Tráfico Ataque DDoS

Hola,

Hemos notado ciertos ataques DDoS en nuestro servidores de diferentes IPs.

Nos comentaron la opción de tener un servidor en OVH para que el tráfico saliente de ataques que nos afecta en ciertas palabaras se lo coma "OVH" los ataques, debido que tienen soluciones más eficacez.

Como podemos hacer eso?

 

Hola, muy buenas.

Primero deberías ver que tipo de ataque es, si por TCP, o por UDP. Por UDP los ataques son más heavys, más difíciles y costosos de parar. Por TCP si es un SYN Flood "indundación de paquetes" es bastante fácil de parar. Solo debes configurar correctamente el sysctl.conf con los parámetros adecuados.

Con esto ves conexiones tanto por TCP como UDP.

Comando:

CODE, HTML o PHP Insertado:

netstat -ntu | grep ESTAB | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr

Si por UDP tienes más que por TCP monta un nginx como proxy con varnish. El servidor que contrates debe tener muy buena CPU.

 

Como puedo crear:

nginx como proxy con varnish

Gracias

 

Primero debes ver si los ataques son por tcp o por udp con el comando que te he dejado. Igual es un SYN Flood que es por TCP y no hace falta tanta movida. Después a partir de allí buscar una solución.

Hay algunos por UDP que o tienes un arbor networks o lo vas a tener difícil de parar.

 

Opte por contratar directamente un dedicado en OVH.

La infraestructura de OVH ante ataques es sorprendente.

 

¿Entonces entiendo que es un ataque por UDP y que necesitas de un arbor networks tipo OVH con un dedicado para frontal para poder mitigar el ataque?

Te comento que primero antes de contratar nada, deberías de investigar qué tipo de ataque estás sufriendo. Como te he comentado un SYN Flood que va por TCP ya sean peticiones GET o POST te pueden tirar abajo un dedicado y no hace falta otro dedicado. Bastaría con optimizar el archivo sysctl.conf del kernel.

Salu2,

 

Son por tcp, get, post.

Como podría ptimizar el archiv sysctl.conf del kernel.

 

Hola,

Antes de nada, mira si es un ataque SYN Flood, copiando y pegando el siguiente comando:

CODE, HTML o PHP Insertado:

netstat -tuna | grep :80 | grep SYN_RECV

Con esto sacas las conexiones SYN_RECV por tcp. Estás hacen que colapse el servidor y se venga abajo.

También pega los logs de las peticiones GET y POST de apache.

 

netstat -ntu | grep ESTAB | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr

 

La mejor defensa es disponer de firewall adecuado a los ataques. A nivel de servidor poco se puede hacer aunque dispongas de los reportes. Recomiendo cerrar todos los puertos no necesarios y limitar el tráfico del servidor. Todo los demás en responsabilidad de tu proveedor.

 

Hola,

Solo esas? No hay más?

Que tiempo de respuesta te salen en las peticiones GET y POST en los logs de apache?

 

Si es un DDoS, no podrá ejecutar ese comando, pues el servidor estará caído.

 

Da igual que sea TCP o UDP, si te envían 2Gbps y tu tarjeta de red es de 1Gbps, te vienes abajo... Por no hablar de PPS.

 

Entonces en ese caso creo que sería mejor contratar un servicio de túnel para mitigar los DDOS.

 

Eso como podemos hacerlo?

 

Blacklotus ofrece ese servicio, lo que no sé, es el precio. xD Se llaman GRE tunels.
https://www.blacklotus.net/

Te recomiendo que hables con www.brutalsys.com @HectorRos

 

Para post y get es más que suficiente un vps con 1 giga de ram para mitigar el ataque si hablamos de entre 1000 y 5 000 peticiones, para más puede que haga falta más RAM, pero todo depende de como se haga..



Justo hoy estuve revisando uno:

netstat -n |grep 80 |wc -l
61184

netstat -n |grep :80 |grep ESTA |wc -l
2718

Todo lo que no sea UDP suele ser sencillo mitigarlo, al menos que sea una botnet muy grande y sature la red.

 

Programas como dos_deflate y mod_evasive y bien configurados dan buen resultado. Luego para mas fuerza utilizar el CSF junto las iptables del servidor.

 

Seria posible que publicaras una guia sobre la iptables, ya tengo el CSF.

Un saludo