1. ¡OFERTA! con cupón "DIRVPS": hosting por $0,01 y también VPS Linux y Windows por $0,01 el primer mes por Interserver ← publi
    Descartar aviso
Descartar aviso
Al usar este sitio web, aceptas que nosotros y nuestros socios podamos establecer cookies para fines tales como personalizar el contenido y la publicidad. Más información.

Ataques DDoS a un VPS

Tema en 'Servidores Dedicados' iniciado por AMateos, 24 Nov 2007.

  1. AMateos

    AMateos Súper Moderador Miembro del Staff Moderador CH

    Hola a todos,
    Llevamos una semana intentando detener un ataque DDoS a uno de nuestros clientes, al cual hemos migrado a un VPS para evitar que la caida afecte al resto de nuestros clientes.

    El tema es que he estado buscando soluciones, pero el ataque sigue tumbando el servidor cada vez que activamos el dominio.

    Mis escasos conocimientos de administración (Siempre trato el manejo de mis servidores con terceros) no me permiten adentrarme mucho en la configuración del VPS, y tampoco en el datacenter parecen dispuestos a ayudarme. Por lo que busco a alguien especializado en este tipo de ataques, y que sepa brindar una solución a mi problema, ya sea el servicio de webhosting en sí o la configuración del servidor.

    Como algunos de aquí os moveis mucho por el mercado estadounidense quizás sepais orientarme un poco en este tema, ya que mis conocimientos son nulos acerca de ello.

    Gracias, y espero vuestras respuestas.
     
  2.  
  3. Apolo

    Apolo Administrador Miembro del Staff Administrador CH

    ¿De qué tamaño es el ataque?

    ¿Tienes acceso a algún gráfico MRTG o similar?

    En la mayoría de los casos sólo hay dos opciones: apagar el servidor (o nullroute la dirección IP) o pagar un servicio especializado, entre US$1,000 y US$1,500.

    Para los casos más sencillos, con una colaboración del centro de datos y unas buenas reglas mod_dosevasive podría bastar.

    Saludos,
     
  4. ideasmultiples

    ideasmultiples Usuario activo

    Tienes algo instalado para evitarlo tipo APF que te de una protección básica?
    De que "tamaño es el ataque"?
    El ataque va dirgido a algún servicio especial?
     
  5. WebTech

    WebTech Súper Moderador Miembro del Staff Moderador CH

    Las configuraciones de mod_evasive y anti-dos de APF son para ataques de pequeño-mediano alcance, ya donde sea un ataque distribuido (DDOS) de tamaño grande será inefectivo. Te recomiendo usar DDOS Deflate (si el ataque va dirigido a Apache), es un script automatizado que banea conexiones en base a los resultados de netstat, pero que también, donde sea muy grande, será incontrolable.

    Manten el keepalive en off, y baja el maxclients a 256 como máximo, eso reducirá un poco el efecto del ataque también.
    Muchos DataCenters poseen soluciones para mitigar (no detener) este tipo de ataques, consulta con tu proveedor.

    Si son máquinas zombies, prueba apagar el servidor por 2-4 horas (ejemplo), luego vuelve a prenderlo, no lo verán más como respondiendo y tal vez no dirijan más sus ataques a tu host, lo hemos hecho en un par de ocasiones y funciona.

    Saludos,
     
  6. AMateos

    AMateos Súper Moderador Miembro del Staff Moderador CH

    El problema es que el datacenter se niega a mantener el dominio, ellos han intentado de todo con el ataque y no hay manera.

    Gracias por vuestros consejos, pero creo que tendré que buscar otra solución para mi cliente.

    ¿Conoceis alguna empresa especializada en dar servicios anti ataques DDoS?
     
  7. ideasmultiples

    ideasmultiples Usuario activo

    Que temática tiene el dominio? si puedes pon cual es, es posible que se pueda encontrar el motivo...
     
  8. Datacenter1

    Datacenter1 Usuario activo

    Si el Datacenter no puede con el ataque, nadie más podrá ayudarte. nadie quiere alojar dominios problemáticos, sin embargo es extraña la respuesta del Datacenter, especialmente en estos días que las vpn son la norma en casi cualquier datacenter.

    Dar de baja el dominio no es la solución, que harían si el atacante decide poner como objetivo el dominio principal del datacenter? también le darán de baja?

    Conozco un datacenter que por una cuota extra ponen tu servidor bajo su protección DDOS, sin embargo significa que deberás cambiar de proveedor y no se si es lo que quieres hacer, hay servicios especializados, pero nada que sea anti DDOS y sea realmente efectivo es barato.
     
    A raxp le gusta esto.
  9. AMateos

    AMateos Súper Moderador Miembro del Staff Moderador CH

    Gracias a ambos por vuestra rápida respuesta.

    ideasmultiples,
    Su temática a primera vista no me parece conflictiva, se trata de una web dedicada al "tunning" de móviles, firmwares, juegos... etc. El dueño sospecha de otra web dedicada a la misma temática, pero no hay pruebas concluyentes acerca de ello.

    Guillermo,
    Tampoco entiendo su respuesta, pero supongo que al ser un proveedor grande, no les importa perder unos dólares a cambio de ganar horas en soporte.

    No busco un servidor dedicado, me sirven VPS's, resellers y hasta una cuenta de hosting compartido. Pero necesito darle una solución a mi cliente.
     
