Foro de elhacker.net

v 2.38

Intentando Detener o mitigar un Ataque de Denegación de Servicio Distribuido

Porque un null-route a una ip no es una solución, es una chapuza.

Si unos script-kiddies están DDoSeando tu web.....


Index:
a) Detectando el ataque

1) Usando el comando netstat
2) Mirando el server-status del Apache
3) Mirando los logs del mod_evasive
4) Mirando los logs del syslog (del kernel)
5) Mirando las gráficas del MRTG, RRDtool, ntopng, Monitorix

B) Intentar parar el ataque

1) - mod_evasive
2) - mod_security
3)  tcplimit, ipdrop, ipblock
4) Optimizando y asegurando la red con el sysctl.conf
5) APF Firewall con el módulo anti-ddos
6) Parar el/la botnet
7) Usando reglas de iptables
8) Usando el mod_throttle
9) DDoS Deflate, Floodmon
10) CloudFlare, Akamai, Incapsula, Arbor, ProjectShield


a) Se basa en ataques reales.
b) No hay nada de teoría, solo parte práctica.

A) Detectando el ataque

1) Usando el comando netstat






Ejemplo de ataque SYN_RECV o SYN Flooding al Apache (puerto 80).

192.168.0.3 es la ip del servidor apache y 192.168.0.105 es la ip del "atacante".


Claro ejemplo de SYN Attack al Apache.

2) Mirando el server-status del Apache

Si miramos el server-status del apache veremos conexiones en estado "Reading" ("R" Reading Request).

(http://2.bp.blogspot.com/-j6EYGuQzIJY/U5RI1lOiSRI/AAAAAAAAGKk/XkUwEjXxBEc/s1600/ataque_reading_marzo2014.png)

El problema es que cuando el número de conexiones "Reading" llena el "MaxClients" del Apache no acepta nuevas peticiones, por lo que los nuevos clientes, aunque sean legítimos, no serán aceptados.

Podemos aumentar el valor del "MaxClients" para que no se llene la cola de peticiones y acepte a todos los clientes, sean atacantes o no.

Otra buena medida es bajar el valor del "Timeout" del Apache para que las peticiones "Reading" sean "matadas" rápidamente, antes que pueda llenarse el MaxClients a su tope.

Por defecto en Apache:


Se puede bajar hasta 100 sin problemas, teniendo en cuenta que las conexiones muy lentas pueden tener problemas.

Para aumentar el MaxClients en el fichero httpd.conf Apache 2 basta con añadir la directiva:

ServerLimit 350 antes de MaxClients y ya dejará.


Y la directiva ListenBackLog

Herramienta Floodmon: alerta, detecta y mitiga ataques SYN Flood
http://blog.elhacker.net/2014/05/floodmon-alerta--detecta-mitiga-ataques-tcp-syn-flood-ip.html

3) Mirando los logs del mod_evasive


Si es un DDoS muy distribuido enseguida notaremos que muchas ip's diferente DoSean el Apache.

4) Mirando los logs del syslog (del kernel)


Líneas a mirar:


"Sending Cookies" si lo tenemos activado en el /etc/sysctl.conf
# Enable TCP SYN Cookie Protection

A veces es mejor deshabilitarlo:


De esta manera podemos ver las ip's del ataque:



Tabla llena. Tenemos un problema porque no admitiremos más conexiones aunque sean legítimas.

Podemos aumentar el valor de dicha tabla si nuestra red da para más.

Directamente:

Para que el valor quede guardardo y no se pierda al reiniciar, debemos añadirlo en el sysctl.conf

Recuerda reiniciar la red para aplicar los cambios en el /proc (service network restart).

Paquetes Marcianos:


Son paquetes inesperados que llegan por un camino por el cual no pueden llegar indica algún problema de audacia (cracker).

Usando paquetes como éstos se pueden atacar vulnerabilidades remotas en stacks TCP/IP .

