wow que buen documento master exelente muchas gracias

Hola que tal soy nuevo en este foro y he estado checandolo y de verdad que se encuentra informacion muy util un saludo y felicitacion a todos los que escriben tutoriales y responden preguntas, gracias por compartir sus conocimientos.

fijense que soy webmaster de varias paginillas las cuales tengo hospedadas en servicios de hosting comunes y corrientes ( osea hosting compartido ) y recientemente a una de mis webs ha tenido ataques DoS y no he podido bannear las maquinas atacantes pues constantemente cambia de ips, leyendo este articulo vi que modificando uno de los mods del apache podiamos limitar el numero maximo de conexiones de cada ip, pero mi pregunta es ver si hay algun metodo de hacer esto usando archivos htaccess pues yo no tengo acceso a la configuracion del server ni del apache.

En caso de ser asi cual seria la sintaxis, espero me peudan ayudar gracias

Pues por htaccess no xD pero te dejo algo :

<?
/*
/************************************************************
/                                                                                                        
/           NST Anti Denial of Service Script  v 0.1                                           
/                                                                                                        
/                                                                                                        
/                                                                                                        
/             Author: Link   < link07@gmail.com >                              
/                                                                                                        
/              ..::[N]eo [S]ecurity [T]eam::..                                          
/                                                                                                          
/              http://www.neosecurityteam.net    
/
/                   Date:  October - 2006                
/                                                                                                          
/                                                                                                          
/*************************************************************
 
 
     This script will prevent Dos and DDos attacks using request flood
     of http packets, that causes your server to excecute to much connections
     with the database and execute tha php interpreter a lot of times in a few
     seconds, all you have to do to install this is include it in a script that
     all your scripts use , an script for the database connection for example
     and create three empty txt files on the same folder with write and read
     permissions: log.txt , bans.txt , counter.txt
     This script will ban users using the .htaccess file, so dont forget to put
     this is script on the same folder as the .htaccess file as well
     It is very configurable just modify the parameters indicated below , to
     asign how sctrict the script will act.  
 
*/
 
$data = "";
 
$ban = "";
 
$visits = 1;
 
$error = 0;
 
$ahora = date("Y-n-j H:i:s");
 
$safemode = 0;
 
$new = "";
 
$flooder =0;
 
$registered = 0;
 
$wwwdir = "/home/neosecur/public_html/";
 
$ahora = date("Y-n-j H:i:s");
 
if(!$file = @fopen($wwwdir."log.txt","r"))
 
$error = 1;
 
while (!@feof($file))
 
{
 
$data .= @fgets($file);
 
}
 
$visitor = explode("\n",$data);
 
$i=0;
 
while($visitor[$i])
 
{
 
$iptime = explode("@",$visitor[$i]);
 
if ($_SERVER['REMOTE_ADDR'] == $iptime[0])
 
{
 
 
 
$tiempo = strtotime($ahora) - $iptime[1];
 
if ($tiempo <= 1)  // this line controls the acces of an ip, only one request during the number of seconds you replace here
 
{
 
$safemode = 1;
 
 
$flooder = 1;
 
}
 
 
$iptime[1]=strtotime($ahora);
 
 
 
 
 
$registered = 1;
 
}
 
$new .=$iptime[0]."@".$iptime[1]."\n";
 
$i++;
 
}
 
 
if (!$registered)
 
$new.=$_SERVER['REMOTE_ADDR']."@".strtotime($ahora)."\n";
 
 
 
if (!@fclose($file))
 
$error = 1;
 
 
 
if(!$file = @fopen($wwwdir."log.txt","wt"))
 
$error = 1;
 
 
 
@fwrite($file,$new);
 
if (!@fclose($file))
 
$error = 1;
 
 
 
if (!$fcount = @fopen($wwwdir."counter.txt","rt"))
 
$error = 1;
 
$vst = @fgets($fcount);
 
$count = explode("@",$vst);
 
if (strtotime($ahora) == $count[1])
 
{
 
$visits = $count[0] + 1;
 
$count[0] = $visits;
 
}
 
else
 
{
 
$count[0] = 1;
 
$count[1] = strtotime($ahora);
 
}
 
if (!@fclose($fcount))
 
