¿Cómo rastrear un ataque DDOS en un servidor dedicado y bloquearlo?

Navega tus respuestas
9

Tengo un servidor dedicado y estoy hospedando un juego, y la página web (usando Apache) para registrar la cuenta.

El servidor se está duplicando desde hace 8 meses hasta hoy. He intentado hablar con el proveedor del servidor, pero no pudieron ayudarme.

Cuando el servidor está bajo ataque, el escritorio remoto está inactivo, al igual que el servidor web y la consola del servidor, y necesito hablar con el proveedor para que reinicie mi servidor.

¿Puedo agregar un programa o algo para rastrear la actividad e identificar el tipo de ataque (la fuente) y luego bloquearlo?

    
pregunta Jax 17.05.2012 - 17:47
fuente

5 respuestas

4

¿Estás seguro de que esto es un DDoS real? Durante un período de 8 meses, usted pensaría que los "atacantes" encontrarían algo mejor que hacer. ¿Implementaste una actualización en el juego alrededor de ese tiempo que hace que falle un procedimiento de autenticación o algo similar?

puede desactivar UDP según esta respuesta , sin embargo, tenga en cuenta la advertencia del respondedor

  

"NUNCA he encontrado una situación en la que apagar UDP fue una buena idea. Parece que estás tratando de asegurar tu sistema apagando las cosas al azar, sin entender lo que estás haciendo o cómo funciona la seguridad. Por favor, no. "

    
respondido por el KDEx 17.05.2012 - 22:51
fuente
3

¡Los ataques DDOS casi siempre vienen de diferentes máquinas en todo el mundo! Por lo tanto, es mejor usar un servicio como Cloudflare o Firewall , que comprueban los navegadores antes de acceder a su servidor ...

Por lo tanto, ¡es mejor evitar que se realice la DDOS de esta manera, en lugar de verificar qué fuentes lo causaron!

¡Espero haberte ayudado!

    
respondido por el ant0nisk 17.06.2012 - 11:17
fuente
0

El bloqueo del tráfico en el servidor generalmente no solucionará un problema DDoS; Necesitas bloquear el tráfico corriente arriba. Si el tráfico DDoS tiene el mismo aspecto que el tráfico legítimo, entonces necesitarás superar el ataque moviendo tu sistema a la nube (o alguna otra medida). Si el tráfico DDoS se ve diferente (puerto diferente, direcciones de origen específicas), puede pedirle a su proveedor de servicios que le permita bloquear el tráfico.

¿Cómo se ve realmente el tráfico? ¿Has mirado?

No bloquee todos los UDP; eso no es inteligente DNS utiliza UDP.

    
respondido por el Steven Alexander 26.06.2012 - 02:15
fuente
0

Si está ejecutando un servidor basado en Linux, puede ayudar a prevenir ataques de DDOS con iptables: 

-I INPUT -p TCP -m state --state NEW -m limit --limit 30/minute --limit-burst 5 -j ACCEPT
-I INPUT -p udp -m state --state NEW -m limit --limit 30/minute --limit-burst 5 -j ACCEPT

Agrega las reglas anteriores a /etc/iptables.up.rules

    
respondido por el mrdo562000 27.09.2013 - 06:44
fuente
-4

puede utilizar el concepto de limitación de ancho de banda y limitación según cómo lo vaya a administrar.

La limitación del ancho de banda significa que restringirá al servidor la cantidad de datos que aceptará. hay un proyecto en google enlace este concepto utilizado por isp's para superar el bloqueo del servidor o la sobrecarga

La limitación tiene un significado opuesto, en este caso usarás el ancho de banda cuando esté disponible. Estos dos métodos solo evitan el bloqueo del servidor.

Para rastrear y prevenir DDOS, debe verificar los registros del servidor, es decir, si está obteniendo más solicitudes web, entonces verifique su registro de Apache. A partir de ahí obtendrá alguna pista, pero en este caso habrá un falso positivo.

La mejor manera es endurecer tu sistema operativo.

    
respondido por el P4cK3tHuNt3R 13.05.2013 - 07:07
fuente

Lea otras preguntas en las etiquetas

Drupal filtra XSS con expresiones regulares. ¿Qué podría evitarlo? Cómo lograr un SSO sin interrupciones sin que el usuario vuelva a iniciar sesión (SAML 2.0 y ADFS mediante OpenSSO)