Foro de elhacker.net

Buenas, hace unos días, he estado sufriendo ataques, que tiene un intervalo de 10 minutos, repetitivo, con esto quiero decir que, pasan 10 minutos, empieza el ataque, después de otros 10 minutos, empieza otro, el cual satura mi conexión durante 1-2 minutos.

Los ataques, van dirigidos a un dedicado(El cual es fácil saber su ip para llevar los ataques), al principio, pensé que era DOS o DDOS, pero no, ya que todos los firewall que he usado no detectaban NADA, incluyendo los logs del apache, etc, además de que pesar de tener el apache off, el firewall con ningún derecho de acceso, los ataques siguen, por lo que pude deducir que se puede tratar de ARP Spoofing, probé con varios software como anti arp spoofing, XArp(detecta pero no sirve de nada), el firewall de outpoust, pero nada, aunque este último (outpost, detecta ataques DOS, y otros y aún así no logra detenerlos)

Pero de lo que estoy seguro es que el atacante, utiliza backtrack, conseguí sacar esa información después de una charla con el, ya que el quiere un trato.

La persona que me ayude a detener este ataque, no me importaría recompensarla, dinero, lo que sea, pero por favor, necesito ayuda.

SO : Windows Server 2008 R2 Standard x64

Amigo, no haz mencionado que SO usa el dedicado

Perdonen, Windows Server 2008 R2 Standard x64

Podrías mitigarlo con el método de espejos, redireccionando a este a localhost  :silbar:

¿qué firewalls has usado?

¿Qué versión del apache usas?

¿Entiendo que es un ataque al puerto 80?

Podría ser un syn-flood, no queda rastro en los logs del Apache.

¿Monitorizas el tráfico de red con mrtg o similares?

Tendrás que usar un analizador de tráfico de red para monitorizar todo el tráfico y ver el tipo de ataque, si usa algún patrón o no.

¿qué firewalls has usado?
Outpost Pro
Firewall de windows con ningiún derecho, ninguna conexión permitida.

Otros pensando que era DOS:
Kiwi guard firewall
Anti DDOS guardian

Otros pensando que era Spoofing
Xarp
Cure arp protector
Anti arp spoofing

¿Qué versión del apache usas?
2.2.22
Aunque no creo que vaya dirigido a este último, si no directamente a la red, ya que aún teniéndolo desactivado, siguen los ataques.

¿Entiendo que es un ataque al puerto 80?
No lo sé, aunque un syn-flood no creo que tenga efecto teniendo el apache apagado.

¿Monitorizas el tráfico de red con mrtg o similares?

No

Buggcon, podría ser un poco más claro? Teniendo en cuenta que los ataques  posiblemente vayan dirigidos directamente a la red.

Mira este post, seguro que te servira http://kekomundo.com/foro/index.php?topic=294286.0 


Cualquier cosa avisa

Gracias por su respuesta amigo, lo he visto y es bastante interesante, pero tiene bastantes problemas de incompatibilidad con mi SO, ya que nada más lanzarlo, me sale ..exe ha dejado de funcionar y debe cerrarse, pero aún así sigue la instalación, con múltiples errores, pero se completa. Al terminar la instalación y querer configurarlo, por cada configuración que le pongo, me sale un mensaje de error del driver que no ha podido iniciarse, por lo que supongo que no funcionará bien el firewall o no funcionará..

Lo he confirmado, se trata de ataques SYN Flood muy potentes que saturan por completo la red.
Si tenéis una solución, por favor, os estaría agradecido, además de una pequeña recompensa, si la queréis.

PD: He tecleado un poco en google y he utilizado los .reg, pero no me han ayudado en nada.

Buenas

todo eso lo puedes solucionar cambiando tus dns a cloudfare:

http://www.cloudflare.com/

filtran y deniegan esos ataques que puedes tener, sobre todo ddos

espero que te sirva

chaoo