Re: ataques denegacion de servicio

Mon, 22 Nov 2004 14:42:55 -0600 

  Hola, en primer lugar, el PC que defiendes con iptables es un servidor
muy concurrido o solo es una estacion de trabajo??   No se de donde eres
pero esas ip me parecen conocidas. Yo soy de Chile.

El sáb, 20-11-2004 a las 09:26 +0100, Alonso Gomez escribió:
> Hola a [EMAIL PROTECTED], tengo un gran problema al parece me estan haciendo 
> ataques
> de denegación de servicio y me deja la red totalmente colapsada ya no se
> que hacer haber si alguien me puede ayudar.
> 
> Esto me sale en el syslog:
> 
> kernel: NET: 1064 messages suppressed.
> ip_conntrack: table full, dropping packet.
> 
> Asi muchos logs.
> 
> Esto me sale en los logs de apache:
> 
> 200.83.206.61 - - [20/Nov/2004:09:21:12 +0100] "GET / HTTP/1.1" 503 398
> 200.83.206.61 - - [20/Nov/2004:09:21:12 +0100] "GET / HTTP/1.1" 503 398
> 200.86.219.80 - - [20/Nov/2004:09:21:12 +0100] "GET / HTTP/1.1" 503 398
> 200.83.206.61 - - [20/Nov/2004:09:21:12 +0100] "GET / HTTP/1.1" 200 12
> 200.112.102.252 - - [20/Nov/2004:09:21:12 +0100] "GET / HTTP/1.1" 503398
> 200.86.219.80 - - [20/Nov/2004:09:21:13 +0100] "GET / HTTP/1.1" 503 398
> 200.83.206.61 - - [20/Nov/2004:09:21:13 +0100] "GET / HTTP/1.1" 503 398
> 200.83.161.87 - - [20/Nov/2004:09:21:13 +0100] "GET / HTTP/1.1" 503 398
> 200.104.54.3 - - [20/Nov/2004:09:21:13 +0100] "GET / HTTP/1.1" 503 398
> 200.83.206.61 - - [20/Nov/2004:09:21:13 +0100] "GET / HTTP/1.1" 503 398
> 200.120.87.232 - - [20/Nov/2004:09:21:13 +0100] "GET / HTTP/1.1" 503 398
> 200.90.210.62 - - [20/Nov/2004:09:21:13 +0100] "GET / HTTP/1.1" 503 398
> 200.83.206.61 - - [20/Nov/2004:09:21:13 +0100] "GET / HTTP/1.1" 503 398
> 200.86.219.80 - - [20/Nov/2004:09:21:13 +0100] "GET / HTTP/1.1" 503 398
> 200.112.102.252 - - [20/Nov/2004:09:21:13 +0100] "GET / HTTP/1.1" 503
> 398
> 200.90.210.62 - - [20/Nov/2004:09:21:13 +0100] "GET / HTTP/1.1" 503 398
> 200.83.206.61 - - [20/Nov/2004:09:21:13 +0100] "GET / HTTP/1.1" 503 398
> 200.83.206.61 - - [20/Nov/2004:09:21:13 +0100] "GET / HTTP/1.1" 503 398
> 200.83.206.61 - - [20/Nov/2004:09:21:13 +0100] "GET / HTTP/1.1" 503 398
> 200.83.161.87 - - [20/Nov/2004:09:21:13 +0100] "GET / HTTP/1.1" 503 398
> 200.86.252.171 - - [20/Nov/2004:09:21:13 +0100] "GET / HTTP/1.1" 503 398
> 200.104.54.3 - - [20/Nov/2004:09:21:13 +0100] "GET / HTTP/1.1" 503 398
> 
> He intentado ir cerrando estas ips pero nada me van saliendo otras
> distintas.
> 
> En el iptables tengo las siguientes reglas:
> 
> iptables -t filter -A INPUT -p tcp --syn -m limit --limit 1/s -i eth0 -j
> ACCEPT
> iptables -t filter -A INPUT -p icmp --icmp-type echo-request -m limit --
> limit 1/s -i eth0 -j ACCEPT
> iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
> iptables -A INPUT -p tcp  --dport www -m limit --limit 1/second -j
> REJECT
> 
> Gracias por anticipado y saludos.
> 
> 
> 
-- 
==========================
 ]*-- lInUx rUlEz --*[
    Mario Gonzalez
Administrador de Sistemas
==========================
Mi clave publica gpg la encuentras en:
http://www.cfrm.cl/~mario/pub.gpg

Responder a