jose maria wrote:
El Jueves 03 Junio 2010, carlopmart escribió:
En serio. Lo que comenta Jose Maria yo ya lo probé en su dia con un ataque DDoS real y el apache murió ... literalmente y eso que estaba en un señor servidor configurado por alguien que sabe muchísimo de tuning apache y murió igual. La solución que implantamos: QoS, firewall, IPS en cluster y TAPs de capturas de tráfico. Resultado: ni un cuelgue más y hemos sufrido más ataques ... Hombre no digo que en este caso se deba montar un cluster IPS ni TAPs, pero que un HIDS con iptables lo sigo viendo muchísimo más eficiente que hacer gestinar esto al apache. Como dije antes soy de la opinión que el apache se ponga a servir páginas y aplicativos y de la seguridad que se encarguen otros que están mejor capacitados ...
Saludos.
* Lo que es evidente es que no te leiste la respuesta, a estas alturas ya vas soportando el DDos con media docena de tecnicas a las que el 99% de los usuarios y empresas ni le interesan ni las implementaran
¿¿perdón?? .. ¿¿"ni le interesan ni las implementaran"?? ¿Estás seguro? La persona que abrió el thread no creo que implemente una solución así pero el resto ... por no estar en
relacion con su infraestructura, medios ni necesidades de uptime y en lo que comentas insistes en local, lo cual ni tu ni Google ni Yahoo han conseguido, en un DDos de lo que se trata es de que no te saturen las lineas principales, en resumen deshacerte de las conexiones chungas lo antes posible y de rebote de muchas buenas por supuesto, apache muere si tu le dejas morir
Hombre, yo no le quiero dejar morir, pero te aseguro que murió. Apache no está "pensado" para resolver incidencias de este tipo. Llega a donde llega ... , lo unico que
se puede hacer es lo mismo que el atacante distribuir el palo a servidores de sacrificio en terceras ip y con anchos de banda contratados preventivamente a tal efecto, cuando google sufre un ddos tiene a media docena de empresas al lado soportando el asunto, akamai, etc ...etc, con centenares de Gb/s disponibles.
... y puedes hacer más cosas. Pero yo la opción que daba era la de utilizar iptables+HIDS/IDS que creo que puede ser considerado por la persona que abrió el thread...
* Lo que tiene que hacer el que pregunta es lo que le he dicho si el ataque es desde pocas ips, con especial atencion a lo que le he comentado de cerrar la conexion si es un ddos desde muchas ips e irse a comer, por que me apuesto un cafe con leche a que el ancho de banda de este caballero no supera una T1 y ese es el problema no apache.
Seguro que no tiene una T1. Pero es que puedes aplicar lo mismo para una T1 que para una conexión a 256Kb desde el punto de vista teórico ...
* Y en tu caso cuando sufras un DDos en serio no de cuatro cantamañanas
Te aseguro que no fueron cuatro cantamañanas. Fue un DDoS en toda regla desde una bootnet de China. Y sí mira, al final fue controlado por la infraestuctura que comenté antes ...
entrenandose para asaltar una pieza de mayor envergadura mediatica, ten preparado el asunto de la excavadora para cuando llamen tus clientes.
Saludos. -- CL Martinez carlopmart {at} gmail {d0t} com -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org