IPSecureNetwork

Buenas a todos,

Se que he prometido esta guia hace algún tiempo pero recién ahora por cuestiones de negocios he podido hacerme un tiempo para poder dejar esta guía que no es mas ni menos que un poco de información bien conocida por algunos que estan en este tema y un poco de información basada en experiencias personales que me ha dado el trabajar día a día tanto como Administrador de Sistemas UNIX asi como Administrador de las redes de la empresa.


Que es un ataque DDoS ?

Un ataque DDOS (Distributed Denial Of Service Attack) o Ataque de Denegación de Servicio Distribuido es un tipo especial de DoS consistente en la realización de un ataque conjunto y coordinado entre varios equipos (que pueden ser cientos o miles) hacia un host víctima. La particularidad de este ataque, a diferencia del simple DoS, es el hecho de que el ataque proviene de diferentes partes del mundo, haciendo imposible cerrar la ruta atacador ya que no solo es una, dejando como única opción desconectar el Servidor de la Red y esperar a que el ataque cese. Normalmente los ataques se llevan a cabo por varios oleajes. Esto es posible gracias a un cierto tipo de malware que permite obtener el control de esas máquinas y que un atacante ha instalado previamente en ellas, bien por intrusión directa o mediante algún gusano. Los DDoS consiguen su objetivo gracias a que agotan el ancho de banda de la víctima y sobrepasan la capacidad de procesamiento de los routers, consiguiendo que los servicios ofrecidos por la máquina atacada no puedan ser prestados.

A las máquinas infectadas por el malware mencionado anteriormente se las conoce como máquinas zombie (zombis, en español), y al conjunto de todas las que están a disposición de un atacante se le conoce como botnet (red de bots).

Esta referencia tomada de Wikipedia no es ni mas ni menos que una perfecta definición de lo que es un ataque DDoS.

Ahora bién , estoy realmente bajo un ataque DDoS ¿? :

Muchas veces suele suceder que algunos usuarios y administradores confunden un ataque DDoS con algunas anomalías que se presentan en las redes o sistemas operativos. Los sintomas caracteristicos ante un ataque DDoS es la cantidad excesiva de procesos creados por demonios de servicio tales como httpd o eximd, ftpd, etc. que suelen ser los objetivos comunes de estos ataques y los recursos del sistema operativo suelen centrarse en la atención de esos servicios generando una gran carga del sistema muchas veces colapsando el mismo por falta de recursos.

Una buena practica para determinar si se está siendo victima de un ataque ddos es utilizar los siguienes comandos:

Para linux :
netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr

netstat -np | grep SYN_RECV | awk '{print $5}' | cut -d. -f1-4 | cut -d: -f1 | sort -n | uniq -c | sort -n


Para FreeBSD:

netstat -na | awk '{print $5}' | cut -d. -f1-4 | sort -n | uniq -c | sort -n

De esta forma podrán ver cuantas conexiones hay por ip a cada servicio de nuestro servidor y asi poder un poco quitarnos las dudas de si realmente es un ataque DDoS.

Estoy Bajo un Ataque DDoS, Que hago ??

He aqui la parte que mas les puede interesar a algunos. Hoy por hoy dependiendo del "Tamaño" del ataque DDoS( ataque pequeño = menos a 2 gbps / ataque a gran escala = 5 gbps o màs ) existen algunas formas para poder mitigarlo o bien reducir el impacto desde nuestro servidor, siempre claro que hablando de ataques ddos pequeños.
Explicaré un poco en un lenguage que todos entendamos y de la forma mas sencilla posible algunas cosillas que se pueden hacer dependiendo de la plataforma en que nos encontremos.
En primer lugar haremos referencia al mundo LINUX, que es en un gran porcentaje la plataforma mas elegida para el desarrollo del negocio de Hosting, lo que en cierta forma nos da la ventaja de saber que hay muchos que ya han pasado por esto y hay buena experiencia e información muy detallada en la red al respecto.