  10. ideasmultiples

    ideasmultiples Usuario activo

    La forma de funcionar del anti DDOS de APF/BDF y DDOS Deflate son las mismas, ambos se basan en los resultados de netstat, BDF puede ser configurado y ajustar tanto los parámetros como conexiones/usuarios, esos si debes de modificar el cron para que se ejecute cada 1 o 2 minútos como máximo.

    De todas formas son ineficientes si el ataque es muy grande pero te pueden ayudar...
     
  11. adolfo

    adolfo Nuevo usuario

    No sé si un VPS es capaz de aguantar, filtrar y parar un ataque de ese tipo.

    Depediendo del tipo de ataque que sea quizás la única solución sea apagar el servidor hasta que cese el ataque.

    Ante ataques DDOS de envergadura muchas veces no te queda otra que apagar el servidor. La otra es que los sistemas de protección y el caudal del que dispongas aguanten hasta que cese el ataque. Y aunque aguanten, ¿está el cliente dispuesto a cubrir los costes que implica aguantar/detener/mitigar un ataque de este tipo? La respuesta es que pocas veces y la mayoría opta por preferir estar desactivado unos días a ver si hay suerte y "cesa".
     
  12. ideasmultiples

    ideasmultiples Usuario activo

    Efectivamente si es un ataque grande tienes que eliminarlo mediante dispositivos de hardware directamente en la red, si es hosting compartido hay que apagar el dominio inmediatamente para que no afecte a los demás si es una VPS dependerá del presupuesto y la importancia del cliente, pero realmente lo más práctico es apagar el sitio uno unas horas o si sólo es un servicio el afectado dirigirlo en el DNS al infinito....
     
  13. Telemaco

    Telemaco Nuevo usuario

    Buenas,

    casualmente yo he tenido hoy un caso asi con un dedicado, y al final tirando de una linea de script y usando iptables lo he estabilizado. Lo que no se si es del mismo tipo que el tuyo.
     
  14. WebTech

    WebTech Súper Moderador Miembro del Staff Moderador CH

    Telemaco,

    Bienvenido a Comunidad Hosting!

    Sobre tu consulta, creo que lo tuyo era un simple flooding o DOS, no un DDOS, hay una gran diferencia :-D.
    Un DDOS de mediano-gran tamañono se detiene con "una línea de script" (netstat o tcpdump con algún pipe) y baneando IPs una a una, se te acalambrarán los dedos :-D

    El caso de AMateos sólo se puede tratar de controlar por medio de hardware.

    Saludos,
     
  15. AMateos

    AMateos Súper Moderador Miembro del Staff Moderador CH

    Gracias a todos por estar tan atentos al tema.

    Efectivamente, esto se trata de un ataque DDoS. Por ahora, vamos a cambiar la web de plataforma, y vamos a esperar hasta nuevo aviso de ataques.

    Os contaré si finalmente consigo solucionarlo de alguna manera.

    Un saludo y gracias nuevamente
     
  16. Telemaco

    Telemaco Nuevo usuario

    Necesito parar esto :

    nf_conntrack: table full, dropping packet.
    printk: 97 messages suppressed.
    nf_conntrack: table full, dropping packet.
    printk: 131 messages suppressed.


    alguna idea ?
     
  17. WebTech

    WebTech Súper Moderador Miembro del Staff Moderador CH

    Tal vez te estén haciendo un SYN Flooding,

    Corre como root:
    CODE, HTML o PHP Insertado:
    sysctl -w net.ipv4.tcp_syncookies=1
    A su vez, agrega esto al archivo /etc/sysctl.conf
    CODE, HTML o PHP Insertado:
    net.ipv4.tcp_syncookies = 1
    Si eso no basta, para maximizar el valor de la tabla ip_conntrack, corre esto:
    CODE, HTML o PHP Insertado:
    echo "65535" > /proc/sys/net/ipv4/ip_conntrack_max
    Y ve vigilando si los mensajes siguen.

    Saludos,
     
  18. Telemaco

    Telemaco Nuevo usuario

    Hola.


    Eso ya lo tengo aplicado


    en mi caso

    cat /proc/sys/net/ipv4/netfilter/ip_conntrack_max
    65528


    Y esto sigue, he aplicado también valores que aparecen en
    http://www.eth0.us/node/104

    y parece que sigue igual.

    :(
     
  19. ideasmultiples

    ideasmultiples Usuario activo

    Tienes instalado APF firewall?
     
  20. Tomas

    Tomas Usuario activo

    Antonio, pues como sabras estos ataques son extremadamente dificiles de detener como nos paso una vez recuerdas? De todas maneras si necesitas ayuda contactame y vere que puedo hacer, pero en un VPS es mas dificil debido a las reglas y limites del mismo. el mod_deflate no va a hacer mucho tampoco si es un ataque a gran escala.

    Saludos, y suerte!!!
     
  21. WebTech

    WebTech Súper Moderador Miembro del Staff Moderador CH

    Cargas balanceadas en diferentes servidores, y buena ayuda de hardware creo que hoy por hoy es lo más cercano a poder mitigar este tipo de ataques.
    Claro, ya son varios servidores, el balanceador y por supuesto el hardware para mitigar este tipo de ataques, bastante caro y no accesible para todo el mundo.

    Saludos,
     


Alojamiento web, Hosting Reseller, Servidores Dedicados - All in Hosting


    
    
    
    
Blog · Sitios amigos: GuiaHosting · Unidominios · Interalta ·