Articulos PHP
Julio 06, 2008, 02:33:37 *
Bienvenido(a), Visitante. Por favor, ingresa o regístrate.

Ingresar con nombre de usuario, contraseña y duración de la sesión
Noticias: Canciones Traducidas - Daforos.com - Fondos Gratis - Portatiles - Hosting - - Recursos Gratuitos Webmaster - elhacker dragonjar - sexo gratis - letras de canciones - Trucos Gratis - Juegos Gratis - Sexe gratuit - Juegos De Coche - porno - Start - Page0 - Page1 - Page2 - Page3 - Page4 - Page5 - Page6 - Page7 - Page8 - Page9 - Page10Page11 - Page12 - Page13 - Page14 - Page15 - Page16 - Page17 - Page18 - Page19 - Page20Page21 - Page22 - Page23 - Page24 - Page25 - Page26 - Page27 - Page28 - Page29 -

Articulos PHP > Articulos > Mis articulos > Parando ataques ddos
Páginas: 1   Ir Abajo
« anterior próximo »
  Imprimir  
Autor Tema: Parando ataques ddos  (Leído 511 veces)
administrador
Administrator
Hero Member
*****
Desconectado Desconectado

Mensajes: 14592


Ver Perfil
« : Noviembre 26, 2007, 11:12:50 »
Bueno para todos los que manejan servidores dedicados. Siempre nos vamos a encontrar con "hackers" que se haran sentir realizados tumbando servidores. Y nosotros una gran perdida puesto a que 4/5hrs de (servidores down) pueden representar perdidas tanto para clientes o propias


Unos comandos que podemos utilizar son las siguientes gracias a netstat
netstat -an | grep :80 | sort
netstat -n -p | grep SYN_REC | awk '{print $5}' | awk -F: '{print $1}'

(La segunda es la mas usada pues son las que realmente afectan)
netstat -n -p|grep SYN_REC | wc -l
netstat -lpn|grep :80 |awk '{print $5}'|sort
netstat -an | grep :80 | awk '{ print $5 }' | awk -F: '{ print $1 }' | sort | uniq -c | sort -n

Todas nos dan resultados distintos. Información distinta.

Mirar los logs de syslog
May 17 13:39:43 lan kernel: NET: 6 messages suppressed.
May 17 13:39:43 lan kernel: ip_conntrack: table full, dropping packet.
May 17 13:39:48 lan kernel: NET: 4 messages suppressed.
May 17 13:39:48 lan kernel: ip_conntrack: table full, dropping packet.
May 17 13:39:52 lan kernel: NET: 9 messages suppressed.
May 17 13:39:52 lan kernel: ip_conntrack: table full, dropping packet.
May 17 13:39:57 lan kernel: NET: 15 messages suppressed.
May 17 13:39:57 lan kernel: ip_conntrack: table full, dropping packet.
May 17 13:40:01 lan kernel: possible SYN flooding on port 80. Sending cookies.

Abrimos /etc/sysctl.conf

# Enable TCP SYN Cookie Protection
es mejor dejarlo
net.ipv4.tcp_syncookies =0
En algunos servidores es mejor agregarlo ya que no viene esta linea
ejecutamos
/etc/rc.d/init.d/network restart
para que los cambios tomen efecto

Tambien podemos usar estos comandos para monitorear los procesos
ps fauxwww | grep httpd
httpd status
httpd fullstatus
ps fauxwww

Algunos no van a funcionar correctamente dependiento la version del apache.

Tambien hay que ver nuestros logs. ya que siempre dan información revelante al instante o comparando los horarios con los dias anteriores

Podemos ver los logs con estos comandos
tail -100 /var/log/cron
tail -100 /var/log/messages
tail -100 /var/log/secure
tail -100 /var/log/maillog


Maillog lo miro siempre ya que muchas veces las cargas! de nuestro servidor es por algun spammer que tengamos alojados o algun (spammer que subio por alguna vulnerabilidad de algun alojado su script)

el valor -100 se puede cambiar a su gusto. mostrara las 100 ultimas lineas
-300 -400- 500

Recomiendo utilizar el
Para ver los enlaces debes ser usuario Crear Usuario o Hacer Sesion
(Aunque puede afectarnos mucho si el servidor es compartido y con utilizacion de varias maquinas que suelen usar las empresas "clientes")

Cuando instalemos el mod evasive hay que editar nuestro httpd.conf

y añadir lineas
<IfModule mod_evasive.c>   
DOSHashTableSize    3097   
DOSPageCount        2   
DOSSiteCount        50   
DOSPageInterval     1   
DOSSiteInterval     1   
DOSBlockingPeriod   900
</IfModule>

Con esto hacemos que una ip haga 50 peticiones a maximo de 2 segundo.

Podemos dejarlo tambien en cero.

Aqui algo importante. al utilizar esto vamos a terminar banneando a robots de buscadores. uno de ellos googlebot que es el que mas puede afectarnos puesto a que dejaran de mostrar informacion actualizada en su buscador de nuestro sitio

<IfModule mod_evasive.c>
# añadir estas líneas que corresponden a rangos de los bots de google
DOSWhitelist 66.249.65.*
DOSWhitelist 66.249.66.*
</IfModule>

Aqui unas ips de googlebot
64.68.82.*
209.185.108.*
209.185.253.*
66.249.65.*
64.209.181.*
64.208.33.*
64.68.82.*
209.185.253.*
209.185.108.*
64.209.181.*
64.208.33.*

Es importante poner la mayoria puesto a que puede penalizar el bloqueo de sus otros boots.
MaxRequestsPerChild 10000

(Si tienes mas de 4gb de memoria. obvio que podras aumentar)

Instalar el apf firewall con modulo anti ddos
wget
Para ver los enlaces debes ser usuario Crear Usuario o Hacer Sesion
tar xvzf apf-current.tar.gz
cd apf-0.9.6-1/
./install.sh


service apf start
/usr/local/sbin/apf -s


Links con mas información

Para ver los enlaces debes ser usuario Crear Usuario o Hacer Sesion

Para ver los enlaces debes ser usuario Crear Usuario o Hacer Sesion

Para ver los enlaces debes ser usuario Crear Usuario o Hacer Sesion

Existen mas formas de frenar ataques ddos.
pero todas depende de la forma que esten empleando el atacante.


Llevar un servidor no es muy facil. si este mantiene sitios importantes y grandes
En línea
Páginas: 1   Ir Arriba
  Imprimir  
« anterior próximo »
 
Ir a:  

Mas buscadas: apuntes audio belleza bolsa cancer carpet carrera casas computadora credito cross curso informatica divx dolar drivers e mule economia explorer grafica hardware higiene industria industrial informatica internet libros linux mantenimiento manuales media medicina nutricion online paginas web politica posicionamiento programacion red red alert salud seguro seo software tecnologia trucos windows universidad venta video web windows winrar

UseBB Port by Gaia Modified & Upgraded by Croco Articulos PHP | Impulsado por SMF 1.1.5.
© 2005, Simple Machines LLC. Todos los Derechos Reservados.

Página creada en 0.114 segundos con 18 consultas.