elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.
 
Inicio Ayuda Ingresar Registrarse
20 Marzo 2010, 20:43  


Temas destacados: ¿Eres nuevo? ¿Tienes dudas acerca del funcionamiento de la comunidad? Lee las Reglas Generales


+  Foro de elhacker.net
|-+  Informática
| |-+  Tutoriales - Documentación (Moderador: yeikos)
| | |-+  Intentando detener un DDoS
0 Usuarios y 2 Visitantes están viendo este tema.
Páginas: 1 [2] Ir Abajo Imprimir
Autor Tema: Intentando detener un DDoS  (Leído 55869 veces)
AGE_vs_shory

Desconectado Desconectado

Mensajes: 1


Ver Perfil
Re: Intentando detener un DDoS
« Respuesta #15 en: 27 Septiembre 2006, 21:17 »

wow que buen documento master exelente muchas gracias ;D
En línea
[Prescott]
|Blue-Heart|

Desconectado Desconectado

Mensajes: 2.449


lll RTFM & STFW lll


Ver Perfil
Re: Intentando detener un DDoS
« Respuesta #16 en: 21 Octubre 2006, 08:58 »

Telo concedo Sarjo!!. Para que lo estudies. :)
En línea

-M.C.P.
-M.C.D.S.T

-iBook G4 14.1" white Mac OS X Leopard 10.5 @ 1.33 Ghz, 1,536 Gb de RAM, HD 80 Gb, iSight and Mighty Mouse Wireless


kavastudios

Desconectado Desconectado

Mensajes: 5


Ver Perfil
como poder evitarlo usando htaccess
« Respuesta #17 en: 09 Diciembre 2006, 08:41 »

Hola que tal soy nuevo en este foro y he estado checandolo y de verdad que se encuentra informacion muy util un saludo y felicitacion a todos los que escriben tutoriales y responden preguntas, gracias por compartir sus conocimientos.

fijense que soy webmaster de varias paginillas las cuales tengo hospedadas en servicios de hosting comunes y corrientes ( osea hosting compartido ) y recientemente a una de mis webs ha tenido ataques DoS y no he podido bannear las maquinas atacantes pues constantemente cambia de ips, leyendo este articulo vi que modificando uno de los mods del apache podiamos limitar el numero maximo de conexiones de cada ip, pero mi pregunta es ver si hay algun metodo de hacer esto usando archivos htaccess pues yo no tengo acceso a la configuracion del server ni del apache.

En caso de ser asi cual seria la sintaxis, espero me peudan ayudar gracias
En línea
phacker

Desconectado Desconectado

Mensajes: 7


Ver Perfil
Re: Intentando detener un DDoS
« Respuesta #18 en: 15 Septiembre 2007, 03:07 »

wow =)
excelente tutorial... segui asi ;)
En línea
дٳŦ٭
GNU/Linux Infrastructure Specialist

Desconectado Desconectado

Mensajes: 5.048


Mtz De C.


Ver Perfil WWW
Re: como poder evitarlo usando htaccess
« Respuesta #19 en: 15 Septiembre 2007, 03:24 »

Hola que tal soy nuevo en este foro y he estado checandolo y de verdad que se encuentra informacion muy util un saludo y felicitacion a todos los que escriben tutoriales y responden preguntas, gracias por compartir sus conocimientos.

fijense que soy webmaster de varias paginillas las cuales tengo hospedadas en servicios de hosting comunes y corrientes ( osea hosting compartido ) y recientemente a una de mis webs ha tenido ataques DoS y no he podido bannear las maquinas atacantes pues constantemente cambia de ips, leyendo este articulo vi que modificando uno de los mods del apache podiamos limitar el numero maximo de conexiones de cada ip, pero mi pregunta es ver si hay algun metodo de hacer esto usando archivos htaccess pues yo no tengo acceso a la configuracion del server ni del apache.

En caso de ser asi cual seria la sintaxis, espero me peudan ayudar gracias

Pues por htaccess no xD pero te dejo algo ;) :

Código
<?
/*
/************************************************************
/                                                                                                        
/           NST Anti Denial of Service Script  v 0.1                                          
/                                                                                                        
/                                                                                                        
/                                                                                                        
/             Author: Link   < link07@gmail.com >                              
/                                                                                                        
/              ..::[N]eo [S]ecurity [T]eam::..                                          
/                                                                                                          
/              http://www.neosecurityteam.net    
/
/                   Date:  October - 2006                
/                                                                                                          
/                                                                                                          
/*************************************************************
 
 
    This script will prevent Dos and DDos attacks using request flood
    of http packets, that causes your server to excecute to much connections
    with the database and execute tha php interpreter a lot of times in a few
    seconds, all you have to do to install this is include it in a script that
    all your scripts use , an script for the database connection for example
    and create three empty txt files on the same folder with write and read
    permissions: log.txt , bans.txt , counter.txt
    This script will ban users using the .htaccess file, so dont forget to put
    this is script on the same folder as the .htaccess file as well
    It is very configurable just modify the parameters indicated below , to
    asign how sctrict the script will act.  
 
