Proteger un servidor de ataques DDoS con Iptables (Parte 1/2)

Proteger un servidor de ataques DDoS con Iptables (Parte 1 de 2).

Tal como adelantamos en un articulo anterior, hoy veremos como configurar Iptables para intentar protegernos de ataques DDos.

Existen varias formulas de frenar ataques DDos, ninguna te puede garantizar una protección absoluta, paro si que iptables te ofrecerá mas fiabilidad que el resto.

Las vemos:

  1. Protección a nivel de PHP: Bloquea acceso total de bots, de modo que no haya excesiva carga. No es una buena solución.
  2. Protección a nivel de Apache: Usando el módulo mod_evasive. Tampoco es una solución efectiva.
  3. Nivel de protección nginx: Excelente solución con la cual podras evitar muchos ataques. Veremos como en un próximo articulo. muchos ataques.
  4. Protección con iptables: Con una configuración apropiada, es una de las soluciones más efectivas y confiables a la hora de proteger un servidor. En este articulo trataremos esta opción.

 

Evitar ataques DDos con iptables

Obtener listado de módulos disponibles en iptables.

ejemplo…

arptable_filter.ko ipt_MASQUERADE.ko nf_nat_pptp.ko
arp_tables.ko ipt_REJECT.ko nf_nat_proto_gre.ko
arpt_mangle.ko ipt_rpfilter.ko nf_nat_snmp_basic.ko
iptable_filter.ko ipt_SYNPROXY.ko nf_reject_ipv4.ko
iptable_mangle.ko nf_conntrack_ipv4.ko nf_tables_arp.ko
iptable_nat.ko nf_defrag_ipv4.ko nf_tables_ipv4.ko
iptable_raw.ko nf_dup_ipv4.ko nft_chain_nat_ipv4.ko
iptable_security.ko nf_log_arp.ko nft_chain_route_ipv4.ko
ip_tables.ko nf_log_ipv4.ko nft_dup_ipv4.ko
ipt_ah.ko nf_nat_h323.ko nft_masq_ipv4.ko
ipt_CLUSTERIP.ko nf_nat_ipv4.ko nft_redir_ipv4.ko
ipt_ECN.ko nf_nat_masquerade_ipv4.ko nft_reject_ipv4.ko

Si quieres obtener info sobre todos los módulos.

 

Protegernos contra ataques DDos SYN flood

Es el ataque más común, consiste en el envío de una gran cantidad de paquetes SYN al servidor.

Puedes revisar las conexiones abiertas con netstat. En un articulo anterior puedes ver como…

Bueno… comenzamos a editar.

Debemos establecer tcp_syncookies en 1 (de manera predeterminada tiene ese valor), puedes comprobarlo con:

Verificamos las conexiones máximas abiertas, tcp_max_syn_backlog (normalmente 1024).

Aumentamos el máximo de conexiones.

Ahora verificamos el tiempo de espera de la conexión, el parámetro a usar es tcp_synack_retries.

De manera predeterminada la espera es 5, que equivalen a “180” segundos. El tiempo de espera es excesivo, lo reduciremos a 1 que equivale a 9 segundos.

Verificamos el tcp_fin_timeout, un valor ideal es 30. Si tienes otro valor lo modificas tal como te indico.

Modificamos el valor a 30.

Revisamos la opción tcp_keepalive_probes (se usa para que una vez completada la conexión se considerará interrumpida).

Por defecto es 9, la estableceremos en 5.

También reduciremos el tcp_keepalive_intvl.

Verificamos el valor actual, por defecto 75.

Aplicamos un valor 15.

 

netdev_max_backlog se usa para especificar el número máximo de paquetes por cola de procesamiento, para que lo entiendas mejor… en caso de ataques DDos la interfaz recibirá los paquetes mucho más rápido de lo que el kernel puede procesar. Lo verificamos.

Por defecto 1000, lo aumentaremos a 20.000.

El número máximo de sockets abiertos esperando una conexión, también debe ser aumentado a 20.000.

Modificamos el tcp_syncookies.

 

Ya tenemos gran parte de nuestro servidor protegido (continua en el siguiente articulo), pero claro… las reglas de iptables no son permanentes, por tanto en el momento que reiniciemos el servidor se perderán.

Hacemos que sean permanentes:

Copia y pega lo siguiente…

Guarda y cierra el editor.

Añadimos las restricciones a iptables.

Hemos establecido un limite para los nuevos paquetes SYN (500 por segundo), y al usar el límite de 2000, los nuevos paquetes serán bloqueados.

 

Continua en el articulo siguiente.

Proteger un servidor de ataques DDoS con Iptables (Parte 1/2)
4.7 (93.33%) 3 Votos

Agregar comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.