Existen multitud de ataques DDoS: Direct Attacks, TTL expiry attack, IP unreachable attack, ICMP transit attacks, Reflection Attacks, etc.
La contención de los mismos resulta muy complicada sobre todo cuando se trata de un gran volumen de tráfico.
Contar con dispositivos que permitan frenar estos ataques resulta costoso, por este motivo contactar con el ISP es la idea más acertada.
Sin embargo, cuando el ataque DDoS no es extremadamente excesivo, una
configuración adecuada del sistema operativo y de los servicios afectados puede
ayudar en gran parte a contrarrestar el ataque. Ejemplo de ello son ciertos parámetros del kernel de Linux que nos permiten modificar el comportamiento de éste bajo ciertas condiciones y que resultarán muy útiles para blindar nuestro servidor en ciertas circunstancias.
Algunos de estos parámetros se encuentran en /etc/sysctl.conf:
tcp_syncookies: Permite protegernos contra ataques Syn Flood (como el visto
anteriormente). La forma de trabajar es la siguiente: cuando la cola de
peticiones de segmentos syn se completa, el kernel contesta con un segmento
syn-ack como hace normalmente, pero creando un número de secuencia
especialmente codificado que representa la IP origen y destino, el puerto y un
timestamp del paquete recibido.
De esta forma, la entrada syn en el backlog (cola de conexiones pendientes) no
será necesaria ya que podrá reconstruirse a partir del número de secuencia
recibido. Podremos activar las syn cookies con:
sysctl -w net.ipv4.tcp_syncookies=1
ignore_broadcasts: Un tipo de ataque DDoS son los conocidos ataques Smurf
donde se envían paquetes ICMP (echo request) a una dirección broadcast con
un IP origen falsificada. Dicha IP falsificada será el objetivo del ataque al recibir
múltiples paquetes de respuesta echo reply como consecuencia del paquete
broadcast enviado por el atacante. Una forma de desactivar la respuesta a las
peticiones broadcast de tipo echo ICMP es activando la siguiente opción:
sysctl -w net.ipv4.icmp_echo_ignore_broadcasts=1
rp_filter: Conocida también como source route verification, tiene un objetivo
similar al Unicast RPF (Reverse Path Forwarding) utilizado en routers Cisco.
Se emplea para comprobar que los paquetes que entran por una interfaz son
alcanzables por la misma basándose en la dirección origen, permitiendo de
esta forma detectar IP Spoofing:
sysctl -w net.ipv4.conf.all.rp_filter=1
Fuente: Instituto Nacional de Tecnologías de la Comunicación (INTECO)
Me gustaría que alguien me comentara como hacemos para protegernos de los ddos wifi, mi router lo aguanta pero mi ubuntu no
ResponderEliminarayuda.
Necesito mas info como :
ResponderEliminar- el ataque es interno?
- tu router puede filtrar ICMP?
- usas iptables como firewall?
- Porque no aguanta tu ubuntu?
DDOS es un forma de atacar un equipo sencilla pero difícil de evitar.