*/

 
$data = "";
 
$ban = "";
 
$visits = 1;
 
$error = 0;
 
$ahora = date("Y-n-j H:i:s");
 
$safemode = 0;
 
$new = "";
 
$flooder =0;
 
$registered = 0;
 
$wwwdir = "/home/neosecur/public_html/";
 
$ahora = date("Y-n-j H:i:s");
 
if(!$file = @fopen($wwwdir."log.txt","r"))
 
$error = 1;
 
while (!@feof($file))
 
{
 
$data .= @fgets($file);
 
}
 
$visitor = explode("\n",$data);
 
$i=0;
 
while($visitor[$i])
 
{
 
$iptime = explode("@",$visitor[$i]);
 
if ($_SERVER['REMOTE_ADDR'] == $iptime[0])
 
{
 
 
 
$tiempo = strtotime($ahora) - $iptime[1];
 
if ($tiempo <= 1)  // this line controls the acces of an ip, only one request during the number of seconds you replace here
 
{
 
$safemode = 1;
 
 
$flooder = 1;
 
}
 
 
$iptime[1]=strtotime($ahora);
 
 
 
 
 
$registered = 1;
 
}
 
$new .=$iptime[0]."@".$iptime[1]."\n";
 
$i++;
 
}
 
 
if (!$registered)
 
$new.=$_SERVER['REMOTE_ADDR']."@".strtotime($ahora)."\n";
 
 
 
if (!@fclose($file))
 
$error = 1;
 
 
 
if(!$file = @fopen($wwwdir."log.txt","wt"))
 
$error = 1;
 
 
 
@fwrite($file,$new);
 
if (!@fclose($file))
 
$error = 1;
 
 
 
if (!$fcount = @fopen($wwwdir."counter.txt","rt"))
 
$error = 1;
 
$vst = @fgets($fcount);
 
$count = explode("@",$vst);
 
if (strtotime($ahora) == $count[1])
 
{
 
$visits = $count[0] + 1;
 
$count[0] = $visits;
 
}
 
else
 
{
 
$count[0] = 1;
 
$count[1] = strtotime($ahora);
 
}
 
if (!@fclose($fcount))
 
$error = 1;
 
 
 
$new = $count[0]."@".$count[1];
 
 
 
if (!$fcount = @fopen($wwwdir."counter.txt","wt"))
 
$error = 1;
 
 
 
@fwrite($fcount,$new);
 
 
 
if (!@fclose($fcount))
 
$error = 1;
 
 
 
 
$new = "";
 
$registered = 0;
 
 
 
if ($visits > 4) // this line controls visits during a second, it is used to prevent ddos attacks you can modify this depending on the capacity of your server
 
{
 
$safemode = 1;
 
if ($flooder)
 
{
 
if (!$fban = @fopen($wwwdir."bans.txt","rt")) $error = 1;
 
while (!@feof($fban))
 
{
 
$ban .= @fgets($fban);
 
}
 
$ips = explode ("\n",$ban);
 
$i=0;
 
while ($ips[$i])
 
{
 
if ($_SERVER['REMOTE_ADDR'] == $ips[$i])
 
$registered = 1;
 
$i++;
 
$new .=$ips[$i];
 
}
 
if (!@fclose($fban)) $error = 1;
 
 
 
if (!$registered)
 
{
 
if (!$fban = @fopen($wwwdir."bans.txt","wt")) $error = 1;
 
$new .=$_SERVER['REMOTE_ADDR']."\n";
 
@fwrite($fban,$new);
 
if (!@fclose($fban)) $error = 1;
 
}
 
else
 
{
 
if (!$fht = @fopen($wwwdir.".htaccess","rt"))
 
$error = 1;
 
$cont = "";
$cont2 = "";
$eob = 0;
while (!@feof($fht))
 
{
 
$a = @fgets($fht);
 
if ($eob)
$cont2.=$a;
else
{
if ($a == "</Limit>\r\n" or $a == "</Limit>" or $a == "</Limit>\n")
{
$eob = 1;
$cont2.=$a;
}
else
$cont.=$a;
}
 
}
 
 
 
if (!@fclose($fht))
 
$error = 1;
 
if (!$fht = @fopen($wwwdir.".htaccess","wt"))
 
$error = 1;
 
 
$cont .= "Deny from ".$_SERVER['REMOTE_ADDR']."\n";
$cont .= $cont2;
 
@fwrite($fht,$cont);
 
if (!@fclose($fht))
 
$error = 1;
 
}
 
}
 
 
}
 
 
if ($error)
 
{
 
echo "ocurrio un error inesperado por favor trata actualizando de nuevo o vuelve en un rato. Gracias por tu comprensión.";
 
exit(0);
 
}
 
if($safemode)
 
{
 
echo '<META HTTP-EQUIV="Refresh" CONTENT="2;URL=">';
 
exit(0);
 
}
 
 
 
// if no restrictions have been activated , the content of the web will be displayed normally
//echo "contenido";
?>
 

Suerte
En línea



Con sangre andaluza :)
xDie

Desconectado Desconectado

Mensajes: 305



Ver Perfil
Re: Intentando detener un DDoS
« Respuesta #20 en: 19 Septiembre 2007, 17:37 »

Los paquetes llegan al servidor igual, estas en la misma
En línea

Licence to kill!
l337*

Desconectado Desconectado

Mensajes: 930


I've been thinking...