El Software indispensable para todo servidor linux que se encuentre ante un ataque DDoS ( aún cuando sea de pequeña escala ) es el siguiente:

APF Advance Policy Firewall ( http://rfxnetworks.com/apf.php ) : No es mas que un gestor de reglas de iptables que es nuestro firewall por default en cualquier sistema Linux. La razón por la que no incluyo los comandos de iptables directamente aqui es que APF maneja todo los comandos necesarios, desde la manipulación de la tabla de conexiones, pasando por la apertura y cierre de puertos hasta manejar syn cookies y controlar los distintos tipos de paquetes segun su protocolo. lo que convierte a este software que no es mas que un script que gestiona iptables, en una herramienta mas que util para todo aquel que desee configurar su LINUX con un nivel medio a avanzado de seguridad.

Otra herramienta interesante es DDoSDeflate (http://deflate.medialayer.com ): Esta herramienta tiene una funcionalidad muy sencilla y lo que hace es realizar un count de las conexiones activas x IP en nuestro servidor y si la cantidad de esas conexiones sobrepasa el limite que les hemos impuesto banea del servidor dicha IP. Esta aplicación puede funcionar con APF o IPTABLES lo cual es muy flexible y hasta podemos editar el script para adaptarlo a nuestras necesidades.

Algunos se preguntaran por que no incluyo mod_evasive o algun mod de apache similar, la razón es muy sencilla .. ante un ataque ddos no hay modulo de apache que pueda hacer nada, aun cuando mod_evasive evite la carga de las paginas de determinada IP el child del demonio de apache esta en uso y si el objetivo de dicho ataque es saturar al webserver ...el demonio es quien maneja las conexiones y no algun modulo X cual fuere.


Continuará en la parte 2

__________________
Gerardo M. C. G. ( [email protected] )
IPSecureNetwork.Com
IRCd Shells - WebHosting - Streaming - Servidores Dedicados - Sistemas Anti-DDoS

IPSecureNetwork

Plataformas BSD:

En las plataformas BSD ( mis favoritas ) el manejo de protocolos de comunicación es mucho mas complejo y por tal es mucho mas efectivo. Estas plataformas no poseen IPTABLES como sus hermanos LINUX, utilizan otros manejadores como lo son IPFW Y IPFILTER, estos Firewalls estan entre los mas solidos y efectivos entre los sistemas operativos.
Aqui les pasaré algunas reglas de estos firewalls que pueden ser utiles para mitigar el efecto de DDoS pequeños que intentan consumir trafico de nuestro equipo.

La siguiente configuración del firewall limitara las conexiones ssh y el trafico tcp syn entrante a 1 Mbit por segundo por cada IP de destino asi como el trafico entrante ICMP a 128kbits/s

ipfw -q flush
ipfwadd="let \"rule += 1\" ; ipfw -q add \$rule"
ipfwaddpipe="let \"rule += 1\" ; ipfw -q add \$rule pipe \$rule"
ipfwpipe="ipfw pipe \$rule"
netclass="(incluir aqui la clase de la red Ej: 200.123"
boxclass="colocar aqui CDIR Ej 200.72.1.2/24"
mainip=`ifconfig | egrep "$netclass" | head -1 | awk '{ print $2 }' 2>/dev/null`

## TRAFICO ENTRANTE ##
rule=227 ; let "rule -= 1"
eval $ipfwaddpipe tcp from not $boxclass to any 22 setup in // TRAFICO ENTRANTE : SSH TCP-SYN POR IP DESTINO
eval $ipfwpipe config bw 1Mbit/s mask dst-ip 0xffffffff

eval $ipfwaddpipe icmp from any to any in // TRAFICO ENTRANTE: ICMP
eval $ipfwpipe config bw 128Kbit/s



Ahora para trabajar con el trafico saliente podemos utilizar las siguientes reglas que limitaran el trafico UDP a 3 mbits, el trafico TCP de puertos que no sean del 1 al 1023 a 256kbits/s por ip fuente y el trafico ICMP saliente a 128 kbits/s en total.

