LeopoldoMaestro.COM » ddos

Parar ataque DoS/DDoS con Floodmon

admin — Mon, 11 Jan 2010 22:30:50 +0000

Floodmon es una interesante herramienta creada en Perl. Consiste en un pequeño demonio que ayuda a monitorizar y mitigar ataques SYN al servidor, permitiendo que el trafico legitimo sea permitido.

A diferencia de DDoS Deflate que esta basado en Netfilter/Iptables, Floodmon realiza el filtrado a nivel de tabla de enrutamiento. Es muy eficiente contra floods HTTP, por ejemplo, donde se intenta saturar el uplink basado en la respuesta. A pesar de todo, aunque se null routea el ataque, el servidor va a ser alcanzado por multitud de paquetes, lo que complica el asunto ante un ataque de gran calado.

Os dejo la url del proyecto:

Link del proyecto en Sourceforge

Instalando DDoS Deflate para mitigar ataques DoS

leopoldomaestro — Thu, 11 Dec 2008 23:47:28 +0000

Medialayer sufria ataques de denegación de servicio. Para atajar ese problema, uno de los chicos de Medialayer pensó en crear una solución Open Source para mitigar estos ataques. Ese día nació DDoS Deflate, un script en Bash bastante efectivo para mitigar ataques de denegación de servicio.

Instalando DDoS Deflate

* DDoS Deflate requiere que APF 0.96 este instalado si queremos usar que las IP´s sean baneadas a traves de APF.
** La instalación de APF va mas allá del objetivo de esta guia.

wget http://www.inetbase.com/scripts/ddos/install.sh
chmod 0700 install.sh
./install.sh

Configurando DDoS Deflate

Abrimos el fichero ddos.conf localizado en /usr/local/ddos

Editamos las rutas para que encajen con la estructura de nuestro sistema:

PROGDIR=”/usr/local/ddos”
PROG=”/usr/local/ddos/ddos.sh”
IGNORE_IP_LIST=”/usr/local/ddos/ignore.ip.list”
CRON=”/etc/cron.d/ddos.cron”
APF=”/etc/apf/apf”
IPT=”/sbin/iptables”

Posteriormente, tendremos que adecuar las opciones restantes según la naturaleza de la situación en la que estemos inmersos:

FREQ=1
# Frecuencia en minutos en la que el script sera ejecutado

NO_OF_CONNECTIONS=150
# Número de conexiones para proceder a banear una supuesta IP atacante

APF_BAN=1
# 1 indica que DDoS Deflate usara APF para banear, 0 llama directamente a Iptables

* Es necesario APF 0.96 como minimo si queremos activar el baneo por APF

BAN_PERIOD=600

# Tiempo durante el cual el atacante estará baneado. En segundos

EMAIL_TO=”root”

# Dirección a la cual se enviara un correo cuando alguien sea baneado

KILL=1

# Con la opción en 0, los atacantes no seran baneados. 1 esta activo por defecto

Cienciología y Ataques DDoS

leopoldomaestro — Sun, 19 Oct 2008 21:39:00 +0000

Leo en Slashdot que un joven estadounidense llamado Dmitriy Guzner se ha confesado culpable de diversos ataques DDoS contra la iglesia de la cienciología, enfrentadose a una pena de carcel de entre 12 y 18 meses de prisión y una indemnización de 37.500$.

¿Es correcto un castigo de 18 meses de prisión por realizar un DDoS que colapso momentaneamente el sitio de la Cienciología? Probablemente el castigo economico si sea más ajustado a las perdidas economicas que pudo ocasionar, ya que los ataques de denegación de servicio pueden ocasionar muchas perdidas economicas al denegar la actividad, pero penas de prisión de esta indole las considero desproporcionadas.

Desgraciadamente, la legalidad en Internet en muchas ocasiones no tiene un criterio razonable en comparación con otros ambitos.