Como proteger un servidor de ataques DDoS

Los ataques por Ddos (Denegación de servicio distribuido) son, básicamente, intentos maliciosos para interrumpir el tráfico normal de un servidor, servicio o red. Y ello, con el objetivo inicial de que estos no estén disponibles para los usuarios finales.

Una vez que estos intentos logren impactar la ciberseguridad de una organización, por lo general estos recursos afectados son luego usados para distribuir masivamente malware a otros dispositivos.

Cuando un atacante logra obtener el control de una red donde están conectados varios dispositivos, comienza a distribuir malware a través de ellos. Con esto logra crear una especie de red zombie, la cual es comúnmente conocida como botnet.

Una vez que se haya establecido la botnet, el atacante podrá enviar peticiones maliciosas a otras redes o IP’s objetivos. Ello causa una denegación de servicio en dicho tráfico normal. Generalmente es difícil identificar un bot, ya que el mismo proviene de un dispositivo existente.

Tipos de ataques de Ddos

Los ataques de denegación de servicio consisten en atacar de manera constante los recursos de red, usando una o más categorías. Algunos suelen combinar técnicas sofisticadas empleando diferentes vectores. Las categorías que son utilizadas para realizar estos ataques son:

  • Ataques basados por volúmenes – Se envían cantidades masivas de tráfico hasta colapsar el ancho de banda.
  • Ataques por protocolos – Se enfocan en buscar vulnerabilidades en los recursos de los servidores y eventualmente los explotan.
  • Ataques por aplicaciones web – Son los ataques más sofisticados, ya que se enfocan en ciertas aplicaciones webs.
  • Ataques por conexiones TCP – Encuentran vulnerabilidades en conexiones TCP y posteriormente inundan de tráfico el servidor web.
  • Ataques por fragmentación – Se da cuando se logra explotar el proceso de fragmentación de datagramas, en el cual una IP es dividida en paquetes más pequeños. Durante el ataque se inyectan paquetes falsos maliciosos que colapsarán eventualmente el servidor.

Existen varias formulas de frenar ataques DDos, ninguna te puede garantizar una protección absoluta, paro si que iptables te ofrecerá mas fiabilidad que el resto.

Las vemos:

  1. Protección a nivel de PHP: Bloquea acceso total de bots, de modo que no haya excesiva carga. No es una buena solución.
  2. Protección a nivel de Apache: Usando el módulo mod_evasive. Tampoco es una solución efectiva.
  3. Nivel de protección nginx: Excelente solución con la cual podras evitar muchos ataques. Veremos como en un próximo articulo. muchos ataques.
  4. Protección con iptables: Con una configuración apropiada, es una de las soluciones más efectivas y confiables a la hora de proteger un servidor. En este articulo trataremos esta opción.

Evitar ataques DDos con iptables

Obtener listado de módulos disponibles en iptables.

ejemplo…

arptable_filter.ko ipt_MASQUERADE.ko nf_nat_pptp.ko
arp_tables.ko ipt_REJECT.ko nf_nat_proto_gre.ko
arpt_mangle.ko ipt_rpfilter.ko nf_nat_snmp_basic.ko
iptable_filter.ko ipt_SYNPROXY.ko nf_reject_ipv4.ko
iptable_mangle.ko nf_conntrack_ipv4.ko nf_tables_arp.ko
iptable_nat.ko nf_defrag_ipv4.ko nf_tables_ipv4.ko
iptable_raw.ko nf_dup_ipv4.ko nft_chain_nat_ipv4.ko
iptable_security.ko nf_log_arp.ko nft_chain_route_ipv4.ko
ip_tables.ko nf_log_ipv4.ko nft_dup_ipv4.ko
ipt_ah.ko nf_nat_h323.ko nft_masq_ipv4.ko
ipt_CLUSTERIP.ko nf_nat_ipv4.ko nft_redir_ipv4.ko
ipt_ECN.ko nf_nat_masquerade_ipv4.ko nft_reject_ipv4.ko

Si quieres obtener info sobre todos los módulos.

Protegernos contra ataques DDos SYN flood

Es el ataque más común, consiste en el envío de una gran cantidad de paquetes SYN al servidor.

Puedes revisar las conexiones abiertas con netstat.

Bueno… comenzamos a editar.

Debemos establecer tcp_syncookies en 1 (de manera predeterminada tiene ese valor), puedes comprobarlo con:

Verificamos las conexiones máximas abiertas, tcp_max_syn_backlog (normalmente 1024).

Aumentamos el máximo de conexiones.

Ahora verificamos el tiempo de espera de la conexión, el parámetro a usar es tcp_synack_retries.

De manera predeterminada la espera es 5, que equivalen a «180» segundos. El tiempo de espera es excesivo, lo reduciremos a 1 que equivale a 9 segundos.

Verificamos el tcp_fin_timeout, un valor ideal es 30. Si tienes otro valor lo modificas tal como te indico.

Modificamos el valor a 30.

Revisamos la opción tcp_keepalive_probes (se usa para que una vez completada la conexión se considerará interrumpida).

Por defecto es 9, la estableceremos en 5.

También reduciremos el tcp_keepalive_intvl.

Verificamos el valor actual, por defecto 75.

Aplicamos un valor 15.

netdev_max_backlog se usa para especificar el número máximo de paquetes por cola de procesamiento, para que lo entiendas mejor… en caso de ataques DDos la interfaz recibirá los paquetes mucho más rápido de lo que el kernel puede procesar. Lo verificamos.

Por defecto 1000, lo aumentaremos a 20.000.

El número máximo de sockets abiertos esperando una conexión, también debe ser aumentado a 20.000.

Modificamos el tcp_syncookies.

Ya tenemos gran parte de nuestro servidor protegido (continua en el siguiente articulo), pero claro… las reglas de iptables no son permanentes, por tanto en el momento que reiniciemos el servidor se perderán.

Hacemos que sean permanentes:
nano /etc/rc.local

Copia y pega lo siguiente…

Guarda y cierra el editor.

Añadimos las restricciones a iptables.

Hemos establecido un limite para los nuevos paquetes SYN (500 por segundo), y al usar el límite de 2000, los nuevos paquetes serán bloqueados.

Establecemos opciones diversas muy útiles a la hora de frenar ataques DDos.

Bien, llegado este punto hacemos un inciso.

Ya deberías de saber que cuando iptables recopila muchas disecciones IP, ralentiza el sistema (depende de tu maquina, pero normalmente a partir de 100 direcciones empieza a disminuir progresivamente).

Para evitar este problema usaremos IPSet

Lo instalamos en nuestra distribución Linux.

Redhat, CentOS y derivados:

Debian, Ubuntu y derivados:

Una vez instalado agregaremos la regla de bloqueo en iptables (dos, es la tabla de IPset).

Creamos un «hash» para la tabla dos.

Nota: si en vez de bloquear una ip, quieres bloquear la subred completa, cambia iphash por nethash.

Guardamos las reglas de Iptables.

Ya lo tenemos, tan solo nos falta un script para detener automáticamente los ataques «syn flood»

Creamos el script *.sh.

Copia y pega lo siguiente:

Guarda el archivo y cierra el editor.

Lo puedes ejecutar en el momento que notes un ataque, con:

Pero mi consejo es que crees una tarea cron que ejecute el sh (se recomienda su ejecución entre 1 y 5 minutos).

Puedes ver las direcciones que están bloqueadas, con:

ejemplo de salida….
ipset -L | head
Name: dos
Type: hash:ip
Header: family inet hashsize 1024 maxelem 65536
Size in memory: 20104
References: 1
Members:
200.170.151.14
196.21.39.13
180.250.209.2
203.89.27.150

Otros detalles de un ataque, con:

Espero te resulte de util este tutorial,

Fuente: sololinux.es

Recomendamos:
Rasguñando Netfilter (parte 1)
Rasguñando Netfilter (parte 2)
Rasguñando Netfilter (parte 3)
Rasguñando Netfilter (parte 4)

¿De cuánta utilidad te ha parecido este contenido?

¡Haz clic en una estrella para puntuar!

Promedio de puntuación 5 / 5. Recuento de votos: 3

Hasta ahora, ¡no hay votos!. Sé el primero en puntuar este contenido.

Sobre Armando Felipe Fuentes Denis 78 artículos
Network Administrator and Telematic Services in Federation of Radio Amateurs of Cuba Residencia: Regla, La Habana Email: [email protected] Movil: +53 58319403 Web:www.armandof.com

1 comentario

Dejar una contestacion

Tu dirección de correo electrónico no será publicada.


*