Saludos: El 09/11/15 a las 01:28, Maykel Franco escribió: > Buenas, siempre me he preguntado si existe alguna forma "efectiva" > protegerse de un ataque DDoS, además de usar fail2ban. > > Se os ocurre algo? Me gustaría meter algo más de seguridad en nuestros > servicios web. > > Gracias de antemano. > Yo uso modevasive. Este módulo de Apache devuelve un error 403 cuando se sobrepasa los N intentos durante X segundos de una misma IP. # apt-cache search evasive libapache2-mod-evasive - evasive module to minimize HTTP DoS or brute force attacks Y aca la config del módulo de Apache: [root@nemesis/etc/apache2/conf-available]# vim modevasive.conf # DOSHashTableSize - Cuanto mas grande sea el tamanyo de la tabla de hash, # mas memoria requerira, pero el rastreo de IP's sera mas rapido. Es util # aumentar su tamanyo si nuestro servidor recibe una gran cantidad de # peticiones, pero asi mismo la memoria del servidor debera ser tambien mayor. DOSHashTableSize 3097 # DOSPageCount - Numero de peticiones a una misma pagina para que una IP sea # anyadida a la lista de bloqueo, dentro del intervalo de bloqueo en segundos # especificado en el parametro DOSPageInterval #DOSPageCount 2 DOSPageCount 4 # DOSSiteCount - Igual que DOSPageCount, pero corresponde al numero de # peticiones al sitio en general, usa el intervalo de segundos especificado en # DOSSiteInterval. #DOSSiteCount 50 DOSSiteCount 100 # DOSPageInterval - Intervalo en segundos para el parametro umbral de # DOSPageCount. DOSPageInterval 1 # DOSSiteInterval - Intervalo en segundos para el parametro umbral de # DOSSiteCount. DOSSiteInterval 1 # DOSBlockingPeriod - Periodo de bloqueo para una IP si se supera alguno de # los umbrales anteriores. El usuario recibira un error4 03 (Forbidden) cuando # sea bloqueado, si el atacante lo sigue intentando, este contador se reseteara # automaticamente, haciendo que siga mas tiempo bloqueada la IP. DOSBlockingPeriod 600 # DOSEmailNotify - Direccion de correo electronico que recibira informacion # sobre los ataques. DOSEmailNotify me@mail.net # DOSSystemCommand - El comando reflejado se ejecutara cuando una direccion IP # quede bloqueada. Se hace muy util en llamadas a herramientas de filtrado o # firewalls. Usaremos %s para especificar la direccion IP implicada # Bloquear puerto 80 para la IP bloqueada. DOSSystemCommand "/sbin/iptables -I INPUT -p tcp --dport 80 -s %s -j DROP" # Bloquear todo el servidor para la IP bloqueada. DOSSystemCommand "/sbin/iptables -A INPUT -s %s -j DROP" # Crear log de IP's bloqueadas. DOSSystemCommand "echo %s >> /var/log/apache2/dos-evasive.log" # DOSWhitelist - La direccion IP indicada como valor del parametro no sera # tenida en cuenta por el modulo en ningun caso. #GoogleBot DOSWhitelist 66.249.65.* DOSWhitelist 66.249.66.* -- Alfonso <alfonso@gnuino.net>
Attachment:
signature.asc
Description: OpenPGP digital signature