Banear ip que hace flood automaticamente

ayuda7777 · 28 Junio 2011, 18:36 PM

hola como les va? necesitaria si alguien sabe que me diga como se puede banear una ip que hace flood udp automaticamente con iptables

por ejemplo si manda mas de 10 paquetes por segundo la banee.

desde ya gracias.

el-brujo · 28 Junio 2011, 18:49 PM

Código [Seleccionar]

/sbin/iptables -A OUTPUT -p udp -m state --state NEW -j ACCEPT
/sbin/iptables -A OUTPUT -p udp -m limit --limit 100/s -j ACCEPT
/sbin/iptables -A OUTPUT -p udp -j DROP

Intentando detener un DDoS
http://foro.elhacker.net/tutoriales_documentacion/intentando_detener_un_ddos-t137442.0.html

dimitrix · 28 Junio 2011, 19:56 PM

Escucha brujo, tiene la URL de ese tema en favoritos ¿Verdad?

Es que mira que lo has recomendado veces xD

ayuda7777 · 28 Junio 2011, 21:52 PM

Cita de: el-brujo en 28 Junio 2011, 18:49 PM
Código [Seleccionar] Expandir
/sbin/iptables -A OUTPUT -p udp -m state --state NEW -j ACCEPT /sbin/iptables -A OUTPUT -p udp -m limit --limit 100/s -j ACCEPT /sbin/iptables -A OUTPUT -p udp -j DROP

Intentando detener un DDoS
http://foro.elhacker.net/tutoriales_documentacion/intentando_detener_un_ddos-t137442.0.html

hola con eso me bloquea todos los paquetes , osea no solo al que ataca si no que a todos los demas

el-brujo · 29 Junio 2011, 10:39 AM

no bloquea todos los paquetes, bloquea si hay más de x por segundo.

Lo mejor es que uses algo así (si te atacan al puerto 80) puedes cambiar el tcp por udp.

Código [Seleccionar]

-A INPUT -p tcp -m state -m recent --dport 80 --state NEW  --set 
-A INPUT -p tcp -m state -m recent --dport 80 --state NEW -j DROP  --update --seconds 5 --hitcount 20

ayuda7777 · 29 Junio 2011, 16:44 PM

Cita de: el-brujo en 29 Junio 2011, 10:39 AM
no bloquea todos los paquetes, bloquea si hay más de x por segundo.

Lo mejor es que uses algo así (si te atacan al puerto 80) puedes cambiar el tcp por udp.

Código [Seleccionar] Expandir
-A INPUT -p tcp -m state -m recent --dport 80 --state NEW --set -A INPUT -p tcp -m state -m recent --dport 80 --state NEW -j DROP --update --seconds 5 --hitcount 20

y hay alguna forma de banear la ip que hace flood?

el-brujo · 29 Junio 2011, 17:17 PM

¿banear en iptables, banear en una web o baner dónde?

Si es banear en el iptables:

Código [Seleccionar]

-A INPUT -s ip -j DROP

Lee el manual, explica primero cómo detectar la ip del atacante.

Intentando detener un DDoS
http://foro.elhacker.net/tutoriales_documentacion/intentando_detener_un_ddos-t137442.0.html

Explica un como más el problema, si tienes una web, un foro, un servidor de juegos.

ayuda7777 · 29 Junio 2011, 19:50 PM

es un servidor de un juego que usa protocolo udp y me lo atacan usando un vps haciendo flood , ya banie muchas ips , pero se compran mas vps y me siguen atacando , por eso queria bloquearlo automaticamente.

turco_7 · 6 Julio 2011, 09:33 AM

No creo que compren VPN solamente para flood...

Yo tengo el mismo problema con un server de un cliente, y lo unico que se va ocurrido ha sido trackear las ip atacantes e ir agregandolas al iptable, pero estoy seguro que no es lo mas optimo.

He instalado el mod_evasive pero no pasa nada, pareciera algo he configurado mal, de todas formas voy a seguir revisando eso ..

Otra cosa que me llamo la atencion, me atacan de mas de 200 ips diferente, nose como lo hacen, pero si se que cuando bloqueo estas 200 ips, aparecen nuevas ips, la verdad que esto ya me esta rompiendo un poco la cabeza...

A alguien se le ocurre algo ? he seguido el tutorial del link pero no puedo resolverlo ...

Saludos!

el-brujo · 6 Julio 2011, 10:05 AM

Con el mod_evasive pues añadir automáticamente las ips que floodean:

Código [Seleccionar]

DOSSystemCommand "/sbin/iptables -I INPUT -s %s -j DROP"

O guardarlas en un fichero para luego añadiras al iptables:

Código [Seleccionar]

DOSSystemCommand "echo -A INPUT -s %s -j DROP >> /home//user/logs/evasive-iptables.txt"

CitarOtra cosa que me llamo la atencion, me atacan de mas de 200 ips diferente, nose como lo hacen, pero si se que cuando bloqueo estas 200 ips, aparecen nuevas ips, la verdad que esto ya me esta rompiendo un poco la cabeza...

Si usan una botnet o van infectando ordenadores, es normal que aparezcan nuevas ips (de nuevos infectados) y además muchos suelen tener ip's dinámicas con lo que cuando crees que los has baneado a todos aparecen de nuevos..... y no todos atacan a la vez, soalmente cuando prenden el ordenador te atacan, mientras están off-line nada.... es uno de los problemas más comunes de un ataque DDoS.