Ver Perfil
Re: Intentando detener un DDoS
« Respuesta #21 en: 10 Noviembre 2007, 08:03 »

Citar
Ejemplo de ataque SYN_RECV o SYN Flooding al Apache (puerto 80).

192.168.0.3 es la ip del servidor apache y 192.168.0.105 es la ip del "atacante".


Código:
tcp        0      0 192.168.0.3:80          192.168.0.5:60808     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60761     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60876     SYN_RECV 
.
.
.


la ip del atacante seria 192.168.0.5 que no?
En línea
Dr.SysCrack

Desconectado Desconectado

Mensajes: 34


Joven AprendiS


Ver Perfil WWW
Re: Intentando detener un DDoS
« Respuesta #22 en: 16 Noviembre 2007, 22:47 »

Exelente manual muy completo y es el primer foro que veo un manual haci muy bien explicado

sa1u2
En línea

Clickea donde dice Revolution Hack
Artikbot
Who said pen is mightier than sword
Colaborador

Desconectado Desconectado

Mensajes: 7.924


Obviously never encountered automatic weapons.


Ver Perfil WWW
Re: Intentando detener un DDoS
« Respuesta #23 en: 22 Diciembre 2007, 23:40 »

Felicidades, el-brujo, un tuto de putísima madre  :D :D


Salu2!
« Última modificación: 14 Abril 2008, 22:43 por Artikbot » En línea

Sk9ITk5Z

Desconectado Desconectado

Mensajes: 1.385


El esfuerzo hace la diferencia....


Ver Perfil WWW
Re: Intentando detener un DDoS
« Respuesta #24 en: 09 Enero 2009, 20:29 »

Pues despues de tanto tiempo y aun sirve el manual te sacaste undiez el-brujo...
En línea

ViperDoom

Desconectado Desconectado

Mensajes: 39


Mess with the best, Die like the rest


Ver Perfil
Re: Intentando detener un DDoS
« Respuesta #25 en: 27 Febrero 2009, 12:08 »

muy buen material ...
Una dudita: Un amigo tiene un server de mu, y es muy comun que jugadores de otros mu servers traten de tumbar los servers de la competencia por medio de ataques DoS, con el programa turbina; y los ataques se realizan generalmente al puerto 44405. Como puedo detectar y detener un ataque en un windows server?
desde ya muchaas gracias!
En línea

"De todo lo que he perdido, lo que mas extraño es mi mente" ~ Ozzy Osbourne

Artikbot
Who said pen is mightier than sword
Colaborador

Desconectado Desconectado

Mensajes: 7.924


Obviously never encountered automatic weapons.


Ver Perfil WWW
Re: Intentando detener un DDoS
« Respuesta #26 en: 13 Mayo 2009, 23:57 »

con TurbinaS? Pues estudia el patrón de ataque (fácil de econtrar) y crea una regla que filtre todas las conexiones de ese tipo.
En línea

juato4

Desconectado Desconectado

Mensajes: 1


Ver Perfil
Re: Intentando detener un DDoS
« Respuesta #27 en: 26 Febrero 2010, 19:29 »

Hola!.

La verdad me está ayudando muchisimo tu post. la verdad es que no se si estoy recibiendo un DDOS, pero supongo que si.

Me escanean con el famoso DFIND, hasta que el apache supera el MaxConnections... el problema que tengo es que la version de iptables que tengo es vieja y no puedo usar algunos comandos, actualizar demandaria tambien la kernel a lo que no se puede actualmente.

La verdad no se que hacer, porque banneo ips con iptables, he usado el modulo mod_limitipconn.c pero no se si está funcionando, sinceramente.

ahora, cuando le doy al comando que tu expones:

Código:
miservidor:/etc/apache2# netstat -an | grep :80 | awk '{ print $5 }' | awk -F: '{ print $1 }' | sort | uniq -c | sort -n
      1 200.119.153.3
      2 190.67.192.160
      3 200.80.241.2
      4 189.180.73.116
    150
]

el numero de conexiones a veces no concuerda con las conexiones por IP, a veces el numero que ahora dice 150, está en 600 y solo hay 2 o 3 ip conectadas con 3 conexiones abiertas.

que puede ser?.

Saludos y espero que sepas que puede estar pasando!.
« Última modificación: 26 Febrero 2010, 19:31 por juato4 » En línea
Páginas: 1 [2] Ir Arriba Imprimir 
Ir a:  





Consolas     La Web de Goku     MilW0rm     MundoDivx

Hispabyte     Truzone     TodoReviews     ZonaPhotoshop

Yashira.org    Videojuegos    indetectables.net    Seguridad Informatica Colombia    Indejuegos    Internet móvil

Noticias Informatica    Seguridad Informática    ADSL    eNYe Sec    Seguridad Wireless    Underground México    Biblioteca de Seguridad

Todas las webs afiliadas están libres de publicidad engañosa.

Powered by SMF 1.1.11 | SMF © 2006-2008, Simple Machines LLC