## TRAFICO SALIENTE ##
rule=229 ; let "rule -= 1"
eval $ipfwaddpipe udp from any not 1-1023 to any out // TRAFICO SALIENTE: UDP
eval $ipfwpipe config bw 3Mbit/s

eval $ipfwaddpipe tcp from any not 1-1023 to any setup out // TRAFICO SALIENTE: TCP POR IP DE ORIGEN
eval $ipfwpipe config bw 256Kbit/s mask src-ip 0xffffffff

eval $ipfwaddpipe icmp from any to any out // TRAFICO SALIENTE : ICMP
eval $ipfwpipe config bw 128Kbit/s

Este tipo de reglas atenuarán de forma considerable un ataque pequeño a nuestros servidores FreeBSD.

Ahora para para manejar el tipo de ataque basado en servicios uno puede simplemente hacer un rate limit por puerto e ip. ejemplo:

ipfw -q add #regla allow tcp from any to 200.45.2.15 dst-port 80 in limit src-addr 40

Esta regla limitara por IP a un limite de 40 conexiones en el puerto 80 de nuestra ip 200.45.2.15 . obviamente estos valores son de ejemplo y uno puede ajustarlos a gusto y en cualquier puerto comprometido.

Tambien se puede limitar la cantidad de conexiones total a un puerto o ip
ej:

ipfw -q add #regla allow tcp from any to 200.123.14.155 dst-port 25 in limit dst-addr 30

esta regla limitara a la ip 200.123.14.155 a recibir solo 30 conexioens en el port 25.


Estas reglas y ayuda son solo para aquellos que estan siendo victimas de ataques ddos pequeños.


Estoy siendo atacado por un gran DDoS que hago ????


Pues bien .. si estas siendo victima de un real DDoS que genera mas de 5 Gigabits por segundo .. ( trafico que no muchos proveedores pueden soportar ) pues solo puedes depender de una cosa y es que tu proveedor posea infraestructura para soportar esto como hardware especifico para mitigar ataques ddos , ancho de banda redundante etc. El costo de este tipo de infraestructura en muchos casos los proveedores no estan dispuestos a afrontarlo y lo mas sencillo es que te diran que te vayas de allí.. otros proveedores transportan los costos a sus clientes.. cosa que no veo para nada correcto pero en muchos casos sucede y cada uno puede aplicar sus politicas de venta a gusto. y en otros casos algunos proveedores ofrecen servicios caros o bien ofrecen protecciones contra DDoS pero no poseen ancho de banda redundante y al primer ataque de 10 Gigabits por segundo te quitan del datacenter.. por ultimo hay algunos proveedores que absorven los costos y brindan servicios de calidad y con muy buenas protecciones .. pero recuerden preguntar siempre antes de adquirir el servicio que tipo de protecciones tienen y ancho de banda que posee su datacenter ya que es muy imporante para no derrochar dinero por nada.




Datos para tener en cuenta:

Hoy por hoy un los ataques de mas de 10 Gigabits son cada vez mas frequentes ya que los ataques los realizan mediante servidores dedicados infectados con algun malware en perl que otorga el control a algun individuo en algun botnet.

Recuerden consultar a gente especializada en el tema antes que nada ya que con buen asesoramiento siempre se llega a buen puerto.

para despejar mas dudas basta con poner en google hosting anti ddos o servidores dedicados anti ddos o algun string similar y bastante información saldrá al respecto..

espero les haya ayudado y estare siempre a su disposición para cualquier consulta.


