Hi Colega,
espero que con esto logres resolverlo:
Ataque DDos GNU/Linux
Linux no incluyo mod_evasive o algun mod de apache2 similar, la razón,
ante un ataque Ddos no hay modulo de apache que pueda defenderse, puede
suceder que mod_evasive evite la carga de las paginas de determinada IP,
pero el multiproceso del demonio de apache2 esta en uso, normalmente el
objetivo de dicho ataque es saturar al servidor web o las aplicaciones,
el demonio es quien maneja las conexiones y el modulo adicional de
apache2 sea cual fuere depende a su vez del demonio.
Para determinar si se está siendo victima de un ataque Ddos es utilizar
los siguienes comandos:
# netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr
# netstat -np | grep SYN_RECV | awk '{print $5}' | cut -d. -f1-4 | cut
-d: -f1 | sort -n | uniq -c | sort -n
# netstat -n | grep :80 |wc -l
# netstat -n | grep :80 | grep SYN |wc -l
Con este comando obtendremos la cantidad de conexiones por el puerto 80,
si su servidor tiene otro tipo de servicio entonces debe cambiar el
puerto de acuerdo al protocolo que maneje su servidor, ya sea correo
smtp puerto 25 pop3 puerto 110, ftp puerto 21, etc.
# netstat -an | grep :80 | sort
Con este ultimo comando obtendremos un listado, una columna mostrara el
numero de conexiones abiertas que posee la ip que figura en la columna
siguiente. Algo muy valioso para identificar ataques, aunque no siempre
los ataques provienen de pocas ips, si el ataque es muy grande es
probable que no podamos identificar las ips.
Una forma para mitigarlo o bien reducir el impacto desde nuestro
servidor, con iptables
Esta regla nos sirve para que nuestro servidor rechace todos los
paquetes de cierta longitud.
# iptables -A INPUT -p tcp -d IP -m length --length 40:48 -j DROP
La regla a continuacion bloqueara automaticamente todos los paquetes
entrantes con cierto valor TTL (otra forma comun de ataque DDOS).
# iptables -A INPUT -p tcp -s 0.0.0.0/0 -d IP -m ttl --ttl 111 -j DROP
Otra manera de controlar este ataque es modificando el archivo
sysctl.conf, quitele el comentario a la linea
net.ipv4.tcp_syncookies=1
Habilite syncookies a 1
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
GNU/Linux
El 12/02/15 a las 11:41, Damián Tomey Soto escribió:
Saludos colegas, desde hace días estoy recibiendo notificaciones como
las que están más abajo desde mi pasarela de correo.
Al parecer o me quieren coger de relay o me están haciendo un ataque
de denegación de servicio.
De esto ya he informado a la OSRI por los canales correspondientes.
Para protegerme de ataques tengo implementado fail2band pero los
intentos vienen desde diferentes IP así que el fail2band está baneando
a malanga y al puesto de vianda.
No puedo tumbar el puerto 25 porque sino me quedo sin correo, así que
acudo a ustedes a ver que aconsejan porque es posible que no solo sea
a mi y la solución puede ayudar a otros.
Gracias.
Damián Tomey Soto
Administrador Red EQRO
Tel: (32) 413011 Ext. 1488
-------- Mensaje reenviado --------
Asunto: Postfix SMTP server: errors from unknown[197.89.13.161]
Fecha: Thu, 12 Feb 2015 11:25:33 -0500 (CST)
De: Mail Delivery System <mailer-dae...@afrodita.emprequin.co.cu>
Para: Postmaster <m...@correo.iba.aqui>
Transcript of session follows.
Out: 220 amitrex.emprequin.co.cu ESMTP Postfix EQRO (Debian/GNU)
In: EHLO [192.168.2.33]
Out: 250-afrodita.emprequin.co.cu
Out: 250-PIPELINING
Out: 250-SIZE 5242880
Out: 250-ETRN
Out: 250-STARTTLS
Out: 250-ENHANCEDSTATUSCODES
Out: 250-8BITMIME
Out: 250 DSN
In: MAIL FROM: <t...@live.com>
Out: 250 2.1.0 Ok
In: RCPT TO: <therichshei...@yahoo.com>
Out: 554 5.7.1 <therichshei...@yahoo.com>: Relay access denied
In: QUIT
Out: 221 2.0.0 Bye
For other details, see the local mail logfile
--
Saludos,
Lic. Roberto Estupiñán Pérez
Administrador de Red
EICMA UEB Camagüey
Teléfonos 286139 - 286117
--
Este mensaje ha sido analizado por MailScanner
en busca de virus y otros contenidos peligrosos,
y se considera que está limpio.
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL:
<http://listas.jovenclub.cu/pipermail/gutl-l/attachments/20150218/68a0f52b/attachment.html>
------------ próxima parte ------------
A non-text attachment was scrubbed...
Name: gráficos1
Type: image/png
Size: 5520 bytes
Desc: no disponible
URL:
<http://listas.jovenclub.cu/pipermail/gutl-l/attachments/20150218/68a0f52b/attachment.png>
______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
