|
Título: Banear ip que hace flood automaticamente Publicado por: ayuda7777 en 28 Junio 2011, 18:36 pm hola como les va? necesitaria si alguien sabe que me diga como se puede banear una ip que hace flood udp automaticamente con iptables
por ejemplo si manda mas de 10 paquetes por segundo la banee. desde ya gracias. Título: Re: Banear ip que hace flood automaticamente Publicado por: el-brujo en 28 Junio 2011, 18:49 pm Código: /sbin/iptables -A OUTPUT -p udp -m state --state NEW -j ACCEPT Intentando detener un DDoS http://foro.elhacker.net/tutoriales_documentacion/intentando_detener_un_ddos-t137442.0.html Título: Re: Banear ip que hace flood automaticamente Publicado por: dimitrix en 28 Junio 2011, 19:56 pm Escucha brujo, tiene la URL de ese tema en favoritos ¿Verdad?
Es que mira que lo has recomendado veces xD Título: Re: Banear ip que hace flood automaticamente Publicado por: ayuda7777 en 28 Junio 2011, 21:52 pm Código: /sbin/iptables -A OUTPUT -p udp -m state --state NEW -j ACCEPT Intentando detener un DDoS http://foro.elhacker.net/tutoriales_documentacion/intentando_detener_un_ddos-t137442.0.html hola con eso me bloquea todos los paquetes , osea no solo al que ataca si no que a todos los demas Título: Re: Banear ip que hace flood automaticamente Publicado por: el-brujo en 29 Junio 2011, 10:39 am no bloquea todos los paquetes, bloquea si hay más de x por segundo.
Lo mejor es que uses algo así (si te atacan al puerto 80) puedes cambiar el tcp por udp. Código: -A INPUT -p tcp -m state -m recent --dport 80 --state NEW --set Título: Re: Banear ip que hace flood automaticamente Publicado por: ayuda7777 en 29 Junio 2011, 16:44 pm no bloquea todos los paquetes, bloquea si hay más de x por segundo. Lo mejor es que uses algo así (si te atacan al puerto 80) puedes cambiar el tcp por udp. Código: -A INPUT -p tcp -m state -m recent --dport 80 --state NEW --set y hay alguna forma de banear la ip que hace flood? Título: Re: Banear ip que hace flood automaticamente Publicado por: el-brujo en 29 Junio 2011, 17:17 pm ¿banear en iptables, banear en una web o baner dónde?
Si es banear en el iptables: Código: -A INPUT -s ip -j DROP Lee el manual, explica primero cómo detectar la ip del atacante. Intentando detener un DDoS http://foro.elhacker.net/tutoriales_documentacion/intentando_detener_un_ddos-t137442.0.html Explica un como más el problema, si tienes una web, un foro, un servidor de juegos. Título: Re: Banear ip que hace flood automaticamente Publicado por: ayuda7777 en 29 Junio 2011, 19:50 pm es un servidor de un juego que usa protocolo udp y me lo atacan usando un vps haciendo flood , ya banie muchas ips , pero se compran mas vps y me siguen atacando , por eso queria bloquearlo automaticamente.
Título: Re: Banear ip que hace flood automaticamente Publicado por: turco_7 en 6 Julio 2011, 09:33 am No creo que compren VPN solamente para flood...
Yo tengo el mismo problema con un server de un cliente, y lo unico que se va ocurrido ha sido trackear las ip atacantes e ir agregandolas al iptable, pero estoy seguro que no es lo mas optimo. He instalado el mod_evasive pero no pasa nada, pareciera algo he configurado mal, de todas formas voy a seguir revisando eso .. Otra cosa que me llamo la atencion, me atacan de mas de 200 ips diferente, nose como lo hacen, pero si se que cuando bloqueo estas 200 ips, aparecen nuevas ips, la verdad que esto ya me esta rompiendo un poco la cabeza... A alguien se le ocurre algo ? he seguido el tutorial del link pero no puedo resolverlo ... Saludos! Título: Re: Banear ip que hace flood automaticamente Publicado por: el-brujo en 6 Julio 2011, 10:05 am Con el mod_evasive pues añadir automáticamente las ips que floodean:
Código: DOSSystemCommand "/sbin/iptables -I INPUT -s %s -j DROP" O guardarlas en un fichero para luego añadiras al iptables: Código: DOSSystemCommand "echo -A INPUT -s %s -j DROP >> /home//user/logs/evasive-iptables.txt" Citar Otra cosa que me llamo la atencion, me atacan de mas de 200 ips diferente, nose como lo hacen, pero si se que cuando bloqueo estas 200 ips, aparecen nuevas ips, la verdad que esto ya me esta rompiendo un poco la cabeza... Si usan una botnet o van infectando ordenadores, es normal que aparezcan nuevas ips (de nuevos infectados) y además muchos suelen tener ip's dinámicas con lo que cuando crees que los has baneado a todos aparecen de nuevos..... y no todos atacan a la vez, soalmente cuando prenden el ordenador te atacan, mientras están off-line nada.... es uno de los problemas más comunes de un ataque DDoS. |