Detección Y Bloqueo De Ataques DdoS En Centos / Red Hat

Últimamente se hace cada vez más común encontrar sitios web más complejos y con mayor contenido. Para facilitar la creación y el mantenimiento de éstos, muchas empresas utilizan software web tales como WordPress, Drupal, OpenCart, etc. Sin embargo, estos sitios web son más susceptibles frente a ataques DdoS dado que consumen más recursos y utilizan bases de datos para alojar toda la información correspondiente al sitio web. Pero ¿qué pasaría si nuestro sitio web es frecuentemente atacado y nuestros clientes no pueden navegar en él debido a estos ataques? Debemos tomar acciones preventivas para detectar a tiempo estos ataques y bloquearlos de inmediato. Habrá ocasiones en las que estas acciones no serán suficientes y nos veremos obligados a hacer un rastreo manual del origen del ataque para poder bloquearlo. En este artículo les daremos algunos tips para tomar acciones preventivas y sugerencias de cómo detectar y bloquear manualmente un ataque DdoS.

ACCIONES PREVENTIVAS

  1. Firewall dinámico.- el cual será capaz de detectar y bloquear intentos de ataque antes de que estos logren ocasionar desastres en nuestro sitio web. Nuestra recomendación es utilizar el CSF Firewall.

    - http://configserver.com/cp/csf.html

    Más adelante estaremos publicando un artículo en donde detallaremos paso a paso el proceso de instalación y configuración del mismo.

  2. MPM Worker.- un módulo de multiprocesamiento para apache, el cual permitirá gestionar de manera más eficaz los procesos de apache.

    - http://httpd.apache.org/docs/2.2/mpm.html

    Más adelante estaremos publicando un artículo en donde detallaremos paso a paso el proceso de instalación y configuración del mismo.

  3. MySQL Query Caching.- el cual permitirá al DBMS (MySQL en este caso) alojar en memoria caché los queries utilizados con mayor frecuencia, acelerando así el proceso y reduciendo el uso de recursos.

    - http://dev.mysql.com/doc/refman/5.1/en/query-cache.html

    Más adelante estaremos publicando un artículo en donde detallaremos paso a paso el proceso de instalación y configuración del mismo.

DETECCIÓN Y BLOQUEO DE ATAQUES

  1. Conexiones de Red.- las cuales deben ser verificadas para asegurarnos de que estamos frente a un ataque DdoS. Para ello, utilizaremos el comando netstat desde el Shell de Linux.

    - netstat –tulpna

    Obtendremos una lista de todas las conexiones a nuestro servidor. Revisando dicha lista y basándonos en la cantidad de conexiones usuales podremos determinar si es que por alguna razón hay muchas más conexiones de lo usual. Si vemos que existe una gran cantidad de conexiones dirigidas a la dirección IP de nuestro sitio web a través del puerto 80, podemos concluir que un ataque DdoS está llevándose a cabo. Debemos determinar los orígenes que generan mayor cantidad de conexiones. Utilizaremos el comando netstat de nuevo para obtener estos orígenes.

    - netstat -an | grep :80 | sort

    Utiliza la lista mostrada para obtener las direcciones IP que más se repiten.

  2. Bloqueo de IP.- una vez obtenida la lista de IPs, empezaremos a bloquearlas una por una. Asumiendo que se está utilizando el CSF Firewall recomendado líneas arriba, usemos el siguiente comando:

    - csf –d <IP> Ejemplo: csf –d 190.22.14.175

    Debemos ejecutar el comando por cada IP que hayamos detectado. Adicionalmente, si tenemos alguna duda sobre si el origen es legítimo o no, podemos utilizar la siguiente URL para detectar el país de origen. Probablemente encontremos que la IP es de China o cualquier otro país sospechoso.

    - http://ip2location.com/ (pegar la IP en el cuadro superior derecho)

  3. Reiniciar Apache.- por último para limpiar las conexiones existentes. Si obviamos esto, el bloqueo de las IPs realizado en el punto anterior no tendrá efecto inmediato. Debemos cerrar las conexiones actuales para evitar que éstas sigan saturando el servidor.

Siguiendo las recomendaciones y pasos en éste artículo ayudará a mejorar notablemente la resistencia de su sitio web ante una gran cantidad de ataques DdoS. Sin embargo, debe ser consiente de que habrán ocasiones en las que los ataques son de grado mucho más complejo. Para estos casos podemos aplicar las acciones de detección y bloqueo mencionados arriba. También es recomendable contar con un servicio que monitoree los sitios web ya que los ataques suelen ocurrir en horarios nocturnos e incluso en días feriados, cuando el atacante espera que el tiempo de respuesta sea menor. Estaremos publicando un artículo con sugerencias para este tipo de servicios.

Contamos con una amplia experiencia en el afinamiento de servidores windows y linux. Lo invitamos a revisar los alcances de nuestros servicio de Administración de Servidores.