Ataques DDoS a un VPS

Hola a todos,
Llevamos una semana intentando detener un ataque DDoS a uno de nuestros clientes, al cual hemos migrado a un VPS para evitar que la caida afecte al resto de nuestros clientes.

El tema es que he estado buscando soluciones, pero el ataque sigue tumbando el servidor cada vez que activamos el dominio.

Mis escasos conocimientos de administración (Siempre trato el manejo de mis servidores con terceros) no me permiten adentrarme mucho en la configuración del VPS, y tampoco en el datacenter parecen dispuestos a ayudarme. Por lo que busco a alguien especializado en este tipo de ataques, y que sepa brindar una solución a mi problema, ya sea el servicio de webhosting en sí o la configuración del servidor.

Como algunos de aquí os moveis mucho por el mercado estadounidense quizás sepais orientarme un poco en este tema, ya que mis conocimientos son nulos acerca de ello.

Gracias, y espero vuestras respuestas.

 

¿De qué tamaño es el ataque?

¿Tienes acceso a algún gráfico MRTG o similar?

En la mayoría de los casos sólo hay dos opciones: apagar el servidor (o nullroute la dirección IP) o pagar un servicio especializado, entre US$1,000 y US$1,500.

Para los casos más sencillos, con una colaboración del centro de datos y unas buenas reglas mod_dosevasive podría bastar.

Saludos,

 

Las configuraciones de mod_evasive y anti-dos de APF son para ataques de pequeño-mediano alcance, ya donde sea un ataque distribuido (DDOS) de tamaño grande será inefectivo. Te recomiendo usar DDOS Deflate (si el ataque va dirigido a Apache), es un script automatizado que banea conexiones en base a los resultados de netstat, pero que también, donde sea muy grande, será incontrolable.

Manten el keepalive en off, y baja el maxclients a 256 como máximo, eso reducirá un poco el efecto del ataque también.
Muchos DataCenters poseen soluciones para mitigar (no detener) este tipo de ataques, consulta con tu proveedor.

Si son máquinas zombies, prueba apagar el servidor por 2-4 horas (ejemplo), luego vuelve a prenderlo, no lo verán más como respondiendo y tal vez no dirijan más sus ataques a tu host, lo hemos hecho en un par de ocasiones y funciona.

Saludos,

 

El problema es que el datacenter se niega a mantener el dominio, ellos han intentado de todo con el ataque y no hay manera.

Gracias por vuestros consejos, pero creo que tendré que buscar otra solución para mi cliente.

¿Conoceis alguna empresa especializada en dar servicios anti ataques DDoS?

 

Gracias a ambos por vuestra rápida respuesta.

ideasmultiples,
Su temática a primera vista no me parece conflictiva, se trata de una web dedicada al "tunning" de móviles, firmwares, juegos... etc. El dueño sospecha de otra web dedicada a la misma temática, pero no hay pruebas concluyentes acerca de ello.

Guillermo,
Tampoco entiendo su respuesta, pero supongo que al ser un proveedor grande, no les importa perder unos dólares a cambio de ganar horas en soporte.

No busco un servidor dedicado, me sirven VPS's, resellers y hasta una cuenta de hosting compartido. Pero necesito darle una solución a mi cliente.

 

Telemaco,

Bienvenido a Comunidad Hosting!

Sobre tu consulta, creo que lo tuyo era un simple flooding o DOS, no un DDOS, hay una gran diferencia .
Un DDOS de mediano-gran tamañono se detiene con "una línea de script" (netstat o tcpdump con algún pipe) y baneando IPs una a una, se te acalambrarán los dedos

El caso de AMateos sólo se puede tratar de controlar por medio de hardware.

Saludos,

 

Gracias a todos por estar tan atentos al tema.

Efectivamente, esto se trata de un ataque DDoS. Por ahora, vamos a cambiar la web de plataforma, y vamos a esperar hasta nuevo aviso de ataques.

Os contaré si finalmente consigo solucionarlo de alguna manera.

Un saludo y gracias nuevamente

 

Tal vez te estén haciendo un SYN Flooding,

Corre como root:

CODE, HTML o PHP Insertado:

sysctl -w net.ipv4.tcp_syncookies=1

A su vez, agrega esto al archivo /etc/sysctl.conf

CODE, HTML o PHP Insertado:

net.ipv4.tcp_syncookies = 1

Si eso no basta, para maximizar el valor de la tabla ip_conntrack, corre esto:

CODE, HTML o PHP Insertado:

echo "65535" > /proc/sys/net/ipv4/ip_conntrack_max

Y ve vigilando si los mensajes siguen.

Saludos,

 

Cargas balanceadas en diferentes servidores, y buena ayuda de hardware creo que hoy por hoy es lo más cercano a poder mitigar este tipo de ataques.
Claro, ya son varios servidores, el balanceador y por supuesto el hardware para mitigar este tipo de ataques, bastante caro y no accesible para todo el mundo.

Saludos,