Saludos a todos

__________________
Gerardo M. C. G. ( [email protected] )
IPSecureNetwork.Com
IRCd Shells - WebHosting - Streaming - Servidores Dedicados - Sistemas Anti-DDoS

IPSecureNetwork

Muchos me han comentado de que tambien necesitan algun tipo de guía sobre como asegurar la red contra ataques ddos un poco mas extendida comprendiento las capas 3 a 7 ...

Si lo desean y estan deacuerdo para quienes tengan un Datacenter o tengan la posibilidad de tener acceso a los equipos de comunicaciones y deseen asegurar su red en este nivel .. puedo armarles una Guia con Hardware Necesario y posteriores configuraciones.

Me comentan que les parece la idea ..


Saludos.

__________________
Gerardo M. C. G. ( [email protected] )
IPSecureNetwork.Com
IRCd Shells - WebHosting - Streaming - Servidores Dedicados - Sistemas Anti-DDoS

ideasmultiples

Muy buena

__________________
ideasmultiples.com servidores VPS H/SaaS para empresas, nodos Virtuozzo administrados y Monitorizados
www.radiovinilo.com (beta) Sólo música clásica de antiguos discos de vinilo y carbón digitalizados.

La Madriguera

Buena Guia de ataque ddos

__________________
Guillermo Mercado
La Madriguera Hosting Web Mexico
Hosting Profesional y Resellers http://www.lamadriguera.net o http://www.lamadriguera.com.mx
Hosting Gratuito http://hostinggratuito.com.mx

AMateos

Ahora que están tan de moda, me parece una idea excelente.

__________________
Antonio Mateos

egarahosting

Estoy completamente de acuerdo. El saber no ocupa lugar.

__________________
http://www.egarahosting.com
Alojamiento Web y Dominios

IPSecureNetwork

En vista de esto . prepararé una nueva guía esta vez sobre Hardware a nivel Datacenter.

__________________
Gerardo M. C. G. ( [email protected] )
IPSecureNetwork.Com
IRCd Shells - WebHosting - Streaming - Servidores Dedicados - Sistemas Anti-DDoS

Expel

...interesante guía...

este tipo de iniciativas enriquecen el foro.

La Madriguera

Tienes razon ya hoy en dia es pan de cada dia esos ataques ddos y hay que mantener los servidores siempre protegidos para los ataques menores de ddos que son los mas comunes.

__________________
Guillermo Mercado
La Madriguera Hosting Web Mexico
Hosting Profesional y Resellers http://www.lamadriguera.net o http://www.lamadriguera.com.mx
Hosting Gratuito http://hostinggratuito.com.mx

Oskar

Esto es muy bueno saberlo, por lo que veo, aun hay cosas que ignoraba.

__________________
Fantastico Hosting

KingJah

bueno primero buenas a todos soy nuevo en el foro la verdad me interesa saver bien esto ya que estoy montando un servidor x no es de web ni nada pero si recibe ataques ddos la cantidad de ip pues segun el log son de casi 400 o mas nose si es mediano o pequeño pero me gustaria pararlo o mas bien mitigarlo estoy con dattatec y la solcion que me ofrecieron señor cambiaremos la ip de su server pro ataques ddos. y pues uno pierde muchas al cambiar de ip y vi el host y la guia de west domains y me parece que no tienen vps porque ese host es de calidad por lo visto

PD: si me dirian como mitigar un ataque de 400 ip o mas o menos seria de ayuda o que aser ante esto

MaxKiller

BlackLion, bienvenido al foro.

¿El ataque se está haciendo a algún servicio específico (p.ej: Apache)?

Tendrás que mirar los logs y bloquear todas las IPs por iptables o instalar APF.

Aunque ya de entrada te digo, que si tu proveedor no te ayuda, busques otro servicio.

Habla con west-domains que es todo un experto en estos temas a ver si puede ofrecerte algún servicio.

Saludos y suerte

WebTech

No es un ataque super grande a decir verdad, es una cantidad considerable pero creo que podrías detenerlo con el firewall APF como ya te recomendadron o bien CSF, que ya incluye varias herramientas para varios tipos de synflood y dos.

