Detectar y mitigar ataques Dos/DDos con el comando Netstat

Como ya comentamos en un articulo anterior, en este trataremos de frenar o mitigar un ataque dos/ddos reconociendolo mediante el comando netstat.

En muchas ocasiones (lamentablemente cada día más), cuando notamos que la velocidad del servidor se reduce considerablemente, es el resultado de una saturación del tráfico. Realmente son ataques DoS (denegación de servicio) o DDoS (Distributed Denial of Service).

Realmente estos ataques son un intento de que los recursos del servidor o la red no estén disponibles para sus usuarios (tienes un buen ejemplo en diciembre del 2014 contra Dinahosting). Normalmente estos ataques tienen como víctimas a sitios o servicios alojados en servidores web de alto perfil, como bancos, pasarelas de pago con tarjeta de crédito, e incluso servidores de nombres raíz. En este tipo de ataques se trata de utilizar los recursos totales de forma que el sistema ya no puede ofrecer sus servicios y se bloquea la comunicación con los usuarios reales.

Vamos a ver como tratar de identificar las ip que generan el ataque y bloquearlas.

 

 

Comenzamos:

 

  • Todas las conexiones de Internet activas en el servidor, pero sólo las conexiones que han sido establecidas.

 

  • Mostrar sólo las conexiones activas de Internet al servidor en el puerto 80 , que es el puerto http y ordenar los resultados. Útil en la detección de una sola inundación (flood) por lo que permite reconocer muchas conexiones provenientes de una dirección IP.

 

  • Este comando es útil para saber cuántos SYNC_REC activa se están produciendo en el servidor. El número debe ser bastante bajo , preferiblemente menos de 5 . En los incidentes de ataques de denegación de servicio o bombas por correo, el número puede ser bastante alto. Sin embargo, el valor siempre depende del sistema, por lo que un valor alto puede ser normal en otro servidor.

 

  • Haz una lista de todas las direcciones IP de los implicados.

 

  • Enumera todas las direcciones IP únicas del nodo que están enviando el estado de la conexión SYN_REC .

 

  • Usa el comando netstat para calcular y contar el número de conexiones de cada dirección IP que hace al servidor.

 

  • Cantidad de direcciones IP que se conectan al servidor mediante el protocolo TCP o UDP.

 

  • Verifica las conexiones marcadas como ESTABLECIDOS en lugar de todas las conexiones, y muestra las conexiones para cada IP.

 

  • Mostrar y listar las direcciones IP y su número de conexiones que se conectan al puerto 80 en el servidor. El puerto 80 es utilizado principalmente por HTTP para peticiones Web.

 

 

Detener ataque:

Cuando hayamos localizado las IP que están atacando el servidor usaremos los siguientes comandos de iptables para bloquearlas en nuestro servidor. Recuerda cambiar $IPADRESS por las direcciones IP que has localizado con netstat.

 

Y por último solo nos queda hacer un kill, osea mataremos todas las conexiones activas httpd y reiniciar.

 

Matar conexiones:

 

Reiniciar en Redhat, Centos y derivados:

 

Reiniciar en Debian, Ubuntu y derivados:

 

Estas medidas son útiles contra pequeños ataques y como primera medida. Contra grandes ddos deberemos tomar otras medidas que trataremos en otro articulo.

 

facebook Detectar y mitigar ataques Dos/DDos con el comando Netstattwitter Detectar y mitigar ataques Dos/DDos con el comando Netstatgoogle Detectar y mitigar ataques Dos/DDos con el comando Netstatdiggit Detectar y mitigar ataques Dos/DDos con el comando Netstatpinterest Detectar y mitigar ataques Dos/DDos con el comando Netstatlinkedin Detectar y mitigar ataques Dos/DDos con el comando Netstatprint Detectar y mitigar ataques Dos/DDos con el comando Netstatemail Detectar y mitigar ataques Dos/DDos con el comando NetstatSi te gusto, comparte el articulo.

Artículos Relacionados

Agregar comentario


*

Recibe nuestro newsletter

Suscribete a nuestro newsletter y mantente informado con nuestros últimos artículos, noticias y más. Todo completamente gratis.