Instalando DDoS Deflate para evadir ataques DoS

Medialayer sufria ataques de denegación de servicio. Para atajar ese problema, uno de los chicos de Medialayer pensó en crear una solución Open Source para mitigar estos ataques. Ese día nació DDoS Deflate, un script en Bash bastante efectivo para mitigar ataques de denegación de servicio.

Instalando DDoS Deflate

DDoS Deflate requiere que APF 0.96 este instalado si queremos usar que las IP´s sean baneadas a traves de APF.
La instalación de APF va mas allá del objetivo de esta guia.

wget http://www.inetbase.com/scripts/ddos/install.sh
chmod 0700 install.sh
./install.sh

Configurando DDoS Deflate

Abrimos el fichero ddos.conf localizado en /usr/local/ddos

Editamos las rutas para que encajen con la estructura de nuestro sistema:

PROGDIR=”/usr/local/ddos”
PROG=”/usr/local/ddos/ddos.sh”
IGNORE_IP_LIST=”/usr/local/ddos/ignore.ip.list”
CRON=”/etc/cron.d/ddos.cron”
APF=”/etc/apf/apf”
IPT=”/sbin/iptables”

Posteriormente, tendremos que adecuar las opciones restantes según la naturaleza de la situación en la que estemos inmersos:

FREQ=1
# Frecuencia en minutos en la que el script sera ejecutado

NO_OF_CONNECTIONS=150
# Número de conexiones para proceder a banear una supuesta IP atacante

APF_BAN=1
# 1 indica que DDoS Deflate usara APF para banear, 0 llama directamente a Iptables

* Es necesario APF 0.96 como minimo si queremos activar el baneo por APF

BAN_PERIOD=600

# Tiempo durante el cual el atacante estará baneado. En segundos

EMAIL_TO=”root”

# Dirección a la cual se enviara un correo cuando alguien sea baneado

KILL=1

# Con la opción en 0, los atacantes no seran baneados. 1 esta activo por defecto


4 respuestas a «Instalando DDoS Deflate para evadir ataques DoS»

  1. Hola, tengo la siguiente consulta:

    He instalado el DDoS Deflate a raíz de que mi server está sufriendo un pequeño atake ddos iframe desde diferentes direcciones ip (llegando en alguna oportunidad hasta 40mil conexiones).

    Ahora el problema que tengo es que el DDoS Deflate se comporta de una forma que no entiendo, pues resulta que me esta baneando IPs que ya he agregado en el archivo «ignore.ip.list» (ip del servidor y algunas ips que uso dentro de mis aplicaciones que hacen bastantes conexiones). No conforme con banearme ips que ya tengo en una «lista blanka» (ignore.ip.list), las ips baneadas que si son los atacantes tambien me los agrega en el «ignore.ip.list» (banea las ips y los agrega en el «ignore.ip.list») :S

    La configuracion que usé es el que viene por defecto, modifando tan solo 3 opciones, el APF_BAN, a «0» para que use directamente el iptables, la opcion BAN_PERIOD a «3600» y EMAIL_TO poniendole una direccion mia.

    Alguien sabria explicarme si este comportamiento es normal? alguna forma de solucionarlo? por ahora he desintalado :S

    P.D. Antes de instalar el DDoS Deflate, tenia puesto el csf y trabaja muy bien, pero al parecer me detecta falsos positivos, pues las visitas empiezan a bajar considerablemente junto con la carga del server por lo que ya no lo uso.

    1. instala mod_security con las reglas de gotroot en tu apache y limita con iptables las conexiones desde una misma ip por el puerto de tu server web

  2. Hola GhOsTi, gracias por responder… tengo el Mod Security instalado, pero no se que reglas poner o como configurarlo para que se comporte de igual forma al Mod Deflate. Gracias

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.