Camaleón wrote:
Un ataque DOS, masivo, es un tipo de ataque que necesita un tipo de medidas. Un ataque lento, que busca vulnerabilides en el servidor web, no puedes hacer nada en el cortafuegos porque el cortafuegos no sabe que hay un ataque en curso, no puede saberlo a no ser que analice el _contenido_ del tráfico. El servidor web sí puede saberlo, y puede entonces decirle al cortafuegos que corte esas IPs.
Te puedo dar las direcciones IP de mis atacantes cuando quieras. Todo queda registrado. Esas direcciones IP se pueden bloquear directamente metiéndolas manualmente en iptables para que las rechace el cortafuegos o mejor aún, un bloque de red completo. O puedes crear un script para que añada todas esas direcciones a la regla de iptables automáticamente.
De eso es de lo que estoy hablando.
Es tal como comenta Camaleon.
Y por cierto, ante un ataque grande, es el proveedor quien lo corta
Eso depende de la "pasta" que pagues ... , al
habla con el cliente. Con un proveedor como tiene que ser - porque hay ataques que lo que se comen es el ancho de banda que tengas contratado, y por mucho que hagas en tu cortafuegos, no te sirve de nada.
Y los hay que no se centran en el ancho de banda sino en dejarte solo un servicio fuera de juego ...
Los ataques a gran escala y distribuidos no son comunes en los servidores que podamos manejar (bueno, al menos no en mi caso que administro un servidor corporativo y un ataque "grande" tendría un fin muy concreto).
Los ataques más habituales que recibo suelen seguir un mismo patrón: direcciones IP de China (o de países de Europa del Este y alguna de Brasil), y no suele variar en el mismo día, lanzan el ataque desde la misma dirección IP con robots autómatas. No es un "ataque", yo diría que más bien son las "molestias" habituales de tener servicios abiertos accesibles desde Internet.
Saludos,
En resumen: esto es muy sencillo. Buscad por google algo tal que así: "simulate DDoS" y al momento os saltarán un montón de scripts para hacer tests. Es tan fácil como que primero probeis con un apache (más todos los módulos que querais meter) y después con iptables+IDS(IPS/HIDS) ... Solo así vais a ver que és más eficiente ... Saludos. -- CL Martinez carlopmart {at} gmail {d0t} com -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org