Saludos,

__________________
Infranetworking.com - Celebrando 10 años de Experiencia
--
Hosting Reseller cPanel ✔
Servidores Dedicados: Linux y Windows ✔
Administración de Servidores: Optimizaciones, Seguridad, Backups! ✔
Alta disponibilidad, Clústers y Balanceadores para http, DNS y MySQL! ✔

KingJah

mm pues fijate que lo malo que es porque uso el puerto udp 7777 pues mira el iptables si lo uso si no con las 62 que me atacaban lo hubieran tirado pero puse una regla de limitacion por conexion instale el ddos deflate la verdad no anda nada bien porque prov la regla y con programilla meti 60 conexiones desde mi ip al servidor y segun cuando veo las ip pior el ssh el ataque entra y lo configure a 6 conexiones por ip pero no anda

MaxKiller

El mod_deflate sólo controla las conexiones del Apache, si el ataque es a otro puerto/servicio no hará nada.

Lo suyo es aplicar algún módulo al firewall que controle este tipo de floods.

Saludos

KingJah

si pero es bueno tenerlo protegido ya que hai puse un panel por php pero si instalo el afp no me blockearia el puerto ssh el 22

MaxKiller

Si estan atacando al SSH, cámbiale el puerto a uno más alto.

KingJah

no pero con el apf version 9.7-1 como puedo aser para que solo acepte 4 conexiones por ip ? o como ingreso la regla ya que ahorita un gil esta queriendo elevar mas conexiones por ip

IPSecureNetwork

Perdon por la demora... pero bueno vamos a ver en que puedo ayudarte.

Primero que nada si estas en dattatec.. lamento informarte que por mas que configures tu APF o CSF con los niveles máximos que permiten ... aún asi tendrás que cambiar de IP y si sucede reiteradas veces pues te cancelarán el servicio .. lamentablemente conozco muchos clientes que han tenido problemas muy similares en ese mismo host.

Por otro lado cabe descatar que 400 IPs dependiendo de que tipo de Source sea puede ser o muy poderoso o simplemente una molestia.. que quiero decir con esto.. pues ..si quien te ataca lo hace con servidores dedicados infectados ( shellbots ) 400 puede ser un numero terriblemente dañino .. imaginen conexiones de 100 mbits multiplicadas por 400 atacando al mismo tiempo...en un host sin protección eso es candidato a null route. ahora si 400 son simples bots windows pues .. dependiendo la conexion de esas pcs como mucho pueden generar entre 500 mbits o 1 Gbit de trafico aproximado.. lo cual si bién es molesto para un host sin protección ( más aún para dattatec ) es quizas algo mas manejable.

tanto apf como csf para linux son buenas opciones ..siempre y cuando estén bien configuradas... un rate limit de conexiones syn .. syn ack .. syn wait pueden servir para algún ddos pequeño.

Mi recomendación es que utilices FreeBSD si es que tienes ataques complejos ya que puede manejar de mejor manera los paquetes TCP / UDP.


Tal y como nombraste antes no estamos ofreciendo VPS ya que hemos decidido invertir en nuestra empresa en servicios sin limite de trafico. ( Unmetered Servers ) a muy bajo costo.

Si puedo ayudarte de alguna forma no dudes en contactarte conmigo...

P.D.: Por el port que utilizas 7777 UDP.. imagino tienes un gameserver de SAMP.
Deberás hacer un ratelimit de paquetes UDP si es este el caso.

si tu problema también es el port 22 SSH .. modifica el port ssh desde el siguiente archivo

/etc/ssh/sshd_config

saludos

__________________
Gerardo M. C. G. ( [email protected] )
IPSecureNetwork.Com
IRCd Shells - WebHosting - Streaming - Servidores Dedicados - Sistemas Anti-DDoS