¿Hay algún método para prevenir / rastrear el ataque DDoS?

Navega tus respuestas
4

Tengo un servidor Debian Linux que ejecuta algunos servicios de juegos en línea. Tengo algunos competidores en esta área y creo que uno de ellos está detrás de los ataques DDoS.

Tengo acceso completo al enrutador, así que establezco algunas reglas de conexión en Winbox que pueden detectar y eliminar las direcciones IP DDoSer, pero creo que no es la mejor manera de evitar un ataque.

Estas son algunas direcciones IP de origen (todas del puerto 53)

  • 38.111.134.26
    41.78.27.213
    66.232.92.39
    66.232.92.43
    66.243.192.11
    67.43.55.110
    67.43.55.111
    67.50.161.103
    67.59.80.28
    67.118.192.2
    69.27.136.10
    69.27.136.12
    69.27.211.200
    69.31.186.27
    74.114.48.151
    116.199.220.101
    203.87.92.4
    203.161.128.249
    203.161.159.10
    206.51.97.91
    206.158.2.91
    209.240.96.6

¿Hay algún método para prevenir o rastrear un ataque DDoS?

    
pregunta tomas 23.01.2015 - 15:20
fuente

3 respuestas

4

No: no hay una manera útil de rastrear la fuente de dicho ataque. Un DDoS provendrá de cientos o miles de máquinas, probablemente en varios países, y probablemente todas, sin saberlo, víctimas de un atacante.

Pero sí, puedes prevenir tal ataque. Tienes 3 soluciones posibles:

  • Cambia las direcciones IP, para que ya no seas el objetivo.
  • Compre más ancho de banda para que su tubería sea más grande que el ancho de banda total dirigido a usted.
  • Compre los servicios de un proveedor de mitigación DDoS.
respondido por el Rory Alsop 18.08.2016 - 15:50
fuente
2

No será eficiente en la búsqueda de las direcciones de fuentes IP de una botnet en movimiento. Pueden cambiar rápidamente, y al usar udp ni siquiera necesitan ser los correctos.

Supongo que cuando el puerto de origen es 53 / udp, el puerto de destino no es 53 / udp. Pero esto está oculto a propósito en su captura de pantalla.

También supondré que no está ejecutando su propio DNS servidor y están utilizando uno de su proveedor.

Sugiero usar un filtro más eficiente para superar a su atacante en este caso. Simplemente ingrese la siguiente regla en su enrutador: 

# just let pass the legitimate 53/udp traffic
permit udp ••my_official_DNS_servers•• port 53 ••my_server_IP_address•• port 53
# deny anything else which is error or attack
deny udp any any port 53
deny udp any port 53 any

Y si su enrutador lo administra, desactive el enrutamiento de origen.

    
respondido por el daniel Azuelos 18.08.2016 - 16:15
fuente
0

Estas IP probablemente están falsificadas como señala el usuario 42178.

Probablemente sea un " Ataque de amplificación de DNS " que se usó para DDoS. Puede ver que los IP dicen que 116.199.220.101 son servidores DNS.

Creo que una regla de Firewall sugerida por daniel Azuelos que elimina todos los paquetes UDP con el puerto de origen 53, con la excepción de sus servidores DNS oficiales (IP estática como 8.8.8.8/8.8.4.4) servirá de ayuda. p>

Sin embargo, necesitas obtener más ancho de banda. Esta solución solo le ayuda a guardar los recursos de su servidor. También puede hablar con su ISP para bloquear el tráfico en su infraestructura y guardar su ancho de banda.

    
respondido por el Sravan 18.08.2016 - 16:59
fuente

Lea otras preguntas en las etiquetas

¿Cómo protegerse contra virus que toman archivos como rehenes al encriptarlos? Corporativo PKI - SHA1 depreciación