Cómo para ataques DDoS en Linux

[Guia] Parando ataques DDoS en linux servers

Realizada Por: Ichi

Índice
1 – Saber qué és un ataque DDoS
2 – Saber cómo detectarlo
3 – Instalación de la herramienta DDoS Deflate
4 – FAQs

1 :: Saber qué és un ataque DDoS

Un ataque DDOS (Distributed Denial Of Service Attack) o Ataque de Denegación de Servicio Distribuido es un tipo especial de DoS consistente en la realización de un ataque conjunto y coordinado entre varios equipos (que pueden ser cientos o decenas de miles) hacia un servidor víctima.

La particularidad de este ataque, a diferencia del simple DoS, es el hecho de que el ataque proviene de diferentes partes del mundo, haciendo imposible cerrar la ruta de donde proviene el mismo, ya que no sólo es una, sino varias, dejando como única opción desconectar el servidor de la red y esperar a que el ataque cese.

Normalmente los ataques se llevan a cabo por varias oleadas. Pueden durar un par de minutos o incluso días, como ha sucedido en casos reales. Esto es posible gracias a un cierto tipo de malware que permite obtener el control de esas máquinas y que un atacante ha instalado previamente en ellas, bien por intrusión directa o mediante algún gusano. Los DDoS consiguen su objetivo gracias a que agotan el ancho de banda de la víctima y sobrepasan la capacidad de procesamiento de los routers, consiguiendo que los servicios ofrecidos por la máquina atacada no puedan ser ofrecidos.

A consecuencia de esto, generalmente el servidor queda fuera de servicio voluntariamente por los administradores y proveedores, debido al alto gasto de recursos y ancho de banda.

A las máquinas infectadas por el malware mencionado anteriormente se las conoce como máquinas zombie, y al conjunto de todas las que están a disposición de un atacante se le conoce como botnet.

2 :: Cómo detectarlo

Simple, tcpdump, con ésta herramienta podemos ver rápidamente si nos están atacando.

Aquí podemos ver perfectamente como estamos haciendo ping y con el comando siguiente nos muestra la IP y demás🙂

tcpdump -n

3 :: Instalación de la herramienta DDoS Deflate

És muy simple, aremos lo siguiente.

wget http://www.inetbase.com/scripts/ddos/install.sh

Con eso bajaremos el paquete instalador de DDoS Deflate (así como los programas de Windows)

chmod 0700 install.sh

Ahora acabamos de darle permisos de Ejecución (osease que podremos ejecutarlo como si fuera un script normal)

Y ahora como Root o super usuario hacemos lo siguiente

./install.sh

Así nos bajará e instalará los archivos necesarios para que funcione correctamente nuestra herramienta.

Ahora lo configuraremos según nuestras preferencias, pero por default debe venir semejante a ésto.

PROGDIR=”/usr/local/ddos”
PROG=”/usr/local/ddos/ddos.sh”
IGNORE_IP_LIST=”/usr/local/ddos/ignore.ip.list”
CRON=”/etc/cron.d/ddos.cron”
APF=”/etc/apf/apf”
IPT=”/sbin/iptables”

Posteriormente, tendremos que adecuar las opciones restantes según la naturaleza de la situación en la que estemos inmersos:

FREQ=1
# Frecuencia en minutos en la que el script sera ejecutado

NO_OF_CONNECTIONS=150
# Número de conexiones para proceder a banear una supuesta IP atacante

APF_BAN=1
# 1 indica que DDoS Deflate usara APF para banear, 0 llama directamente a Iptables

* Es necesario APF 0.96 como minimo si queremos activar el baneo por APF

BAN_PERIOD=600

# Tiempo durante el cual el atacante estará baneado. En segundos

EMAIL_TO=”root”

# Dirección a la cual se enviara un correo cuando alguien sea baneado

KILL=1

# Con la opción en 0, los atacantes no seran baneados. 1 esta activo por defecto

Éste código pertenece al archivo ddos.conf en la carpeta /usr/local/ddos

Y mas o menos ésto sería todo :3

:: FAQs ::

-Aún sigo sin entender que és un ataque DDoS y que hace de malo
Un ataque DDoS és un ataque cuya función és cortar la comunicación o en sí tirar el servidor para decirlo más coloquialmente.

-No se me instala el DDoS Deflate
Eso es que no has ejecutado el install.sh en modo root

Y bien, hasta aquí todo, espero que la guia les haya agradado y sea de su ayuda.
Saludos


3 responses to “Cómo para ataques DDoS en Linux

  • Rha-

    hola! y como hacer para saber si tu maquina es o no una maquina “zombie” y como desinfectarla! xD sin formatear? >_> antivirus? cual recomiendas?

    • Ichi

      En su mayoría si, en el post anterior tienes un programa para quitar malwares, luego otras opciones serían anti-spyware o Anti-Virus, y pasarlos semanalmnte o como muy poco mensualmente.
      Saludos

  • Richard

    Hola, tengo la siguiente consulta:

    He instalado el DDoS Deflate a raíz de que mi server está sufriendo un pequeño atake ddos iframe desde diferentes direcciones ip (llegando en alguna oportunidad hasta 40mil conexiones).

    Ahora el problema que tengo es que el DDoS Deflate se comporta de una forma que no entiendo, pues resulta que me esta baneando IPs que ya he agregado en el archivo “ignore.ip.list” (ip del servidor y algunas ips que uso dentro de mis aplicaciones que hacen bastantes conexiones). No conforme con banearme ips que ya tengo en una “lista blanka” (ignore.ip.list), las ips baneadas que si son los atacantes tambien me los agrega en el “ignore.ip.list” (banea las ips y los agrega en el “ignore.ip.list”) :S

    La configuracion que usé es el que viene por defecto, modifando tan solo 3 opciones, el APF_BAN, a “0″ para que use directamente el iptables, la opcion BAN_PERIOD a “3600″ y EMAIL_TO poniendole una direccion mia.

    Alguien sabria explicarme si este comportamiento es normal? alguna forma de solucionarlo? por ahora he desintalado :S

    P.D. Antes de instalar el DDoS Deflate, tenia puesto el csf y trabaja muy bien, pero al parecer me detecta falsos positivos, pues las visitas empiezan a bajar considerablemente junto con la carga del server por lo que ya no lo uso.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: