En primer Lugar:
¿QUE ES UN DDOS?
En seguridad informática, un ataque de denegación de servicio, también llamado ataque DoS (de las siglas en inglés Denial of Service), es un ataque a un sistema de computadoras o red que causa que un servicio o recurso sea inaccesible a los usuarios legítimos. Normalmente provoca la pérdida de la conectividad de la red por el consumo del ancho de banda de la red de la víctima o sobrecarga de los recursos computacionales del sistema de la víctima.
Fuente y mas: http://es.wikipedia.org/wiki/Ataques...3n_de_servicio
DETECTAR UN DDOS
Bueno, ademas de en las graficas MRTG de OVH, podemos saber si nos estan atacando con el siguiente comando:
netstat -alpn | grep :80 | awk '{print $5}' |awk -F: '{print $(NF-1)}' |sort | uniq -c | sort -n
METODOS DE PREVENCION
Existen metodos para intentar evitar un ataque. Pero no siempre son eficaces. Si nos enfrentamos a un ataque fuerte, quizas estos metodos no sean suficientes para detener el mismo.
INSTALACION DE UN FIREWALL
Seguro que en poco tiempo tenemos una guia sobre como instalar y configurar CSF+LFD, que nos descubrio Power.
Yo voy a proponer la instalacion de APF, ya que uso ambos (No juntos, que ya al explicarlo una vez, me equivoque al escribir este punto).
La instalacion de APF es sencillisima:
cd /usr/src
mkdir utilidades
cd utilidades
wget http://rfxnetworks.com/downloads/apf-current.tar.gz
tar xfz apf-current.tar.gz
cd apf-*
./install.sh
Con esto tenemos el firewall instalado. Luego editamos /etc/apf/conf.apf de la forma que necesitemos. Yo por ejemplo, para evitar ataques ddos, suelo usar:
DEVEL_MODE="0"
IG_TCP_CPORTS="21,22,25,53,80,110,143,443,3306"
IG_UDP_CPORTS="53,111"
USE_AD="1"
El parametro USE_AD es para usar el antiddos que lleva el APF. Tambien se puede configurar: /etc/apf/ad/conf.antidos segun vuestras necesidades.
DETECCION DE FUERZA BRUTA
Esto sirve para evitar ataques de fuerza bruta. YO recomiendo la instalacion de BFD, que funciona con APF, y sirve para detectar intentos de autentificacion. Es muy sencilla, pero a la par, muy efectiva:
cd /usr/src/utilidades
wget http://rfxnetworks.com/downloads/bfd-current.tar.gz
tar xfz bfd-current.tar.gz
cd bfd-*
./install.sh
Recomiendo leer el Readme y editar el fichero: /usr/local/bfd/conf.bfd.
Es muy sencillo de configurar, en las primeras lineas encontrareis para poner vuestro correo y si quereis que se os avise de cuando detecta algun ataque.
Luego editad: /usr/local/bfd/ignore.hosts y añadid las IP's de confianza para que no os detecte como intrusos. Es importante, porque al usar APF, puede banearos!
DDOS DEFLATE
Para mi basico. Como sabeis, no es la solucion definitiva, porque los ataques grandes no los evita precisamente. Pero es una buena medida.
Get the latest source
cd /usr/src/utilidades
mkdir ddos
cd ddos
wget http://www.inetbase.com/scripts/ddos/install.sh
sh install.sh
Editar la configuracion: /usr/local/ddos/ddos.conf y poner en marcha.
FREQ= "aqui ponemos la frecuencia en la que el O.S ejecuta dicho scrip en minutos" //Default =1
NO_OF_CONNECTIONS= "conexiones limites para una IP entrante al servidor" //Default =150
APF_BAN= "Si es igual a uno (1) se usará APF, sino lo tienes instalado, cámbialo por cero (0) para usar iptables" //Default =1
KILL= "Deniega la conexion a IPS de lista Negra" //Default =1
EMAIL_TO= "aqui ponemos el email a donde se nos enviaran las ips atacantes" //Default =root
BAN_PERIOD= "segundos de banneo tras realizar un ataque al servidor" //Default =600
para desinstalarlo:
Código:
wget http://www.inetbase.com/scripts/ddos/uninstall.ddos
chmod 0700 uninstall.ddos
./uninstall.ddos
DETECCION DE ROOTKIT
cd /usr/src/utilidades
wget http://downloads.rootkit.nl/rkhunter-<version>.tar.gz
tar xfz rkhunter-*.gz
cd rkhunter
./installer.sh
run rkhunter
rkhunter -c