UDP: bad checksum y UDP: short packet

Ataques inundación paquetes UDP seguramente usando reflectores y técnicas de amplificación DrDDoS

http://blog.elhacker.net/2014/06/udp-flood-inundacion-reflection-attack-ataque.html



5) Mirando las gráficas del MRTG, RRDtool

Si ves que el tráfico inbound sube hasta los 100mbps es que te están doseando.

(http://ns2.elhacker.net/segundo_ddos.png)

(http://ns2.elhacker.net/ddos.png)

Importante mirar la tasa de PPS (packets per second).

En ataques se pueden llegar a más de 100k (100 mil) paquetes por segundo.

Analizar e inspeccionar el tráfico de red (wireshark, tshark, ntopng, tcpdump, iptraf) en busca de patrones o playload.

---

B) Intentar detener o mitigar un ataque DDoS

1) - mod_evasive

Web Oficial:
http://www.nuclearelephant.com/projects/mod_evasive/

Consideramos que 50 conexiones por segundo a 2 páginas es suficiente motivo como para bloquear esa ip:



Igual que el anterior pero con 50 peticiones en un segundo a 1 sola página:


Si queremos bloquear las ips que floodean, podemos usar el iptables:

DOSSystemCommand "sudo -u root -c '/sbin/iptables -A INPUT -s %s -j DROP"

Recordar mirar el syslog por si hay posibles falsos positivos (ip's que no hacian flood).

Para evitar falsos positivos:


Importante:

Para que el mod_evasive funcione correctamente deberás modificar el:


Para poner un valor alto pero nunca ilimitado (0).


Config ejemplo:
http://www.eth0.us/mod_evasive

2 - mod_security
 
El único problema del mod_security es que necesitamos al menos un argumento para detectar el ataque.

En el ejemplo usamos en http_referer y el User Agent para detectar el DDoS:

Bloqueando un ataque Iframe
http://foro.elhacker.net/seguridad/bloqueando_un_ataque_iframe-t127481.0.html

3- tcplimit, ipdrop, ipblock

Usando firewalls dinámicos.

4- Optimizando y asegurando la red con el sysctl.conf


cat /proc/sys/net/ipv4/tcp_syncookies



1). Activate SynCookies protection

    It works by sending out 'syncookies' when the
    syn backlog queue of a socket overflows.

    => echo 1 >/proc/sys/net/ipv4/tcp_syncookies

    or

    => /sbin/sysctl -w net.ipv4.tcp_syncookies=1

2). Disable source routing

    => for f in /proc/sys/net/ipv4/conf/*/accept_source_route; do
    echo 0 > $f
    done

    or

    => /sbin/sysctl -w net.ipv4.conf.all.accept_source_route=0

3). Reverse Path Filtering

    Reject incoming packets if their source address doesn't match
    the network interface that they're arriving on

    => for f in /proc/sys/net/ipv4/conf/*/rp_filter; do
    echo 1 > $f
    done

    or

    => /sbin/systcl -w net.ipv4.conf.all.rp_filter=1

4). Log RP filter dropped packets (martians)

    => for f in /proc/sys/net/ipv4/conf/*/log_martians; do
    echo 1 > $f
    done

    or

    => /sbin/sysctl -w net.ipv4.conf.all.log_martians=1

5). Maximal number of remembered connection requests

    => /sbin/sysctl -w net.ipv4.tcp_max_syn_backlog=256

6). How may times to retry before killing TCP connection

    (default 7 on most systems)

    => /sbin/sysctl -w net.ipv4.tcp_orphan_retries=4

7). Number of SYN packets the kernel will send before giving up

    => /sbin/sysctl -w net.ipv4.tcp_syn_retries=5

8). Disable broadcast icmp reply

    => /sbin/sysctl -w net.ipv4.icmp_echo_ignore_broadcasts=1

9). Ignore Bogus icmp packets

    => /sbin/sysctl -w net.ipv4.icmp_ignore_bogus_error_responses=1

10). Disable ICMP redirect

    => echo 0 >/proc/sys/net/ipv4/conf/all/accept_redirects
    => echo 0 >/proc/sys/net/ipv4/conf/all/send_redirects

    or

    => /sbin/sysctl -w net.ipv4.conf.all.accept_redirects=0
    => /sbin/sysctl -w net.ipv4.conf.all.send_redirects=0

