Autor
Pocas veces he publicado en el foro y eso que llevo registrado desde hace años, lo que quería comentaros es un problema que sufro en mi servidor dedicado desde el día 12 de julio, nos hemos visto envueltos en un ataque DDoS que no tiene fin, el ataque ha empezado el día 12 de julio.
He intentado poner medios para parar el ataque, tanto seguir la guía de documentación para parar DDoS de el-brujo, instalando APF, configurando reglas restrictivas en IPTables y nada... no hay fin para el ataque. Definitivamente se trata de un bot zombie, el problema es que aunque haya limitado la lista de entrada se ha saturado sin distinguir cual es el tráfico legítimo del que no lo es.
He estado revisando el syslog y siempre que sufrimos un ataque dejan los mismos patrones:
Código:
Jul 23 07:52:34 ns5001xxx kernel: UDP: bad checksum. From 113.105.13.196:53 to ip_de_mi_dedicado:20862 ulen 4006
Jul 23 07:52:34 ns5001xxx kernel: UDP: bad checksum. From 100.2.207.131:53 to ip_de_mi_dedicado:2024 ulen 4006
Jul 23 07:52:34 ns5001xxx kernel: UDP: bad checksum. From 113.105.13.196:53 to ip_de_mi_dedicado:1812 ulen 4006
Jul 23 07:52:35 ns5001xxx kernel: UDP: bad checksum. From 71.178.251.101:53 to ip_de_mi_dedicado:48847 ulen 4006
Jul 23 07:52:35 ns5001xxx kernel: UDP: bad checksum. From 71.178.251.101:53 to ip_de_mi_dedicado:22149 ulen 4006
Jul 23 07:52:35 ns5001xxx kernel: UDP: bad checksum. From 71.178.251.102:53 to ip_de_mi_dedicado:53469 ulen 4006
Jul 23 07:52:35 ns5001xxx kernel: UDP: bad checksum. From 59.108.111.41:53 to ip_de_mi_dedicado:59302 ulen 4006
Jul 23 07:52:35 ns5001xxx kernel: UDP: bad checksum. From 59.108.111.41:53 to ip_de_mi_dedicado:40044 ulen 4006
Jul 23 07:52:35 ns5001xxx kernel: UDP: bad checksum. From 190.26.211.212:53 to ip_de_mi_dedicado:54572 ulen 4006
Jul 23 07:52:35 ns5001xxx kernel: UDP: bad checksum. From 71.178.251.101:53 to ip_de_mi_dedicado:10312 ulen 4006
Hemos cerrado el puerto 53 ya que no necesitamos para nada solicitudes de DNS, el problema es que no hay quién pare el ataque, nos saturan el ancho de banda del servidor dedicado que actualmente tenemos contratado en 1GB.
Dejo un gráfico para que veáis como suelen ser los ataques:
Cuando puedo acceder al SSH (muchas veces en medio del ataque es imposible entrar por terminal) soy capaz de bloquear las IPs que veo en el syslog y el ataque se detiene durante unos minutos, he pensado en bloquear con algún script este ataque mediante los patrones que sigue, tipo que el ulen es siempre 4006, algún patrón de IPs, que el puerto siempre es 53 y algún puerto aleatorio... pero la verdad es que no se como hacerlo.
El dedicado tiene instalado Debian, sería de gran ayuda cualquier comentario porque la verdad es que estoy cansado de estos ataques y hemos perdido muchas personas de la comunidad que aloja el dedicado por la interrupción del servicio.
En línea
