contratado en 1GB.

Dejo un gráfico para que veáis como suelen ser los ataques:


Cuando puedo acceder al SSH (muchas veces en medio del ataque es imposible entrar por terminal) soy capaz de bloquear las IPs que veo en el syslog y el ataque se detiene durante unos minutos, he pensado en bloquear con algún script este ataque mediante los patrones que sigue, tipo que el ulen es siempre 4006, algún patrón de IPs, que el puerto siempre es 53 y algún puerto aleatorio... pero la verdad es que no se como hacerlo.

El dedicado tiene instalado Debian, sería de gran ayuda cualquier comentario porque la verdad es que estoy cansado de estos ataques y hemos perdido muchas personas de la comunidad que aloja el dedicado por la interrupción del servicio.

[z3nth10n]

Has probado CloudFare?

[Soir]

Has probado CloudFare?

Tenemos 3 dedicados y únicamente 1 de ellos aloja una web, y si, ese dedicado está protegido por CloudFlare, el dedicado del que he hablado en el tema aloja otro tipo de servicios de juegos en línea, pero nada de web por lo que CloudFlare no da protección a eso.

[Jorge.]

probaste con mod_security???

sino esto: http://www.metaeye.org/projects/zmbscap/

suerte, saludos 

[Soir]

probaste con mod_security???

sino esto: http://www.metaeye.org/projects/zmbscap/

suerte, saludos 

Que va, no he probado el mod_security porque no es una web lo que estoy protegiendo en el dedicado, miraré el zmbscap.

[Jorge.]

Pruebalo