11). Disable timestamps

    => echo 0 >/proc/sys/net/ipv4/tcp_timestamps

    or

    => /sbin/sysctl -w net.ipv4.tcp_timestamps=0

12). Reduce DOS ability by reducing timeouts

    => echo 30 >/proc/sys/net/ipv4/tcp_fin_timeout
    => echo 1800 >/proc/sys/net/ipv4/tcp_keepalive_time
    => echo 0 >/proc/sys/net/ipv4/tcp_window_scaling
    => echo 0 >/proc/sys/net/ipv4/tcp_sack

    or

    => /sbin/sysctl -w net.ipv4.tcp_fin_timeout=30
    => /sbin/sysctl -w net.ipv4.tcp_keepalive_time=1800
    => /sbin/sysctl -w net.ipv4.tcp_window_scaling=0
    => /sbin/sysctl -w net.ipv4.tcp_sack=0

- Lista de todas las variables del TCP: (Lista de Variables del /proc/sys/net/ipv4/* (con varlores por defecto y explicaciones))
http://www.frozentux.net/ipsysctl-tutorial/ipsysctl-tutorial.html

- Optimizando el kernel de linux mediante tuning y hardering sysctl.conf
http://wiki.elhacker.net/sistemas-operativos/gnulinux/tuning-sysctl-conf

- Opciones de seguridad en Linux a través de /proc (I) y (II)
http://www.elhacker.net/opciones-seguridad-linux-proc.html

Más ejemplos de configuración completa del sysctl.conf en las referencias del documento.

5- APF Firewall con el módulo anti-ddos


service apf start
/usr/local/sbin/apf -s

Fichero de configuración:


Despues de hacer las pruebas dejar:
DEVEL_MODE="0"

Si nos sale un error parecido a este:
apf(9413): unable to load iptables module (ip_tables), aborting.

Cambiamos esto:
SET_MONOKERN="1"

Puertos que queremos abrir (inbound)
IG_TCP_CPORTS="21,22,25,53,80,110"

Si queres bloquear todo el tráfico de salida lo ponemos en 1 (outbound)
EGF="0"

Si queremos usar el módulo antddos poner a 1:
USE_AD="0"

Log:
/var/log/apf_log

Para ver los paquetes que dropeamos:
LOG_DROP="1"

Lo guardará en el syslog, ejemplo:

Proto= Protocolo
SRC= ip origen
SPT= Source Port (puerto d origen)
DST= Destination Port (puerto destino)


Recuerda que para usar el antidos debes añadir el cron job:

*/8 * * * * root /etc/apf/ad/antidos -a >> /dev/null 2>&1

http://www.r-fx.org/apf/README.antidos

KISS My Firewall es una alternativa.

Script PHP
http://www.prism-hosting.com/AntiDoS

6- Parar el botnet

ZmbScap - Zombie Scapper - Stoopt DDoS Programs
http://www.metaeye.org/projects/zmbscap/

Tracking Botnets - Bot-Commands
http://www.honeynet.org/papers/bots/botnet-commands.html

Tracking Botnets
http://www.honeynet.org/papers/bots/

Tracking Botnets - DDoS-attacks
http://www.honeynet.org/papers/bots/botnet-ddos.html

Phatbot Trojan Analysis
http://www.lurhq.com/phatbot.html

F-Bot by f-secure- Elimina el Agobot y todas sus variantes
http://www.f-secure.com/tools/f-bot.zip

Nepenthes - Autoinfecarse sin peligro para analizar
http://nepenthes.mwcollect.org/

honeytrap – trap attacks against tcp services
http://honeytrap.sourceforge.net/

7) Usando reglas del iptables

- Los paquetes del DDoS (Ataque de denegación de servicio distribuido) podrían venir de cualquier parte del mundo

Podemos limitar con iptables el tráfico udp


Módulo limit (iptables)

Diferencias entre limit y limit burst

Usando el módulo limit


Podemos hacer uso de limit y limit burst


Con --limit se especifica una media (average), no un caudal. Por ejemplo: decir 200/s (200 por segundo) puede significar que en el primer minuto se reciben 50 paquetes y en el segundo también 50 o puede significar que en el primer minuto se reciben 100 y en el segundo 50... la media sigue siendo 200/segundo.

