Ataque DDoS

Hola buenas tardes,

Me presento, soy nuevo en esta comunidad y vengo aqui a ver si me podéis ayudar un poco.

Dispongo de un servidor dedicado con una serie de dominios propios.

La situación comenzó a ponerse insostenible cuando hace un par de días noto que las webs dejan de cargar así por que sí ó incluso responden pero con mucha demora.

Lo primero que pensé es en que apache se habia caido a causa de una configuración corta.

Entré en los logs de apache y encontré esto:

CODE, HTML o PHP Insertado:

[error] server reached MaxClients setting, consider raising the MaxClients setting 

Así que amplié el número de conexiones de maxclients y varios parámetros del fichero httpd.conf así como el modulo prefork.c que es el que uso.

CODE, HTML o PHP Insertado:

<IfModule prefork.c>
StartServers      6
MinSpareServers    6
MaxSpareServers   25
ServerLimit      1000
MaxClients       900
MaxRequestsPerChild  4000
</IfModule>

Pero nada, tras reiniciar apache noté como volvía a suceder y aunque en el log de error de apache continuaba apareciendo el error [error] server reached MaxClients setting, consider raising the MaxClients setting noté que ya no era normal.

Así que analizando los logs de acceso doy con esto

CODE, HTML o PHP Insertado:

"GET proxyjudge1.proxyfire.net/fastenv HTTP/1.1" 404 280 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"

"GET tosunmail.com/proxyheader.php HTTP/1.1" 404 280 "-" "Mozilla/4.0 (compatible; 

GET mr179.com/proxyheader.php HTTP/1.1" 404 276 "-" "Mozilla/4.0

Así que sin saber realmente que es eso (estaba claro que algo normal no era) opté con que podría estar sufriendo un ataque de denegación de servicios.

Así que instalé en la máquina APF + BFD + DDoS Deflate y configuré DDoS Deflate para que me bloquease los ataques a partir de 100 peticiones y por iptables.

Al rato comienzo a notar como me empiezan a llegar emails de mi servidor con el siguiente contenido:

CODE, HTML o PHP Insertado:

Banned the following ip addresses on Thu Nov 10 12:00:01 CET 2011

144 with 144 connections

Cada 4-5 minutos.

Total que examinando las iptables me encuentro con que todas las ips son 0.0.*.*.

Por ejemplo:

CODE, HTML o PHP Insertado:

iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
DROP       all  --  0.0.0.222            anywhere
DROP       all  --  0.0.1.75             anywhere
.....

Así que nada, actualmente parece que el servidor httpd ha vuelto a un nivel de carga normal, pero no paran de llegarme emails de ips de ese rango bloqueadas.

Mi pregunta es... ¿Podría banear por iptables ese rango de ips? ¿Como? ¿Que otras medidas debería de tomar?

Un saludo y gracias

 

Si es un ataque ddos (no creo que sea tu caso) poca solución tienes porque aunque banees desde firewall, te sigue entrando tráfico hasta que te sature tu maquina, y cuando sature tu maquina, saturará el switch, y luego el router
(todo depende del tipo y del tamaño de ataque).

La única solución es tener más tráfico que la/s ip/s atacante/s por tanto sea ataque ddos o no, deberías contactar con tu proveedor que seguro que tiene mucho más tráfico que tu y que banee desde router, pero bueno eso suponiendo que sea un ataque tipo ddos que como ya te dije no creo que sea tu caso, contacta con tu proveedor e informale de lo que te pasa.

Has mirado las gráficas de consumo para ver cuantos mbits te estan metiendo.
Has mirado las conecsiones que se realizan a la maquina y que tráfico te estan metiendo?

Instala por ejemplo el iftop y mira un poco más encima el problema.

 

Hola

Haz intentado con reducir las connecciones apache por ejemplo con un Timeout 30 ?, para asi evitar esas saturaciones?.

Saludos.

 

Dependiendo el panel de control que uses, tienes que editar un archivo de configuracion diferente. Algunas veces aunque edites el archivo de apache principal no tiene efecto porque el panel usa otro, etc...

Saludos.