$error = 1;
 
 
 
$new = $count[0]."@".$count[1];
 
 
 
if (!$fcount = @fopen($wwwdir."counter.txt","wt"))
 
$error = 1;
 
 
 
@fwrite($fcount,$new);
 
 
 
if (!@fclose($fcount))
 
$error = 1;
 
 
 
 
$new = "";
 
$registered = 0;
 
 
 
if ($visits > 4) // this line controls visits during a second, it is used to prevent ddos attacks you can modify this depending on the capacity of your server
 
{
 
$safemode = 1;
 
if ($flooder)
 
{
 
if (!$fban = @fopen($wwwdir."bans.txt","rt")) $error = 1;
 
while (!@feof($fban))
 
{
 
$ban .= @fgets($fban);
 
}
 
$ips = explode ("\n",$ban);
 
$i=0;
 
while ($ips[$i])
 
{
 
if ($_SERVER['REMOTE_ADDR'] == $ips[$i])
 
$registered = 1;
 
$i++;
 
$new .=$ips[$i];
 
}
 
if (!@fclose($fban)) $error = 1;
 
 
 
if (!$registered)
 
{
 
if (!$fban = @fopen($wwwdir."bans.txt","wt")) $error = 1;
 
$new .=$_SERVER['REMOTE_ADDR']."\n";
 
@fwrite($fban,$new);
 
if (!@fclose($fban)) $error = 1;
 
}
 
else
 
{
 
if (!$fht = @fopen($wwwdir.".htaccess","rt"))
 
$error = 1;
 
$cont = "";
$cont2 = "";
$eob = 0;
while (!@feof($fht))
 
{
 
$a = @fgets($fht);
 
if ($eob)
$cont2.=$a;
else
{
if ($a == "</Limit>\r\n" or $a == "</Limit>" or $a == "</Limit>\n")
{
$eob = 1;
$cont2.=$a;
}
else
$cont.=$a;
}
 
}
 
 
 
if (!@fclose($fht))
 
$error = 1;
 
if (!$fht = @fopen($wwwdir.".htaccess","wt"))
 
$error = 1;
 
 
$cont .= "Deny from ".$_SERVER['REMOTE_ADDR']."\n";
$cont .= $cont2;
 
@fwrite($fht,$cont);
 
if (!@fclose($fht))
 
$error = 1;
 
}
 
}
 
 
}
 
 
if ($error)
 
{
 
echo "ocurrio un error inesperado por favor trata actualizando de nuevo o vuelve en un rato. Gracias por tu comprensión.";
 
exit(0);
 
}
 
if($safemode)
 
{
 
echo '<META HTTP-EQUIV="Refresh" CONTENT="2;URL=">';
 
exit(0);
 
}
 
 
 
// if no restrictions have been activated , the content of the web will be displayed normally
//echo "contenido";
?>
 

Suerte

la ip del atacante seria 192.168.0.5 que no?

Felicidades, el-brujo, un tuto de putísima madre 


Salu2!

muy buen material ...
Una dudita: Un amigo tiene un server de mu, y es muy comun que jugadores de otros mu servers traten de tumbar los servers de la competencia por medio de ataques DoS, con el programa turbina; y los ataques se realizan generalmente al puerto 44405. Como puedo detectar y detener un ataque en un windows server?
desde ya muchaas gracias!

Hola!.

La verdad me está ayudando muchisimo tu post. la verdad es que no se si estoy recibiendo un DDOS, pero supongo que si.

Me escanean con el famoso DFIND, hasta que el apache supera el MaxConnections... el problema que tengo es que la version de iptables que tengo es vieja y no puedo usar algunos comandos, actualizar demandaria tambien la kernel a lo que no se puede actualmente.

La verdad no se que hacer, porque banneo ips con iptables, he usado el modulo mod_limitipconn.c pero no se si está funcionando, sinceramente.

ahora, cuando le doy al comando que tu expones:

]

el numero de conexiones a veces no concuerda con las conexiones por IP, a veces el numero que ahora dice 150, está en 600 y solo hay 2 o 3 ip conectadas con 3 conexiones abiertas.

que puede ser?.

Saludos y espero que sepas que puede estar pasando!.