[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: ataques denegacion de servicio

Mario Gonzalez escribió:

  Hola, en primer lugar, el PC que defiendes con iptables es un servidor
muy concurrido o solo es una estacion de trabajo??   No se de donde eres
pero esas ip me parecen conocidas. Yo soy de Chile.

El sáb, 20-11-2004 a las 09:26 +0100, Alonso Gomez escribió:


Hola a tod@s, tengo un gran problema al parece me estan haciendo ataques
de denegación de servicio y me deja la red totalmente colapsada ya no se
que hacer haber si alguien me puede ayudar.

Esto me sale en el syslog:

kernel: NET: 1064 messages suppressed.
ip_conntrack: table full, dropping packet.

Asi muchos logs.

Esto me sale en los logs de apache:

200.83.206.61 - - [20/Nov/2004:09:21:12 +0100] "GET / HTTP/1.1" 503 398
200.83.206.61 - - [20/Nov/2004:09:21:12 +0100] "GET / HTTP/1.1" 503 398
200.86.219.80 - - [20/Nov/2004:09:21:12 +0100] "GET / HTTP/1.1" 503 398
200.83.206.61 - - [20/Nov/2004:09:21:12 +0100] "GET / HTTP/1.1" 200 12
200.112.102.252 - - [20/Nov/2004:09:21:12 +0100] "GET / HTTP/1.1" 503398
200.86.219.80 - - [20/Nov/2004:09:21:13 +0100] "GET / HTTP/1.1" 503 398
200.83.206.61 - - [20/Nov/2004:09:21:13 +0100] "GET / HTTP/1.1" 503 398
200.83.161.87 - - [20/Nov/2004:09:21:13 +0100] "GET / HTTP/1.1" 503 398
200.104.54.3 - - [20/Nov/2004:09:21:13 +0100] "GET / HTTP/1.1" 503 398
200.83.206.61 - - [20/Nov/2004:09:21:13 +0100] "GET / HTTP/1.1" 503 398
200.120.87.232 - - [20/Nov/2004:09:21:13 +0100] "GET / HTTP/1.1" 503 398
200.90.210.62 - - [20/Nov/2004:09:21:13 +0100] "GET / HTTP/1.1" 503 398
200.83.206.61 - - [20/Nov/2004:09:21:13 +0100] "GET / HTTP/1.1" 503 398
200.86.219.80 - - [20/Nov/2004:09:21:13 +0100] "GET / HTTP/1.1" 503 398
200.112.102.252 - - [20/Nov/2004:09:21:13 +0100] "GET / HTTP/1.1" 503
398
200.90.210.62 - - [20/Nov/2004:09:21:13 +0100] "GET / HTTP/1.1" 503 398
200.83.206.61 - - [20/Nov/2004:09:21:13 +0100] "GET / HTTP/1.1" 503 398
200.83.206.61 - - [20/Nov/2004:09:21:13 +0100] "GET / HTTP/1.1" 503 398
200.83.206.61 - - [20/Nov/2004:09:21:13 +0100] "GET / HTTP/1.1" 503 398
200.83.161.87 - - [20/Nov/2004:09:21:13 +0100] "GET / HTTP/1.1" 503 398
200.86.252.171 - - [20/Nov/2004:09:21:13 +0100] "GET / HTTP/1.1" 503 398
200.104.54.3 - - [20/Nov/2004:09:21:13 +0100] "GET / HTTP/1.1" 503 398

He intentado ir cerrando estas ips pero nada me van saliendo otras
distintas.

En el iptables tengo las siguientes reglas:

iptables -t filter -A INPUT -p tcp --syn -m limit --limit 1/s -i eth0 -j
ACCEPT
iptables -t filter -A INPUT -p icmp --icmp-type echo-request -m limit --
limit 1/s -i eth0 -j ACCEPT
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
iptables -A INPUT -p tcp  --dport www -m limit --limit 1/second -j
REJECT

Gracias por anticipado y saludos.
Si vas a www.lacnic.net y pones la IP 200.83.206.61 en el campo WHOIS, obtienes esta informacion, si de algo te sirve. 

inetnum:     200.83/16
status:      allocated
owner:       VTR BANDA ANCHA S.A.
ownerid:     CL-VPNS-LACNIC
responsible: Italo Sambuceti
address:     Reyes Lavalle, 3340, 4th floor
address:     6760335 - Santiago -
country:     CL
phone:       +56 02 3101502 []
owner-c:     ISO
tech-c:      ISO
inetrev:     200.83/16
nserver:     NS00.VTR.NET
nsstat:      20041120 UDN
nslastaa:    20020830
nserver:     NS01.VTR.NET
nsstat:      20041120 UDN
nslastaa:    20020830
remarks:     ADDRESSES WITHIN THIS BLOCK ARE NON-PORTABLE
created:     20011213
changed:     20020627

nic-hdl:     ISO
person:      Italo Sambuceti Oyarzún
e-mail:      isambuce@VTR.CL
address:     Reyes Lavalle, 3340, 4 th floor
address:     676-0335 - Santiago -
country:     CL
phone:       +56 02 3101609 []
created:     20020906
changed:     20021122



--
Francisco
Reply to: