Protección contra ataques (DDOS)

Iniciado por Eleкtro, 7 Julio 2013, 19:54 PM

0 Miembros y 1 Visitante están viendo este tema.

Eleкtro

No se nada acerca de esto, pero me están ayudando a crear una web y...bueno, necesito protección.

La verdad es que no necesito "caching" ni porquerías, yo solo quiero que si un intruso accede muchas veces seguidas con la misma ip en un intervalo muy corto de tiempo, pues hacerle un baneo temporal a esa IP. (Si alguien puede dar información sobre como hacer esto lo agradecería)

Pero claro...si ese intruso usa bots (proxies) pues entonces el baneo temporal va a dar igual y en ese caso lo mejor sería bloquear la página temporálmente como hace Cloudfare, ¿no?.

¿Quizás CloudFare se puede configurar de alguna manera para que si solo se detecta un usuario que intenta hacer DDOS repetídamente, entonces banear a esa ip, pero si en cambio se detectan muchas ips (bots) en un intervalo corto de tiempo, entonces bloquear la web?, si algún servicio ofrece ese razonamiento de lógica...sería genial.

Mi favorito es CloudFare (tampoco conozco otros) http://www.cloudflare.com/
Comentarios: http://www.forbes.com/sites/eliseackerman/2012/02/29/how-cloudflares-free-ddos-protection-service-is-disrupting-the-multibillion-dollar-computer-security-and-content-delivery-markets/2/









kub0x

Bueno si quieres saber como funciona CloudFlare:

Citar
El sistema de CloudFlare carga tu sitio en la nube (a travez de varios proxys) Osea tu sitio se carga en la nube, el servicio bloquea IPs, ISP, Mac Adress automaticamente si fueron denunciadas como SPAM, o si requiere muchos paquetes para tu sitio, Y si soprepasa esa barrera (casi imposible) el servicio provee una especie de "cache" QUE SI TU SITIO ES VOLTEADO (TANGO DOWN) CloudFlare mostrara su copia en la nube, COMO SI NO HUBIERA PASADO NADA, para que tus clientes puedan seguir disfrutando de tu sitio

Fuente: http://krisislabs.com/protege-tu-sitio-de-ataque-ddosdos-cloudflare/#ixzz2YO5Ghdmt

Ahora te doy mi opinión: la mayoría de las veces los Firewall e IDS no son suficientes para parar un ataque distribuido proveniente de una Botnet, lo pueden poner difícil pero claro, antes de que los paquetes llegen al Server pasán por el Firewall y/o por el IDS y éstos tienen unas tablas de conexión que si se llenan adios, es decir, se verían saturados y DROPearían todas las conexiones entrantes, de esta manera ni siquiera las conexiones lícitas se establecerían. Ahí está el problema de la NO distinción entre tráfico legítimo e ilegítimo.

El mejor servicio para mí es aquel que ofrece un patrón de reconocimiento de paquetes ya que un atacante utiliza un método de ataque común entre todos sus subordinados (Zombies) por lo que si dicho patrón es detectado, el ataque, podría mitigarse sin sufrir las consecuencias de la denegación de servicio. CloudFare es buena opción.

Saludos!
Viejos siempre viejos,
Ellos tienen el poder,
Y la juventud,
¡En el ataúd! Criaturas Al poder.

Visita mi perfil en ResearchGate


Eleкtro

Muchas gracias por compartir tu experiencia Kub0x.

saludos!








αиσиyмσυรCร

Creo que has venido al sitio indicado ya que el-brujo te puede ayudar en esto jeje hay un par de videos de como se Defendía a un ataque DDoS viendo su trafico y luego como los pillo :)

El programa para ver el trafico del servidor web es: Logstalgia

Un video hecho por el-brujo fue este: http://www.youtube.com/watch?v=_R-dm62NZ5E

Y el otro esta dentro de la publicación que hizo: http://blog.elhacker.net/2013/05/ataque-ddos-dos-elhacker-rd-victor-luis-torres-duguies.html

Espero haberte sido de ayuda y bueno hay ciertos servidores de hosting que tienen esa protección Anti-DDoS pero tampoco es de mucha confianza...

Un saludo y gracias por tu atencion

Eleкtro

@αиσиyмσυรCร

Muchas gracias, un aportazo el programa ese del Logstalgia, aunque soy muy novato como para entender que significan los parámetros que salen en el lado izquierdo del programa, ya lo descubriré, se ve muy interesante.

Cita de: αиσиyмσυรCร en  7 Julio 2013, 23:24 PMhay un par de videos de como se Defendía a un ataque DDoS viendo su trafico

¿Eso significa que el programa además de loguear el tráfico, también "Defiende"?

Por el momento me interesaría más saber como proteger, que saber como loguear el tráfico, pero como ya he dicho, un aportazo esa aplicación, gracias.

Un saludo!








z3nth10n

#5
Para tu decepción Elektro, Logstalgia como bien me explicó el-brujo hace tiempo...
Requiere que tengas un dominio comprado, para así poder acceder al Apache y sacar el ataque y luego renderizarlo con el Logstalgia... >:D




http://foro.elhacker.net/sugerencias_y_dudas_sobre_el_foro/optimizando_la_mysql_no_se_asusten-t389770.0.html;msg1851278#msg1851278

>:D

Interesados hablad por Discord.

Eleкtro

gracias ikillnukes

Era demasiado bueno para ser cierto