LINUX

¿Qué es el ataque DDOS en Linux y cómo prevenirlo?

Distributed Denial Of Service (DDOS) es un intento de atacar a un host (víctima) desde múltiples máquinas comprometidas a varias redes. Como resultado, el servicio objetivo que se ejecuta en la víctima se inundará con las conexiones de las redes comprometidas y no podrá manejarlo. Esto se logra instalando un virus o un troyano en máquinas vulnerables en una red que se utilizará para atacar el sistema de la víctima con inundaciones de conexión.

El ataque DDOS involucra a 3 partes: atacante, ayudante y víctima. Aquí, el atacante es el sistema propietario del ataque DDOS, pero participa silenciosamente haciendo que los ayudantes sean participantes activos. El atacante encontrará las máquinas vulnerables en una red e instalará el virus / troyano en ella. Usando estas máquinas / redes comprometidas, atacará a la víctima. Debido a este comportamiento coordinado, el ataque DDOS también se conoce como ataque coordinado.

¿Cómo detectar un ataque DDOS?

En la mayoría de los casos, los servidores web son los (Apache) que sufren el ataque DDOS. Debido al ataque DDOS, es posible que encuentre una gran carga en el servidor y los sitios se ejecutarán muy lentamente o no responderán. Durante el ataque DDOS, podrá ver una gran cantidad de conexiones desde varias direcciones IP de redes iguales o diferentes. Puede verificar el número de conexiones Apache por dirección IP usando el siguiente comando:

netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort –n

Si ve un número muy alto de conexiones por dirección IP, puede sospechar de un ataque DDOS. Pero, en la mayoría de los ataques DDOS, los atacantes utilizan menos conexiones con más IP atacantes. En tales casos, verificar el número total de conexiones activas lo ayudará a detectar un ataque DDOS. Las conexiones Apache activas en una máquina Linux se pueden encontrar mediante,

netstat -n | grep :80 |wc –l

Si el número es demasiado alto que la situación normal (digamos, más de 500), puede sospechar de un ataque DDOS.

Mitigar el ataque DDOS

1) Usando Firewall

Si encuentra las direcciones IP con muchas conexiones, puede continuar bloqueando estas direcciones IP o rango de IP en el firewall. Se recomienda instalar el cortafuegos APF o CSF ​​en su máquina Linux para facilitar los mecanismos de control de acceso. Puede bloquear la dirección IP en APF o CSF ​​de la siguiente manera:

apf –d ipaddress
Or
csf –d ipaddress

Debe monitorear y bloquear el rango de direcciones IP hasta que se reduzca el ataque DDOS. Tenga en cuenta que no es fácil detener el ataque DDOS, pero puede controlarlo con la ayuda del firewall y los módulos siguientes.

2) Uso del módulo Apache mod_security

ModSecurity es un motor de prevención y detección de intrusiones de código abierto para aplicaciones web. También se puede llamar firewall de aplicaciones web. Opera integrado en el servidor web, actuando como un poderoso paraguas y protegiendo las aplicaciones de los ataques.

Puede obtener la última versión estable de mod_security en http://www.modsecurity.org/download/.

3) Usando el módulo de Apache mod_evasive

El módulo de Apache mod_evasive intenta rectificar el ataque DDOS bloqueando una dirección IP ofensiva después de que se cumple un conjunto de parámetros definido. Debe configurar Apache con directivas mod_evasive de modo que si la conexión accede a más objetos que el número permitido de objetos dentro del límite de tiempo establecido, la conexión se bloqueará automáticamente durante el intervalo de tiempo específico.

Prevención del ataque DDOS

El ataque DDOS generalmente se lleva a cabo con la ayuda de sistemas vulnerables. Por lo tanto, siempre se recomienda mantener actualizados todos los softwares y aplicaciones del servidor. Además, asegúrese de que el sistema esté protegido con firewalls como APF o CSF. Todos los sistemas deben ser monitoreados en busca de rootkits con la ayuda de rkhunter, chkrootkit, etc. Además, puede implementar la protección sysctl agregando lo siguiente a /etc/sysctl.conf.

# Enable IP spoofing protection, turn on Source Address Verification
net.ipv4.conf.all.rp_filter = 1
# Enable TCP SYN Cookie Protection
net.ipv4.tcp_syncookies = 1

Conclusión

En este tutorial, aprendimos cómo detectar ataques ddos ​​y cómo prevenirlos en Linux. Espero que haya disfrutado leyendo esto y deje sus sugerencias en la sección de comentarios a continuación.

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar