Ralentizar para detener un ataque DDoS con iptables (Denegación de Servicios)

NUESTRO SITIO necesita la publicidad para costear hosting y el dominio. Por favor considera deshabilitar tu AdBlock en nuestro sitio. También puedes hacernos una donación entrando en linuxparty.es, en la columna de la derecha.

Ralentizar para detener un ataque DDoS con iptables (Denegación de Servicios)

Publicado: 31 Mayo 2016 | Escrito por Javier Orovengua | Imprimir | Correo electrónico | Visto: 5539

Ratio: 5 / 5

El módulo limit establece un temporizador con la frecuencia que permite la regla de iptables comprobar un paquete.

El parámetro limit-burst especifica cuantos paquetes tienen permitido comprobarse. El tiempo límite que establece la frecuencia de comprobación.

Los paquetes no comprobados, no entran, pudiendo o no crear una pila.

Para reducirlo, supongamos primero que el bit de "burst" (que significa ráfaga) no existe (o está establecido en 1, que equivale a lo mismo). El parámetro de límite real se especifica simplemente estableciendo el tiempo, tanto para la regla como para limit-burst. Así ajustarlo a 5/second haría que el contador de tiempo 1 / quinto de segundo, y se establece a 4/hour haría que el temporizador contase 15 minutos. Ningún paquete coincidirá con la regla, mientras que el temporizador está en marcha (por lo que si se trata de una regla de destino ACCEPT, ningún paquete sería aceptado por 1/5º de segundo o 15 minutos, dependiendo).

Así que para complicar esto ... Los parámetros limit-burst actúan como un contador de paquetes. Por cada paquete que corresponda, el recuento se pone a uno, y se inicia el temporizador (o se reinicia si está ya en ejecución) si la regla sigue coincidiendo con cualquier cosa que viene. Cuando el temporizador termina, el contador se incrementa en uno. Si el contador impacta 0, la regla se detiene, hasta que finalice el temporizador y el recuento se remonta hasta el 1 de nuevo, y sigue contando por el contador de tiempo hasta que vuelva a la ráfaga que ha establecido.

Así ajustar la ráfaga a 1 significa que está literalmente comprobando 1 y sólo 1 único paquete por intervalo del temporizador, y se establece más alto significa que está creando un búfer en ese temporizador antes de que sea estrictamente comprometida.

Como ejemplo aproximado, digamos que usted tiene un burst de 10 y un temporizador de 1/second, sobre una norma de ACCEPT. Digamos que usted consigue 20 paquetes coincidentes en un único segundo. Los primeros diez paquetes serán aceptados, el resto no lo harán. Diez segundos después de eso, el contador de ráfaga se volverá a un máximo de 10. Ahora 5 paquetes vienen en (a menos un segundo), todos ellos coinciden sin ningún problema, contador sería ahora en 5. 2 segundos pasan sin partidos, poner el contador en 7. Otros 20 partidos vienen en; los primeros 7 igualen y aceptar, el resto no.

Parafraseando en gran parte este documento, que tiene más ejemplos en la sección que documenta el módulo límite.

Si tiene problemas con la gestión de seguridad, puede solicitar los servicios de ExtreHost para analizar y detener los ataques.