El limite puede ser

    /second (/s)
    /minute (/m)
    /hour (/h)
    /day (/d)

--limit-burst especifica un máximo, si no se especifica un --limit-burst por defecto vale 5 y significa que se aceptaran los primeros 5 paquetes y luego se esperara hasta alcanzar la media para seguir aceptando.

Módulo Recent (iptables)

El módulo de IPTables recientes tiene algunas limitaciones. Por defecto, sólo hace un seguimiento de las 100 más recientes 100 IPs, y los últimos diez paquetes de cada una. Si tienes una gran cantidad de direcciones IP de origen de golpe, estos límites pueden no ser suficientes.


8) Limitar el ancho de banda servidor web

http://www.snert.com/Software/mod_throttle/

Limitar ancho de banda en Apache (http://blog.elhacker.net/2013/02/limitar-ancho-de-banda-en-apache.html)

Limitar ancho de banda en Apache


Otros:

Mod_Throttle, mod_bandwidth, mod_iplimit, mod_tsunami, mod_limitipconn.c

Para Apache 2:
 mod_cband




http://www.webhostgear.com/160.html

9) Script herramienta Floodmon Floodmon o Script herramienta DDoS Deflate

http://blog.elhacker.net/2013/12/ddos-deflate-script-bash-para-mitigar-ataques-ddos-dos.html

http://blog.elhacker.net/2014/05/floodmon-alerta--detecta-mitiga-ataques-tcp-syn-flood-ip.html

10) Usar sistemas gratuitos como CloudFlare

Servicios basados en una gran infraestructura de red que incluyen técnicas de mitigación pro-activas, filtrado e inspección de paquetes

Funcionamiento y configuración protección DDoS de CloudFlare (http://blog.elhacker.net/2014/10/funcionamiento-configuracion-proteccion-ataques-ddos-cloudflare.html)

OOooh Yeahh, muy buen trabajo, date por seguro que te pitaran los oidos, en concreto el derecho, porke te alabaran XD, enserio muy bueno, gracias.

Epa! Brujo , las experiencias siempre nos dejan algo que aprender ..no ? Muy buen tutorial brother  ;)

Salu2!

Magnifico tutorial, felicidades brujo.

PD: Acaba de salir en portada de meneame  :D

el p**o amo........

Pd: muchisimas gracis por este aporte, lo agrego a favoritos......

Excelente guia pero creo que donde se tiene que enfocar mucho es en firewall, claro, el mod_evasive es una maravilla pero siempre es mejor tener a los dos de nuestro lado xD

Saludos y felicitaciones

Es un buen tutorial. Pero hay que seguir  trabajando buscando soluciones a atakes alternativos. Esta defensa esta orientada a atakes via HTTP y TCP.

Seguro que en un tiempo se seguiran publicando documentacion para parar este tipo de atakes sobre distintos protocolos.

Enorabuena Alex.

Texto magnifico :P
Venga tio a seguir asi.

Saludos

Portada de barrapunto (http://barrapunto.com/articles/06/08/27/0759214.shtml)

Enhorabuena!

Saludos!!

Muy buen manual Alex ;)

Los frutos del caldo de cultivo. Muy bueno.

