Boas pessoal vou dar aqui umas dicas para que possam proteger melhor os vossos servidores contra ataques DOS/DDOS em pequena escala.

DDOS é uma técnica utilizada já à muito tempo mas no entanto ainda hoje quando feita de forma profissional consegue dar dor de cabeça a qualquer empresa com sistemas inapropriados, o objectivo dete tipo de ataque consiste em esgotar as capacidades do servidore(s) ou as capacidades da largura da banda que serve um site.

Estes tipo de ataque para ser mais eficiente hoje em dia a pessoa mal intencionada recorre normalmente a zoombies para ajudar na eficácia do ataque, zoombies são computadores ligados à rede infectados por algum vírus que permita a esta pessoa controlar certos recursos das máquinas dos utilizadores sem que por vezes eles dêem por isso, por vezes você pode estar a participar num um ataque ddos contra um determinado site sem estar a dar conta.

Fica esta imagem ilustrativa para terem uma ideia de como funciona este tipo de ataque



Neste exemplo o pc "attacker" é a pessoa/hacker com más intenções que envia uma ordem a dois pc's que controlam uma rede zoombie cada um, por sua vez estes pc's que controla a rede zoombie vai ordenar a cada uma das máquinas que efectuem o trabalho sujo de fazer pedidos em grande quantidade à máquina "VICTIM" (que pode ser o seu servidor) com o intuito de esgotar as capacidades de processamento e resposta deste, com isto o site fica com navegação muito lenta ou até mesmo sem capacidade de resposta para qualquer user que o tente aceder.

Vamos agora ver se o servidor está realmente sobre ataque DDOS.

1 - Vamos entrar no servidor por ssh e vamos digitar a seguinte sintax para obter o número de conecções SYN_RECV:

netstat -n -p|grep SYN_REC | wc -l
Se por ventura este comando der um retorno muito superior a "20" conecções você pode estar mesmo a sofrer um ataque DDOS.

2 - Agora dado que os valores acima nos mostram um possível ataque vamos verificar quais os ip's que estão envolvidos no ataque executando este código na shell:

netstat -n -p | grep SYN_REC | awk '{print $5}' | awk -F: '{print $1}'

3 - Com o seguinte código podemos listar todos os ip's envolvidos e banilos do servidor:

netstat -n -p | grep SYN_REC | awk '{print $5}' | sort -u | awk -F: '{print "ipdrop "$1 " on"}'
Vamos agora passar um pouco à prevenção deste tipo de ataques.

Desabilite todas as firewall (excepto iptables) que possam existir no servidor e instalem únicamente "APF" com o plugin DDOS Deflate.

Instalem também o mod_evasive caso o servidor trabalhe com apache com webserver.

Informem de imediato os engenheiros do vosso datacenter pois se o ataque for a grande escala eles terão de bloquear os ataques nos routers,firewall ou proxys pois com sofware não é possível travar ataques ddos a média e grande escala.
By (Gforum Team).