Uno de los ataques más cobardes y sucios que hay por los
\nsupuestos hackers es el ataque DoS (Denial of Service) o el peor
\nde todos el DDoS (Distributed Denial of Service)<\/p>\n
No hay nada de hacker en el asunto de hecho cualquiera que lo use deja
\npatente que no tiene mayores conocimientos. El Ataque DOS
\nbásicamente es lanzar más conexiones a un servidor, mas
\nde las que pueda soportar. Para los servidores con ancho de banda
\nsobrados se usa DDoS que es igual pero con la ayuda de más
\ncomputadoras, siempre se busca saturar la capacidad de servir del
\nservidor<\/p>\n
Para resistir un ataque tan cobarde solo propio de los que
\ndespectivamente reciben el nombre de lamers; se ha intentado
\ndesarrollar soluciones de lo más variadas.<\/p>\n
Lo que normalmente se hace cuando se recibe un ataque es apagar el
\nservicio, pero si usamos un poco de lógica eso es todo menos una
\nsolución, tomando en cuenta que el propósito de un DoS es
\nuna \u201cNEGACION DE SERVICIO?? al apagar el servicio atacado estamos
\nrealmente contribuyendo a que el ataque sea exitoso. Por lo que se debe
\nencontrar otras soluciones y que el servicio se mantenga en
\nlínea a pesar del DoS<\/p>\n
Una de las soluciones mas versátiles es mod_evasive y es que
\neste es un modulo instalable en el apache que puede filtrar con su
\npropia tabla de ips ataques DoS y si el ataque se vuelve muy pesado y
\nagresivo como un DDoS puede lanzar comandos iptables para filtrar las
\nips a nivel Kernel, de esta manera bloquea a los que atacan al servidor
\npero sigue en línea y sirviendo a los clientes legítimos.
\n
\nmod_evasive se puede descargar de:
\nhttp:\/\/www.zdziarski.com\/projects\/mod_evasive\/mod_evasive_1.10.1.tar.gz<\/p>\n
\nDentro viene instrucciones para instalarlo y un script de prueba.<\/p>\n
A continuación un ejemplo y su explicación para la
\nconfiguración de apache en el httpd.conf y además un
\nvideo que muestra el funcionamiento de este modulo:<\/p>\n
<IfModule mod_evasive20.c>
\nDOSHashTableSize 3097
\nDOSPageCount 2
\nDOSSiteCount 50
\nDOSPageInterval 1
\nDOSSiteInterval 1
\nDOSBlockingPeriod 10
\n<\/IfModule><\/p>\n
Repasemos alguno de los parámetros más importantes que
\npodemos incluir en la directiva:<\/p>\n
* DOSHashTableSize <valor> – Establece el
\nnúmero de nodos a almacenar para cada proceso de peticiones de
\nla tabla hash (contenedor asociativo de recuperación de
\npeticiones por medio de claves que agiliza las respuestas del
\nservidor). Si aplicamos un número alto a este parámetro
\nobtendremos un rendimiento mayor, ya que las iteraciones necesarias
\npara obtener un registro de la tabla son menores. Por contra, y de
\nforma evidente, aumenta el consumo de memoria necesario para el
\nalmacenamiento de una tabla mayor. Se hace necesario incrementar este
\nparámetro si el servidor atiende un número abultado de
\npeticiones, aunque puede no servir de nada si la memoria de la
\nmáquina es escasa.
\n * DOSPageCount <valor> – Indica el valor del
\numbral para el número de peticiones de una misma página
\n(o URI) dentro del intervalo definido en DOSPageInterval. Cuando el
\nvalor del parámetro es excedido, la IP del cliente se
\nañade a la lista de bloqueos.
\n * DOSSiteCount <valor> – Cuenta cuántas
\npeticiones de cualquier tipo puede hacer un cliente dentro del
\nintervalo definido en DOSSiteInterval. Si se excede dicho valor, el
\ncliente queda añadido a la lista de bloqueos.
\n * DOSPageInterval <valor> – El intervalo, en
\nsegundos, para el umbral de petición de páginas.
\n * DOSSiteInterval <valor> – El intervalo, en
\nsegundos, para el umbral de petición de objetos de cualquier
\ntipo.
\n * DOSBlockingPeriod <valor> – Establece el
\ntiempo, en segundos, que un cliente queda bloqueado una vez que ha sido
\nañadido a la lista de bloqueos. Como ya se indicó unas
\nlíneas atrás, todo cliente bloqueado recibirá una
\nrespuesta del tipo 403 (Forbidden) a cualquier petición que
\nrealice durante este periodo.
\n * DOSEmailNotify <e-mail> – Un e-mail
\nserá enviado a la dirección especificada cuando una
\ndirección IP quede bloqueada. La configuración del
\nproceso de envío se establece en el fichero mod_evasive.c de la
\nforma \/bin\/mail -t %s, siendo %s el parámetro que queda
\nconfigurado en este parámetro. Será necesario cambiar el
\nproceso si usamos un método diferente de envío de e-mails
\ny volver a compilar el módulo con apxs (por ejemplo, la
\nopción t ha quedado obsoleta en las últimas versiones del
\ncomando).
\n * DOSSystemCommand <comando> – El comando
\nreflejado se ejecutará cuando una dirección IP quede
\nbloqueada. Se hace muy útil en llamadas a herramientas de
\nfiltrado o firewalls. Usaremos %s para especificar la dirección
\nIP implicada. Por ejemplo, podemos establecer su uso con iptables de la
\nforma siguiente:<\/p>\n
DOSSystemCommand \u201c\/sbin\/iptables \u2013I INPUT \u2013p tcp \u2013dport 80 \u2013s %s \u2013j
\nDROP??<\/p>\n
* DOSLogDir <ruta> – Establece una ruta para
\nel directorio temporal. Por defecto, dicha ruta queda establecida en
\n\/tmp, lo cual puede originar algunos agujeros de seguridad si el
\nsistema resulta violado.
\n * DOSWhitelist <IP> – La dirección IP
\nindicada como valor del parámetro no será tenida en
\ncuenta por el módulo en ningún caso. Para cada
\ndirección IP a excluir ha de añadirse una nueva
\nlínea con el parámetro. Por ejemplo, dejaremos fuera del
\nchequeo del módulo a un posible bot que use los siguientes
\nrangos de direcciones:<\/p>\n