Trataré de seguirlo para adaptarlo a "packet filter" ;)

Salu2

no lo habia leido >.< esta muy buenno, felicidades el-brujo yo creo que gracias a que te atacan el server aprendes todo eso :D

Wenas


Aquí dejo un excelente "how to" para el KISS:

KISS My Firewall
http://www.geocities.com/steve93138/

También hay alternativas para Windows, el Kapersky anti-hacker es efectivo cuando nos hacen un DoS, en los dDos nunca he tenido la oportunidad de verlo en acción. Ah, también banea la ip cuando te hacen un scan de puertos a la Ip.

Saludos

Parece que el-jefe sabe mas de lo que creemos jejeje enhorabuena Alex eres uno de los grandes compañero

Salu2

Hyde

 :D  Excelente amigo, muuuy bien....  Cada dia mas...

SANTTI... DESDE CHILE...

wow que buen documento master exelente muchas gracias ;D

Telo concedo Sarjo!!. Para que lo estudies. :)

Hola que tal soy nuevo en este foro y he estado checandolo y de verdad que se encuentra informacion muy util un saludo y felicitacion a todos los que escriben tutoriales y responden preguntas, gracias por compartir sus conocimientos.

fijense que soy webmaster de varias paginillas las cuales tengo hospedadas en servicios de hosting comunes y corrientes ( osea hosting compartido ) y recientemente a una de mis webs ha tenido ataques DoS y no he podido bannear las maquinas atacantes pues constantemente cambia de ips, leyendo este articulo vi que modificando uno de los mods del apache podiamos limitar el numero maximo de conexiones de cada ip, pero mi pregunta es ver si hay algun metodo de hacer esto usando archivos htaccess pues yo no tengo acceso a la configuracion del server ni del apache.

En caso de ser asi cual seria la sintaxis, espero me peudan ayudar gracias

wow =)
excelente tutorial... segui asi ;)

Pues por htaccess no xD pero te dejo algo ;) :

<?
/*
/************************************************************
/                                                                                                        
/           NST Anti Denial of Service Script  v 0.1                                           
/                                                                                                        
/                                                                                                        
/                                                                                                        
/             Author: Link   < link07@gmail.com >                              
/                                                                                                        
/              ..::[N]eo [S]ecurity [T]eam::..                                          
/                                                                                                          
/              http://www.neosecurityteam.net    
/
/                   Date:  October - 2006                
/                                                                                                          
/                                                                                                          
/*************************************************************
 
 
     This script will prevent Dos and DDos attacks using request flood
     of http packets, that causes your server to excecute to much connections
     with the database and execute tha php interpreter a lot of times in a few
     seconds, all you have to do to install this is include it in a script that
     all your scripts use , an script for the database connection for example
     and create three empty txt files on the same folder with write and read
     permissions: log.txt , bans.txt , counter.txt
     This script will ban users using the .htaccess file, so dont forget to put
     this is script on the same folder as the .htaccess file as well
     It is very configurable just modify the parameters indicated below , to
     asign how sctrict the script will act.  
 
*/
 
$data = "";
 
$ban = "";
 
$visits = 1;
 
$error = 0;
 
$ahora = date("Y-n-j H:i:s");
 
$safemode = 0;
 
$new = "";
 
$flooder =0;
 
$registered = 0;
 
$wwwdir = "/home/neosecur/public_html/";
 
$ahora = date("Y-n-j H:i:s");
 
if(!$file = @fopen($wwwdir."log.txt","r"))
 
$error = 1;
 
while (!@feof($file))
 
{
 
$data .= @fgets($file);
 
}
 
$visitor = explode("\n",$data);
 
$i=0;
 
while($visitor[$i])
 
{
 
$iptime = explode("@",$visitor[$i]);
 
if ($_SERVER['REMOTE_ADDR'] == $iptime[0])
 
{
 
 
 
$tiempo = strtotime($ahora) - $iptime[1];
 
if ($tiempo <= 1)  // this line controls the acces of an ip, only one request during the number of seconds you replace here
 
{
 
$safemode = 1;
 
 
$flooder = 1;
 
}
 
 
$iptime[1]=strtotime($ahora);
 
 
 
 
 
$registered = 1;
 
