Medialayer sufria ataques de denegación de servicio. Para atajar ese problema, uno de los chicos de Medialayer pensó en crear una solución Open Source para mitigar estos ataques. Ese día nació DDoS Deflate, un script en Bash bastante efectivo para mitigar ataques de denegación de servicio.
Instalando DDoS Deflate
DDoS Deflate requiere que APF 0.96 este instalado si queremos usar que las IP´s sean baneadas a traves de APF.
La instalación de APF va mas allá del objetivo de esta guia.
wget http://www.inetbase.com/scripts/ddos/install.sh
chmod 0700 install.sh
./install.sh
Configurando DDoS Deflate
Abrimos el fichero ddos.conf localizado en /usr/local/ddos
Editamos las rutas para que encajen con la estructura de nuestro sistema:
PROGDIR=”/usr/local/ddos”
PROG=”/usr/local/ddos/ddos.sh”
IGNORE_IP_LIST=”/usr/local/ddos/ignore.ip.list”
CRON=”/etc/cron.d/ddos.cron”
APF=”/etc/apf/apf”
IPT=”/sbin/iptables”
Posteriormente, tendremos que adecuar las opciones restantes según la naturaleza de la situación en la que estemos inmersos:
FREQ=1
# Frecuencia en minutos en la que el script sera ejecutado
NO_OF_CONNECTIONS=150
# Número de conexiones para proceder a banear una supuesta IP atacante
APF_BAN=1
# 1 indica que DDoS Deflate usara APF para banear, 0 llama directamente a Iptables
* Es necesario APF 0.96 como minimo si queremos activar el baneo por APF
BAN_PERIOD=600
# Tiempo durante el cual el atacante estará baneado. En segundos
EMAIL_TO=”root”
# Dirección a la cual se enviara un correo cuando alguien sea baneado
KILL=1
# Con la opción en 0, los atacantes no seran baneados. 1 esta activo por defecto
Hola, tengo la siguiente consulta:
He instalado el DDoS Deflate a raíz de que mi server está sufriendo un pequeño atake ddos iframe desde diferentes direcciones ip (llegando en alguna oportunidad hasta 40mil conexiones).
Ahora el problema que tengo es que el DDoS Deflate se comporta de una forma que no entiendo, pues resulta que me esta baneando IPs que ya he agregado en el archivo «ignore.ip.list» (ip del servidor y algunas ips que uso dentro de mis aplicaciones que hacen bastantes conexiones). No conforme con banearme ips que ya tengo en una «lista blanka» (ignore.ip.list), las ips baneadas que si son los atacantes tambien me los agrega en el «ignore.ip.list» (banea las ips y los agrega en el «ignore.ip.list») :S
La configuracion que usé es el que viene por defecto, modifando tan solo 3 opciones, el APF_BAN, a «0» para que use directamente el iptables, la opcion BAN_PERIOD a «3600» y EMAIL_TO poniendole una direccion mia.
Alguien sabria explicarme si este comportamiento es normal? alguna forma de solucionarlo? por ahora he desintalado :S
P.D. Antes de instalar el DDoS Deflate, tenia puesto el csf y trabaja muy bien, pero al parecer me detecta falsos positivos, pues las visitas empiezan a bajar considerablemente junto con la carga del server por lo que ya no lo uso.
instala mod_security con las reglas de gotroot en tu apache y limita con iptables las conexiones desde una misma ip por el puerto de tu server web
aparte de eso necesitaria verlo via shell, si quieres ponte en contacto conmigo por el formulario de la web
Hola GhOsTi, gracias por responder… tengo el Mod Security instalado, pero no se que reglas poner o como configurarlo para que se comporte de igual forma al Mod Deflate. Gracias