Parando DDOS

Iniciado por mcat, 4 Mayo 2013, 23:08 PM

0 Miembros y 1 Visitante están viendo este tema.

mcat

Tengo una pequeña duda. Tengo un servidor dedicado y últimamente estoy siendo atacado mediante DDOS, llevo semanas pensando como bloquearlo y he llegado a un script en python que coge una lista de direcciones IP y bloquea todas las ip excepto esa (lo que yo llamaría una whitelist). Esto lo hago en Ubuntu con iptables, quedando la INPUT abierta para los que esten en la ip
Mas o menos 

El problema es que cuando se realiza el ataque siguen entrando datos y sigue tirando el servidor incluso sin estar las ips en la lista (si hago un ping desde una ip que no esta en la lista me dice que esta off como tiene que ser). He probado todo tipo de otras soluciones pero ninguna ha funcionado puesto que el ataque es muy "disperso" desde muchísimas ips con pocos datos por ip, por lo que ningun firewall lo llega a detectar

Como puedo solucionar esto???

Muchas gracias y un saludo, Mcat

adastra

 Bueno... tienes fail2ban, funciona bastante bien.
También puedes usar algun IDS, Suricata y Snort son libres.
Finalmente, si lo que tienes es un servidor web apache, utilizar módulos tales como mod_evasive, mod_security y amon, te pueden ser muy útiles.


http://www.fail2ban.org/wiki/index.php/Main_Page
http://thehackerway.com/2012/10/23/2060/

el-brujo

Intentando detener un ataque DDoS
http://foro.elhacker.net/tutoriales_documentacion/intentando_detener_un_ataque_ddos-t137442.0.html

Una de las medidas más efectivas es usando el modulo recent de iptables:

-A INPUT -p tcp --dport 80 -m state --state NEW -m recent   --set
-A INPUT -p tcp --dport 80 -m state --state NEW -m recent  --update --seconds 10 --hitcount 10 -j DRO
P