Aquí os indicamos una utilidad que nunca está mal tener en cuenta para si alguna vez sufriis algún ataque DoS suave.
El script se llama DDos Delate.
Para instalar DDoS Deflate deberéis hacer lo siguiente en la consola de comandos de un Linux, nosotros lo hemos probado con Debian.
La instalación es sencilla.
Se baja el script:
wget http://www.inetbase.com/scripts/ddos/install.sh
Dar permisos al mismo:
chmod 0700 install.sh
Instalar script:
./install.sh
Al final de la instalación salimos con la letra "q"
Ya estará instalado.
Hora hay que comprobar que todo esté bajo la ruta indicada, el fichero que define las rutas está en:
/usr/local/ddos/ddos.conf
Aparecerán las siguientes opciones:
FREQ=1 (frecuencia con la que se ejecutará el script, la frecuencia se cuenta en minutos)
NO_OF_CONNECTIONS=150 (las conexiones a las que tiene que llegar una ip para ser banneada)
APF_BAN=1 (1 usa APF para banear y 0 usa IPTABLES para banear)
BAN_PERIOD=600 (tiempo que permanece una IP baneada)
EMAIL_TO=”root” (envia mail cuando añade ip en lista de baneos)
KILL=1 ( cuando se introduce 1 las ips atacantes son baneadas, cuando se introduce 0 no son baneadas)
Voy a instalarlo para ver que tal funciona.
Hola, tengo la siguiente consulta:
He instalado el DDoS Deflate a raíz de que mi server está sufriendo un pequeño atake ddos iframe desde diferentes direcciones ip (llegando en alguna oportunidad hasta 40mil conexiones).
Ahora el problema que tengo es que el DDoS Deflate se comporta de una forma que no entiendo, pues resulta que me esta baneando IPs que ya he agregado en el archivo “ignore.ip.list” (ip del servidor y algunas ips que uso dentro de mis aplicaciones que hacen bastantes conexiones). No conforme con banearme ips que ya tengo en una “lista blanka” (ignore.ip.list), las ips baneadas que si son los atacantes tambien me los agrega en el “ignore.ip.list” (banea las ips y los agrega en el “ignore.ip.list”) :S
La configuracion que usé es el que viene por defecto, modifando tan solo 3 opciones, el APF_BAN, a “0″ para que use directamente el iptables, la opcion BAN_PERIOD a “3600″ y EMAIL_TO poniendole una direccion mia.
Alguien sabria explicarme si este comportamiento es normal? alguna forma de solucionarlo? por ahora he desintalado :S
P.D. Antes de instalar el DDoS Deflate, tenia puesto el csf y trabaja muy bien, pero al parecer me detecta falsos positivos, pues las visitas empiezan a bajar considerablemente junto con la carga del server por lo que ya no lo uso.