Que es el DDos
Estosataques consiguen el objetivo de tumbar la máquina víctima agotando el ancho de banda o sobrepasando la capacidad de procesamiento. Para terminar de familiarizarnos con esos términos decir que a lasmáquinas encargadas de realizar el ataque se les denomina “Zombie” y al conjunto total botnet.
Detectar Ataque DDoS
Mis conocimientos sobre el tema son bastante limitados pero de lo que sí estoyseguro es que muchas veces algunos administradores confunden un ataque DDoS con alguna anomalía de la red o el servidor, para asegurarnos de que estamos ante un ataque DDoS tenemos que tener una cantidadde procesos httpd, eximd, ftpd, etc, estos suelen ser los objetivos comunes a estos ataques y los que consiguen generar la carga suficiente para colapsar el sistema por falta de recursos.
Si tenemosdudas sobre el tema y no tenemos los conocimientos necesarios os recomiendo la lectura de este post, voy a tratar de simplificar la explicación al máximo a modo de orientación para aquellos usuariosque necesiten una respuesta rápida a la pregunta ¿Estoy sufriendo un ataque DDoS?
Como hemos comentado anteriormente tenemos que ver cuantas conexiones tenemos por IP y el servicio a los que seconectan estas conexiones dentro de nuestro servidor, de este modo podremos quitarnos las dudas de si realmente se trata de un ataque DDoS.
netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c |sort -nr
netstat -np | grep SYN_RECV | awk '{print $5}' | cut -d. -f1-4 | cut -d: -f1
| sort -n | uniq -c | sort -n
Si estuvieramos ante un ataque y teniendo como ejemplo los siguientes datosobtendríamos un listado parecido al siguiente:
IP Servidor: 192.168.0.3 IP
Atacante: 192.168.0.5
tcp 0 0 192.168.0.3:80 192.168.0.5:60808 SYN_RECV
tcp 0 0...
Regístrate para leer el documento completo.