Ataque DDOS/Inundación UDP a mi servidor

Iniciado por motocros_elche, 25 Abril 2015, 00:40 AM

0 Miembros y 1 Visitante están viendo este tema.

motocros_elche

Buenas, al parecer están realizando ataques mediante inundación udp.

He de decir que no tengo ni idea acerca del tema así que tal vez no use las palabras correctas pero intentaré explicarlo lo mejor que pueda.

Tengo un servidor dedicado con proxmox instalado en el cual tengo 3 maquinas virtuales (VM), una para la web y servidor TS, otra para pruebas, y otra para el servidor de un juego funcionando bajo Windows server 2012 (cada VM con su propia IP).

Recibo mail de la empresa de host (OVH) sobre que se está realizando un ddos y que el servidor pasa a migración, el servidor funciona perfectamente con una fluidez increíble y no se cae, pero el puerto del servidor del juego queda inutilizado durante un buen rato a veces horas, con lo cual la solución es cambiar el puerto informar a los usuarios y ya esta así hasta que vuelve a suceder (suelen tardar unas horas en volver a atacar).

Muchos amigos me han comentado que alojar el servidor en windows no es muy buena idea pero claro el programador de este juego es taliwindows y en linux a penas hay documentación a parte de que da problemas (el servidor en ese s.o, no linux en si).

Tengo el firewall de windows activado, el antivirus microsoftsecurity essentials, he probado a bloquear las conexiones udp pero el servidor deja de aparecer en la lista y no se puede conectar a el, he probado algunas herramientas anti-ddos para windows pero ninguna ha resultado ser útil.


Me gustaría saber si es posible instalar algún tipo de seguridad en proxmox que esta basado en linux aún los ataques sean al puerto de la ip de una VM y no al servidor en general.

O si sabéis otro método para windows pues también podría probar, pero ni si quiera se si viene de una sola ip o de muchas...

Cualquier aporte será bienvenido y seguro que ayuda a alguien más, ya se que ante un buen ddos poco hay que se pueda hacer pero por intentarlo que no quede...

Saludos.

motocros_elche


ElP4nd4N3gro

Ponte en contacto con tu administrador de hosting, ellos deberian tener medidas ya que es su servidor realmente.

Hay varias soluciones posibles, pero depende de hasta que punto el proveedor te deje tocar.
Existen varios métodos (no para mitigarlos, sino para prevenirlos) colocar un proxy delante del servidor con ciertas reglas reestringiendo tiempo o descartando peticiones dudosas. (ademas de otras reglas)
Si pagaste por unservidor dedicado estas medidas deberías ponerlas la empresa, pero no siempre ocurre y le toca a uno. ellos deberían ayudarte

Para mitigar el ataque.. eso es mas complicado y yo nunca me he parado a pensar en ello, pero sin dedicarle mucho tiempo se me ocurre hacerles un dos a ellos, a la botnet q usen, no se la verdad.. 
El proveedor deberia tener medidas para q no ataquen sus servidores, habla con ellos mejor
Como el baile entre caronte y plutón

motocros_elche

Cita de: ElP4nd4N3gro en  1 Mayo 2015, 15:05 PM
Ponte en contacto con tu administrador de hosting, ellos deberian tener medidas ya que es su servidor realmente.

Hay varias soluciones posibles, pero depende de hasta que punto el proveedor te deje tocar.
Existen varios métodos (no para mitigarlos, sino para prevenirlos) colocar un proxy delante del servidor con ciertas reglas reestringiendo tiempo o descartando peticiones dudosas. (ademas de otras reglas)
Si pagaste por unservidor dedicado estas medidas deberías ponerlas la empresa, pero no siempre ocurre y le toca a uno. ellos deberían ayudarte

Para mitigar el ataque.. eso es mas complicado y yo nunca me he parado a pensar en ello, pero sin dedicarle mucho tiempo se me ocurre hacerles un dos a ellos, a la botnet q usen, no se la verdad.. 
El proveedor deberia tener medidas para q no ataquen sus servidores, habla con ellos mejor

Buenas, es un servidor dedicado en soyoustart (de ovh), ya he hablado con ellos y me han dicho que existen muchas herramientas para windows pero que no pueden decirme ninguna...
El servidor dedicado no cae, pasa a mitigación automáticamente, lo único que logran es bloquear el puerto udp del servidor del juego, por eso cambio el puerto y problema solucionado pero llega un punto en el que cansa y no veo normal que a penas haya documentación para prevenir esto si es que se puede, aún que uno de los problemas es que uso windows de host para el servidor del juego, pero es una VM montada en linux aún que con distinta ip, no sé si se podrá hacer algo o no, ni si quiera se si vienen de una sola ip los ataques o de muchas ya que las herramientas que he visto están obsoletas o son de pago

WIитX

Bloquea las ips atacantes en caso den o ser muchas...

Si no bloquea el país desde donde te atacan y listo
"Es más divertido hacerse pirata que unirse a la marina." (Steve Jobs)

el-brujo

¿No tienes ningún log del ataque?

En Windows no te puedo ayudar mucho, pero con un log (registro del ataque) podría facilitar mucho las cosas.

Lo primero que tienes que hacer saber como te atacan.

Si sabes y analizas el tipo de ataque que te están realizando  es la única manera para intentarlo mitigar o parar por completo.

Si están bloqueando un puerto udp, casi seguro que están usando DrDDoS, ataque por amplificación basado en UDP:

Ataques UDP Reflection Flood DrDoS (Inundación mediante Amplificación)
http://blog.elhacker.net/2014/06/udp-flood-inundacion-reflection-attack-ataque.html

Mitigación de ataques UDP Reflection DrDoS
http://blog.elhacker.net/2015/04/detener-mitigacion-de-ataques-udp-reflection-drdos-drddos.html