12 Dic, 2008

Instalando DDoS Deflate para mitigar ataques DoS

Posted by: leopoldomaestro In: Linux|Seguridad

Medialayer sufria ataques de denegación de servicio. Para atajar ese problema, uno de los chicos de Medialayer pensó en crear una solución Open Source para mitigar estos ataques. Ese día nació DDoS Deflate, un script en Bash bastante efectivo para mitigar ataques de denegación de servicio.

Instalando DDoS Deflate

* DDoS Deflate requiere que APF 0.96 este instalado si queremos usar que las IP´s sean baneadas a traves de APF.
** La instalación de APF va mas allá del objetivo de esta guia.

wget http://www.inetbase.com/scripts/ddos/install.sh
chmod 0700 install.sh
./install.sh

Configurando DDoS Deflate

Abrimos el fichero ddos.conf localizado en /usr/local/ddos

Editamos las rutas para que encajen con la estructura de nuestro sistema:

PROGDIR=»/usr/local/ddos»
PROG=»/usr/local/ddos/ddos.sh»
IGNORE_IP_LIST=»/usr/local/ddos/ignore.ip.list»
CRON=»/etc/cron.d/ddos.cron»
APF=»/etc/apf/apf»
IPT=»/sbin/iptables»

Posteriormente, tendremos que adecuar las opciones restantes según la naturaleza de la situación en la que estemos inmersos:

FREQ=1
# Frecuencia en minutos en la que el script sera ejecutado

NO_OF_CONNECTIONS=150
# Número de conexiones para proceder a banear una supuesta IP atacante

APF_BAN=1
# 1 indica que DDoS Deflate usara APF para banear, 0 llama directamente a Iptables

* Es necesario APF 0.96 como minimo si queremos activar el baneo por APF

BAN_PERIOD=600

# Tiempo durante el cual el atacante estará baneado. En segundos

EMAIL_TO=»root»

# Dirección a la cual se enviara un correo cuando alguien sea baneado

KILL=1

# Con la opción en 0, los atacantes no seran baneados. 1 esta activo por defecto

8 Respuestas en "Instalando DDoS Deflate para mitigar ataques DoS"

1 | hax0r

enero 10th, 2010 at 6:03 pm

Avatar

esos scripts no paran un ataques DDOS ,estas alucinando viejo ..XD..

Los ataques DDos no pueden ser detenidos …JUAS

2 | xa0s

febrero 20th, 2010 at 1:58 am

Avatar

:O vaya que eres ignorante «hax0r»
quiza tu seas uno de los idiotas que se cree grande porque tiene un programita que floodea una web. en fin.. los ataques dos pueden pararse. los ddos que sean muy grandes se complica pero se puede sino la red seria un caos.

3 | Rodrigo Moreno

mayo 20th, 2010 at 10:02 pm

Avatar

hax0r eres un estúpido, has intentado tumbar Google con DDoS ¿? No se puede, se que es una grande compañía pero con varias computadoras viejas puedes parar ataques DDoS impresionantes… Como¿? Pues usando balanceo de carga entre servidores, claro este script en bash lo único que podrá parar seran DoS y DDoS básicos y pequeños, claro que lo hace…

4 | Comutel

febrero 15th, 2011 at 6:32 am

Avatar

Hola pues claro que ayudan de mucho esos scripts aunque hay ataques tan grandes que son muy dificiles, pero de todas maneras esto te aligera la carga.

5 | Mikrotik

febrero 15th, 2011 at 6:37 am

Avatar

Hola amigo estos script ayudan de mucho, hay diversas tecnicas de ataque ddos, muchos de ellos dificiles de controlar y se tiene que hacer con mucha paciencia.

Pero si ayuda de mucho en un primer paso.

Es muy bueno este script, yo tengo csf firewall es posible configurar de alguna forma.

Saludos.

6 | Lavadoras Industriales

febrero 15th, 2011 at 6:40 am

Avatar

Tengo una duda yo tambien tengo el csf firewall instalado en mi server es posible configurarlo y que valores tendria que poner al script de poderse.

Atte.

7 | Douglas

mayo 19th, 2011 at 8:03 pm

Avatar

En cierto sentido hax0r tiene razón los ataques DDoS son imparables, como dice el compi lo del programita… eso no es DDoS es DoS 😉 y eso lo puedes parar con apf, ddos deflate y dem´s scripts, el único remedio contra ellos es tener varios ips para un solo host, me explico no se quién puso lo del ejemplo de google…
20:00 ••• DNS: 209.85.229.147 ( google.es ) .clip.
20:00 ••• DNS: 209.85.229.99 ( google.es ) .clip.
20:00 ••• DNS: 209.85.229.104 ( google.es ) .clip.
Esas son las ips de google .es

20:02 ••• DNS: 209.85.146.99 ( google.com ) .clip.
20:02 ••• DNS: 209.85.146.103 ( google.com ) .clip.
20:02 ••• DNS: 209.85.146.104 ( google.com ) .clip.
20:02 ••• DNS: 209.85.146.105 ( google.com ) .clip.
20:02 ••• DNS: 209.85.146.106 ( google.com ) .clip.
20:02 ••• DNS: 209.85.146.147 ( google.com ) .clip.

aquí google.com

De esa manera cuando apunten a tu host las ips de reparten el golpe, espero que haya sido de ayuda esto.
Saludos.

8 | Richard

noviembre 25th, 2011 at 11:31 pm

Avatar

Hola, tengo la siguiente consulta:

He instalado el DDoS Deflate a raíz de que mi server está sufriendo un pequeño atake ddos iframe desde diferentes direcciones ip (llegando en alguna oportunidad hasta 40mil conexiones).

Ahora el problema que tengo es que el DDoS Deflate se comporta de una forma que no entiendo, pues resulta que me esta baneando IPs que ya he agregado en el archivo «ignore.ip.list» (ip del servidor y algunas ips que uso dentro de mis aplicaciones que hacen bastantes conexiones). No conforme con banearme ips que ya tengo en una «lista blanka» (ignore.ip.list), las ips baneadas que si son los atacantes tambien me los agrega en el «ignore.ip.list» (banea las ips y los agrega en el «ignore.ip.list») :S

La configuracion que usé es el que viene por defecto, modifando tan solo 3 opciones, el APF_BAN, a «0» para que use directamente el iptables, la opcion BAN_PERIOD a «3600» y EMAIL_TO poniendole una direccion mia.

Alguien sabria explicarme si este comportamiento es normal? alguna forma de solucionarlo? por ahora he desintalado :S

P.D. Antes de instalar el DDoS Deflate, tenia puesto el csf y trabaja muy bien, pero al parecer me detecta falsos positivos, pues las visitas empiezan a bajar considerablemente junto con la carga del server por lo que ya no lo uso.

Haz un comentario

Categorias

Publicidad