}
 
$new .=$iptime[0]."@".$iptime[1]."\n";
 
$i++;
 
}
 
 
if (!$registered)
 
$new.=$_SERVER['REMOTE_ADDR']."@".strtotime($ahora)."\n";
 
 
 
if (!@fclose($file))
 
$error = 1;
 
 
 
if(!$file = @fopen($wwwdir."log.txt","wt"))
 
$error = 1;
 
 
 
@fwrite($file,$new);
 
if (!@fclose($file))
 
$error = 1;
 
 
 
if (!$fcount = @fopen($wwwdir."counter.txt","rt"))
 
$error = 1;
 
$vst = @fgets($fcount);
 
$count = explode("@",$vst);
 
if (strtotime($ahora) == $count[1])
 
{
 
$visits = $count[0] + 1;
 
$count[0] = $visits;
 
}
 
else
 
{
 
$count[0] = 1;
 
$count[1] = strtotime($ahora);
 
}
 
if (!@fclose($fcount))
 
$error = 1;
 
 
 
$new = $count[0]."@".$count[1];
 
 
 
if (!$fcount = @fopen($wwwdir."counter.txt","wt"))
 
$error = 1;
 
 
 
@fwrite($fcount,$new);
 
 
 
if (!@fclose($fcount))
 
$error = 1;
 
 
 
 
$new = "";
 
$registered = 0;
 
 
 
if ($visits > 4) // this line controls visits during a second, it is used to prevent ddos attacks you can modify this depending on the capacity of your server
 
{
 
$safemode = 1;
 
if ($flooder)
 
{
 
if (!$fban = @fopen($wwwdir."bans.txt","rt")) $error = 1;
 
while (!@feof($fban))
 
{
 
$ban .= @fgets($fban);
 
}
 
$ips = explode ("\n",$ban);
 
$i=0;
 
while ($ips[$i])
 
{
 
if ($_SERVER['REMOTE_ADDR'] == $ips[$i])
 
$registered = 1;
 
$i++;
 
$new .=$ips[$i];
 
}
 
if (!@fclose($fban)) $error = 1;
 
 
 
if (!$registered)
 
{
 
if (!$fban = @fopen($wwwdir."bans.txt","wt")) $error = 1;
 
$new .=$_SERVER['REMOTE_ADDR']."\n";
 
@fwrite($fban,$new);
 
if (!@fclose($fban)) $error = 1;
 
}
 
else
 
{
 
if (!$fht = @fopen($wwwdir.".htaccess","rt"))
 
$error = 1;
 
$cont = "";
$cont2 = "";
$eob = 0;
while (!@feof($fht))
 
{
 
$a = @fgets($fht);
 
if ($eob)
$cont2.=$a;
else
{
if ($a == "</Limit>\r\n" or $a == "</Limit>" or $a == "</Limit>\n")
{
$eob = 1;
$cont2.=$a;
}
else
$cont.=$a;
}
 
}
 
 
 
if (!@fclose($fht))
 
$error = 1;
 
if (!$fht = @fopen($wwwdir.".htaccess","wt"))
 
$error = 1;
 
 
$cont .= "Deny from ".$_SERVER['REMOTE_ADDR']."\n";
$cont .= $cont2;
 
@fwrite($fht,$cont);
 
if (!@fclose($fht))
 
$error = 1;
 
}
 
}
 
 
}
 
 
if ($error)
 
{
 
echo "ocurrio un error inesperado por favor trata actualizando de nuevo o vuelve en un rato. Gracias por tu comprensión.";
 
exit(0);
 
}
 
if($safemode)
 
{
 
echo '<META HTTP-EQUIV="Refresh" CONTENT="2;URL=">';
 
exit(0);
 
}
 
 
 
// if no restrictions have been activated , the content of the web will be displayed normally
//echo "contenido";
?>
 

Suerte

Los paquetes llegan al servidor igual, estas en la misma

la ip del atacante seria 192.168.0.5 que no?

