Cómo para ataques DDoS en Linux

[Guia] Parando ataques DDoS en linux servers

Realizada Por: Ichi

Índice
1 – Saber qué és un ataque DDoS
2 – Saber cómo detectarlo
3 – Instalación de la herramienta DDoS Deflate
4 – FAQs

1 :: Saber qué és un ataque DDoS

Un ataque DDOS (Distributed Denial Of Service Attack) o Ataque de Denegación de Servicio Distribuido es un tipo especial de DoS consistente en la realización de un ataque conjunto y coordinado entre varios equipos (que pueden ser cientos o decenas de miles) hacia un servidor víctima.

La particularidad de este ataque, a diferencia del simple DoS, es el hecho de que el ataque proviene de diferentes partes del mundo, haciendo imposible cerrar la ruta de donde proviene el mismo, ya que no sólo es una, sino varias, dejando como única opción desconectar el servidor de la red y esperar a que el ataque cese.

Normalmente los ataques se llevan a cabo por varias oleadas. Pueden durar un par de minutos o incluso días, como ha sucedido en casos reales. Esto es posible gracias a un cierto tipo de malware que permite obtener el control de esas máquinas y que un atacante ha instalado previamente en ellas, bien por intrusión directa o mediante algún gusano. Los DDoS consiguen su objetivo gracias a que agotan el ancho de banda de la víctima y sobrepasan la capacidad de procesamiento de los routers, consiguiendo que los servicios ofrecidos por la máquina atacada no puedan ser ofrecidos.

A consecuencia de esto, generalmente el servidor queda fuera de servicio voluntariamente por los administradores y proveedores, debido al alto gasto de recursos y ancho de banda.

A las máquinas infectadas por el malware mencionado anteriormente se las conoce como máquinas zombie, y al conjunto de todas las que están a disposición de un atacante se le conoce como botnet.

2 :: Cómo detectarlo

Simple, tcpdump, con ésta herramienta podemos ver rápidamente si nos están atacando.

Aquí podemos ver perfectamente como estamos haciendo ping y con el comando siguiente nos muestra la IP y demás 🙂

tcpdump -n

3 :: Instalación de la herramienta DDoS Deflate

És muy simple, aremos lo siguiente.

wget https://www.inetbase.com/scripts/ddos/install.sh

Con eso bajaremos el paquete instalador de DDoS Deflate (así como los programas de Windows)

chmod 0700 install.sh

Ahora acabamos de darle permisos de Ejecución (osease que podremos ejecutarlo como si fuera un script normal)

Y ahora como Root o super usuario hacemos lo siguiente

./install.sh

Así nos bajará e instalará los archivos necesarios para que funcione correctamente nuestra herramienta.

Ahora lo configuraremos según nuestras preferencias, pero por default debe venir semejante a ésto.

PROGDIR=”/usr/local/ddos”
PROG=”/usr/local/ddos/ddos.sh”
IGNORE_IP_LIST=”/usr/local/ddos/ignore.ip.list”
CRON=”/etc/cron.d/ddos.cron”
APF=”/etc/apf/apf”
IPT=”/sbin/iptables”

Posteriormente, tendremos que adecuar las opciones restantes según la naturaleza de la situación en la que estemos inmersos:

FREQ=1
# Frecuencia en minutos en la que el script sera ejecutado

NO_OF_CONNECTIONS=150
# Número de conexiones para proceder a banear una supuesta IP atacante

APF_BAN=1
# 1 indica que DDoS Deflate usara APF para banear, 0 llama directamente a Iptables

* Es necesario APF 0.96 como minimo si queremos activar el baneo por APF

BAN_PERIOD=600

# Tiempo durante el cual el atacante estará baneado. En segundos

EMAIL_TO=”root”

# Dirección a la cual se enviara un correo cuando alguien sea baneado

KILL=1

# Con la opción en 0, los atacantes no seran baneados. 1 esta activo por defecto

Éste código pertenece al archivo ddos.conf en la carpeta /usr/local/ddos

Y mas o menos ésto sería todo :3

:: FAQs ::

-Aún sigo sin entender que és un ataque DDoS y que hace de malo
Un ataque DDoS és un ataque cuya función és cortar la comunicación o en sí tirar el servidor para decirlo más coloquialmente.

-No se me instala el DDoS Deflate
Eso es que no has ejecutado el install.sh en modo root

Y bien, hasta aquí todo, espero que la guia les haya agradado y sea de su ayuda.
Saludos