hola como les va? necesitaria si alguien sabe que me diga como se puede banear una ip que hace flood udp automaticamente con iptables
por ejemplo si manda mas de 10 paquetes por segundo la banee.
desde ya gracias.
/sbin/iptables -A OUTPUT -p udp -m state --state NEW -j ACCEPT
/sbin/iptables -A OUTPUT -p udp -m limit --limit 100/s -j ACCEPT
/sbin/iptables -A OUTPUT -p udp -j DROP
Intentando detener un DDoS
http://foro.elhacker.net/tutoriales_documentacion/intentando_detener_un_ddos-t137442.0.html
Escucha brujo, tiene la URL de ese tema en favoritos ¿Verdad?
Es que mira que lo has recomendado veces xD
Cita de: el-brujo en 28 Junio 2011, 18:49 PM
/sbin/iptables -A OUTPUT -p udp -m state --state NEW -j ACCEPT
/sbin/iptables -A OUTPUT -p udp -m limit --limit 100/s -j ACCEPT
/sbin/iptables -A OUTPUT -p udp -j DROP
Intentando detener un DDoS
http://foro.elhacker.net/tutoriales_documentacion/intentando_detener_un_ddos-t137442.0.html
hola con eso me bloquea todos los paquetes , osea no solo al que ataca si no que a todos los demas
no bloquea todos los paquetes, bloquea si hay más de x por segundo.
Lo mejor es que uses algo así (si te atacan al puerto 80) puedes cambiar el tcp por udp.
-A INPUT -p tcp -m state -m recent --dport 80 --state NEW --set
-A INPUT -p tcp -m state -m recent --dport 80 --state NEW -j DROP --update --seconds 5 --hitcount 20
Cita de: el-brujo en 29 Junio 2011, 10:39 AM
no bloquea todos los paquetes, bloquea si hay más de x por segundo.
Lo mejor es que uses algo así (si te atacan al puerto 80) puedes cambiar el tcp por udp.
-A INPUT -p tcp -m state -m recent --dport 80 --state NEW --set
-A INPUT -p tcp -m state -m recent --dport 80 --state NEW -j DROP --update --seconds 5 --hitcount 20
y hay alguna forma de banear la ip que hace flood?
¿banear en iptables, banear en una web o baner dónde?
Si es banear en el iptables:
-A INPUT -s ip -j DROP
Lee el manual, explica primero cómo detectar la ip del atacante.
Intentando detener un DDoS
http://foro.elhacker.net/tutoriales_documentacion/intentando_detener_un_ddos-t137442.0.html
Explica un como más el problema, si tienes una web, un foro, un servidor de juegos.
es un servidor de un juego que usa protocolo udp y me lo atacan usando un vps haciendo flood , ya banie muchas ips , pero se compran mas vps y me siguen atacando , por eso queria bloquearlo automaticamente.
No creo que compren VPN solamente para flood...
Yo tengo el mismo problema con un server de un cliente, y lo unico que se va ocurrido ha sido trackear las ip atacantes e ir agregandolas al iptable, pero estoy seguro que no es lo mas optimo.
He instalado el mod_evasive pero no pasa nada, pareciera algo he configurado mal, de todas formas voy a seguir revisando eso ..
Otra cosa que me llamo la atencion, me atacan de mas de 200 ips diferente, nose como lo hacen, pero si se que cuando bloqueo estas 200 ips, aparecen nuevas ips, la verdad que esto ya me esta rompiendo un poco la cabeza...
A alguien se le ocurre algo ? he seguido el tutorial del link pero no puedo resolverlo ...
Saludos!
Con el mod_evasive pues añadir automáticamente las ips que floodean:
DOSSystemCommand "/sbin/iptables -I INPUT -s %s -j DROP"O guardarlas en un fichero para luego añadiras al iptables:
DOSSystemCommand "echo -A INPUT -s %s -j DROP >> /home//user/logs/evasive-iptables.txt"CitarOtra cosa que me llamo la atencion, me atacan de mas de 200 ips diferente, nose como lo hacen, pero si se que cuando bloqueo estas 200 ips, aparecen nuevas ips, la verdad que esto ya me esta rompiendo un poco la cabeza...
Si usan una botnet o van infectando ordenadores, es normal que aparezcan nuevas ips (de nuevos infectados) y además muchos suelen tener ip's dinámicas con lo que cuando crees que los has baneado a todos aparecen de nuevos..... y no todos atacan a la vez, soalmente cuando prenden el ordenador te atacan, mientras están off-line nada.... es uno de los problemas más comunes de un ataque DDoS.