Exelente manual muy completo y es el primer foro que veo un manual haci muy bien explicado

sa1u2

Felicidades, el-brujo, un tuto de putísima madre  :D :D


Salu2!

Pues despues de tanto tiempo y aun sirve el manual te sacaste undiez el-brujo...

muy buen material ...
Una dudita: Un amigo tiene un server de mu, y es muy comun que jugadores de otros mu servers traten de tumbar los servers de la competencia por medio de ataques DoS, con el programa turbina; y los ataques se realizan generalmente al puerto 44405. Como puedo detectar y detener un ataque en un windows server?
desde ya muchaas gracias!

con TurbinaS? Pues estudia el patrón de ataque (fácil de econtrar) y crea una regla que filtre todas las conexiones de ese tipo.

Hola!.

La verdad me está ayudando muchisimo tu post. la verdad es que no se si estoy recibiendo un DDOS, pero supongo que si.

Me escanean con el famoso DFIND, hasta que el apache supera el MaxConnections... el problema que tengo es que la version de iptables que tengo es vieja y no puedo usar algunos comandos, actualizar demandaria tambien la kernel a lo que no se puede actualmente.

La verdad no se que hacer, porque banneo ips con iptables, he usado el modulo mod_limitipconn.c pero no se si está funcionando, sinceramente.

ahora, cuando le doy al comando que tu expones:

]

el numero de conexiones a veces no concuerda con las conexiones por IP, a veces el numero que ahora dice 150, está en 600 y solo hay 2 o 3 ip conectadas con 3 conexiones abiertas.

que puede ser?.

Saludos y espero que sepas que puede estar pasando!.

wenas gente, queria saber de este codigo que me explicarán un poco pork hay opciones que no termino de entender sobre todo el  modulo recent como hago esto correctamente. ademas tendria que escribir todo el codigo tal cual¿?

y que conflictos puede haber con esto¿? ya que estoy montando (debian), un apache,vsftpd,ssh,sendmail

este es el script que voy probando pero termina de funcionar, si quito la ultima linea no funciona. asi que no se que e escrito mal, os lo agradezco, es que me estoy volviendo loco, gracias

Brutal... Sobre todo en esta época en que a todos los peques les da por picarse a h4x0r2.

Revivo el tema para agregar algo de info.
En un reciente artículo de la BSD Magazine (http://www.bsdmag.org/) salió cómo mitigar un DDoS con pf (https://secure.wikimedia.org/wikipedia/en/wiki/PF_%28firewall%29) ...  les dejo el enlace :

http://www.freebsdnews.net/2011/05/17/bsd-magazine-2011-05-embedded-bsd-freebsd-alix/

Saludos.

que buen trabajo, exelente info!!

+10 E-X-C-E-L-E-N-T-E!!  ;-) ;-) ;-)

Tengo una pregunta, quizás un poco tonta.
¿Esto solo se puede hacer cuando tengas un servidor en tu ordenador instalado?
Por ejemplo, yo tengo un servicio únicamente de hosting en la empresa Hetzner, para hacer todo esto se necesitaría un servidor virtual ¿no? ¿O puedo yo hacerlo desde mi hosting?
Saludos

si, para hacer casi todo lo que indica el manual, debes tener un servidor dedicado y ser root, no sirve un hosting que te ofrece un servicio, entonces el propio hosting debe encargarse de la seguridad del mismo y tu no puedes configurar los servicios, ni protegerlos (apache, etc).

Muchas gracias me ha quedado todo claro.
Saludos!

Excelente trabajo, me has abierto los ojos de verdad muy muy bueno.

Muy bien dicho intentando* ya que siempre habran otras formas de hacer attaques dos me a servidor para mi servidor web.

Hay riesgo si hablamos de 20 conexiones provenientes de la misma IP?...

Excelente guía. Muy útil, thanks!

Eres todo un capo, una salvación para mucho como uno que nos la vemos muchas veces negras por culpa de ciertos desadaptados.

me podriais ayudar con esto es que nose si se muchas cosas sobre el codigo: