Todo Sobre Los Ataques DDos

  • Categoría: Noticias
  • Publicado hace más de 4 años
           Todo sobre ataques DoS 
El famoso ataque DoS (Denial of service) se realiza a un sistema de computadoras o red para causar 

que un servicio o recurso sea inaccesible a los usuarios legítimos. 

                            

Se caracterizan por su fácil ejecución y su principal rasgo es la dificultad con la que pueden ser 


mitigados. 

Un ataque de este tipo a un servidor conectado a Internet tiene como objetivo agotar sus recursos, ya 


sean de ancho de banda o de procesamiento, para que sea (prácticamente) imposible acceder a él. 

Realizar un ataque de estos esta a dispocision de caulquiera, siempre y cuando haya encontrado una 


vulnerabilidad que le permita hacer un DoS, o sino, tener un ancho de banda (Internet) mayor al IP 

atacada. 


¿DDoS? 


Un ataque DDoS es aquel que es realizado por muchas pcs atacantes, de modo de intensificar el daño 
producido. 

Generalmente, los DDoS son producidos por botnets, una red de pcs "zombies" que actuan bajo el 


dominio de un hacker/lammer/newbie/etc que les dan la orden de realizar el ataque. 

                            


TIPOS DE ATAQUES DoS: 
Ataque LAND 

Un ataque LAND se produce al enviar un paquete TCP/SYN falsificado con la dirección del servidor


objetivo como si fuera la dirección origen y la dirección destino a la vez. Esto causa que el servidor

se responda a sí mismo continuamente acabe desbordándose y al final falle. 

 

Ataque Conecction Flood 
Todo servicio de Internet orientado a conexión (la mayoría) tiene un límite máximo en el número de 


conexiones simultaneas que puede tolerar. Una vez que se alcanza ese límite, no se admitirán 

conexiones nuevas. 

Así, por ejemplo, un servidor Web puede tener capacidad para atender a mil usuarios simultáneos. Si


un atacante establece mil conexiones y no realiza ninguna petición sobre ellas, monopolizará la

capacidad del servidor. 

Las conexiones van caducando por inactividad poco a poco, pero el atacante sólo necesita intentar 


conexiones nuevas constantemente, como ocurre con el caso del SYN flood. 

La máquina atacada tiene constancia de la identidad real del atacante. Al menos, si sus 


administradores merecen su sueldo y saben qué comandos utilizar. 

                              

Ataque SYN Flood 

Cuando una máquina se comunica mediante TCP/IP con otra, envía una serie de datos junto a la 


petición real. Estos son los paquetes SYN/ACK. 

Para realizar una conexion se siguen los siguientes pasos: 

El cliente envía una Flags SYN, si el servidor acepta la conexión este debería responderle con un 


SYN/ACK luego el cliente debería responder con una Flags ACK. 

La inundación SYN envía un flujo de paquetes TCP/SYN, muchas veces con la dirección de origen 


falsificada. 

Cada uno de los paquetes recibidos es tratado por el destino como una petición de conexión, 


causando que el servidor intente establecer una conexión al responder con un paquete TCP/SYN-ACK 

y esperando el paquete de respuesta TCP/ACK (Parte del proceso de establecimient o de conexión 

TCP de 3 vías). 

Sin embargo, debido a que la dirección de origen es falsa o la dirección IP real no ha solicitado la 


conexión, nunca llega la respuesta. 

Estos intentos de conexión consumen recursos en el servidor y limitan el número de conexiones que 


se pueden hacer, reduciendo la disponibilidad del servidor para responder peticiones legítimas de 

conexión. 

 

Ping de la Muerte (Solo informativo)

Aclaro que este metodo ya no funciona mas, a no ser que tu b1ct1m@ tenga una PI o PII y Windows 


98.. 

Este ataque es muy simple. Se trata de enviar infinitos paquetes ICMP (Ping) de 56 k, a una ip. La ip 


atacada, responde con un paquete ICMP Echo reply (Pong). Al enviar muchos ICMP, esto agotaria el 

ancho de banda. 

Esto depende mucho de la relacion entre atacante/atacado, porque si el atacante tiene mayor ancho 


de banda, obviamente lo agotara rapido, porque el atacado no puede controlar el trafico. 

Pero repito, esto no funciona mas.. 

 

Ataque Smurf 


El ataque smurf utiliza una característica de Internet: broadcast. 

Toda red tiene lo que se denomina una dirección de broadcast. Los datagramas enviados a esa 


dirección son recibidos por todas las máquinas en la red local. Ello permite, por ejemplo, que una 

máquina localice un servidor proporcionando un servicio haciendo una pregunta a la red, no 

preguntando máquina por máquina. 

El problema de la dirección broadcast es que suele estar disponible también para usuarios de fuera 


de la red local, en particular para todo Internet. Ello permite, por ejemplo, que un atacante envíe un 

pequeño datagrama a toda una red remota, y que las máquinas de dicha red respondan todas a la 

vez, posiblemente con un datagrama de mayor tamaño. 

Si la red sondeada tiene 150 máquinas activas, la respuesta es 150 veces más intensa. Es decir, se 


consigue un efecto multiplicador. 

De esta manera, se envia paquetes, generalmente ICMP, a grandes redes desde una direccion de 


origen a la que queramos atacar (IP Spoofeada). Entonces las pcs de la red enviaran su respuesta de 

gran tamaño a la IP atacada y haran un Ataque "SYN Flood", agotando su ancho de banda. 

                                                         

Ataque de DNS Amplification  [Usado Por Anonnymous]

Este es bastante similar al anterior: 

El atacante envía una alta cantidad de peticiones con una dirección IP falsificada (spoof) al DNS que 


permite recursión, el DNS procesa estas peticiones como si éstas fueran válidas mandando una 

respuesta al sistema al cual se quiere atacar, es decir al sistema víctima. 

Cuando estas peticiones alcanzan un volumen importante pueden inundar al sistema víctima de 


repuestas del DNS a las peticiones que se le realizan. 

Este ataque es llevado a cabo gracias a errores en la configuración del DNS y es llamado 


amplification puesto que los DNS al reflejar el ataque, potencian el nivel de éste hacia un blanco en 

especifico a causa de que las respuestas del servidor de nombres son de un tamaño considerableme 

nte mayor que las peticiones que se le realizan causando con esto, en ocasiones, la caída del servicio 

y con ello la negación del mismo. 

Ataque Mediante Iframe en HTML 


Ese metodo consiste en crear un iframe en html: 

Código: 

<iframe height="X" src="***.***.***.***" width="X"> </iframe> 
Con esto se logra crear una "ventanita" a otra pagina, pero ojo, Que pasa si creamos 1000 ventanitas? 

Ahi tenemos un ataque DoS perfecto, solo hay que subirlo a alguna web, o entrar uno desde el bloc 


de notas y listo. 

Funciona bastante bien, pero consume muchos recursos. 

Ataque a Servidores IRC 
No es un gran ataque, pero suele ser efectivo. 

Consiste en conectarse al IRC mediante muchos bots, y hacerlos hablar a una hora determinada. Eso 


inundaria el canal y dejaria de funcionar correctamente, ya que se pasaria de los limites los mensajes 

que puede procesar el servidor. 

Todo depende de la cantidad de bots que usemos. 


Detectar un Ataque DoS 



Usando el comando netstat 
Cita: Mostrar


Ejemplo de ataque SYN_RECV o SYN Flooding al Apache (puerto 80) 

Código: 
192.168.0.3 es la ip del servidor apache y 192.168.0.105 es la ip del "atacante" 

Código: 
tcp 0 0 192.168.0.3:80 192.168.0.5:60808 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:60761 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:60876 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:60946 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:60763 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:60955 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:60765 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:60961 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:60923 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:61336 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:61011 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:60911 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:60758 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:60828 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:61114 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:61074 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:60826 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:60959 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:60900 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:60940 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:60920 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:60825 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:60945 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:60913 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:61009 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:60755 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:60904 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:61583 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:60910 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:60915 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:60827 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:61458 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:60908 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:61007 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:60927 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:60951 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:60942 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:61113 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:60909 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:60822 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:60894 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:60952 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:60928 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:60936 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:60906 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:61466 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:60919 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:60914 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:60926 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:60939 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:60931 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:60831 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:60823 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:60954 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:60916 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:60963 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:60947 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:61006 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:60933 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:60950 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:60895 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:60917 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:61480 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:60935 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:60960 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:60767 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:60918 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:60821 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:61077 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:60905 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:61517 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:60893 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:60953 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:60903 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:61439 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:61337 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:61545 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:61299 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:61010 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:60930 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:60744 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:60929 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:60754 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:61008 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:61116 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:60811 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:60807 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:60938 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:60764 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:60873 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:60817 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:61550 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:60748 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:60956 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:60753 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:61115 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:60741 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:61075 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:60948 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:60829 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:60943 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:61338 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:60762 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:60824 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:60830 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:61535 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:60898 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:60815 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:60962 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:60957 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:60944 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:60921 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:60759 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:60897 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:61518 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:60958 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:60922 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:60937 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:60875 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:60766 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:60751 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:60768 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:60743 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:61076 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:60912 SYN_RECV 
tcp 0 0 192.168.0.3:80 192.168.0.5:60816 SYN_RECV 

Mirando el server-status del Apache 
Si miramos el server-status del apache veremos conexiones en estado "Reading" ("R" Reading 

Request) 



El problema es que cuando el número de conexiones "Reading" llena el "MaxClients" del Apache no 


acepta nuevas peticiones, por lo que los nuevos clientes, aunque sean legítimos, no serán aceptados. 
Mirando los logs del mod_evasive 

Código: 
Jun 22 18:24:04 lan mod_evasive[3835]: Blacklisting address 82.228.169.50: possible attack. 
Jun 22 18:24:45 lan mod_evasive[3600]: Blacklisting address 81.206.164.163: possible attack. 
Jun 22 18:25:46 lan mod_evasive[3589]: Blacklisting address 155.232.250.19: possible attack. 
Jun 22 18:27:23 lan mod_evasive[3671]: Blacklisting address 83.227.217.2: possible attack. 
Jun 22 18:28:10 lan mod_evasive[3673]: Blacklisting address 68.187.171.89: possible attack. 
Jun 22 18:29:57 lan mod_evasive[3605]: Blacklisting address 70.143.2.130: possible attack. 
Jun 22 18:30:45 lan mod_evasive[3803]: Blacklisting address 69.157.93.88: possible attack. 
Jun 22 18:31:45 lan mod_evasive[10397]: Blacklisting address 146.64.81.22: possible attack. 
Jun 22 18:35:01 lan mod_evasive[3794]: Blacklisting address 66.38.192.134: possible attack. 
Jun 22 18:35:15 lan mod_evasive[3553]: Blacklisting address 81.190.204.64: possible attack. 
Jun 22 18:40:10 lan mod_evasive[16602]: Blacklisting address 64.231.39.129: possible attack. 
Jun 22 18:48:04 lan mod_evasive[16479]: Blacklisting address 84.99.195.100: possible attack. 
Jun 22 18:48:12 lan mod_evasive[16467]: Blacklisting address 201.0.10.142: possible attack. 
Jun 22 18:52:57 lan mod_evasive[16573]: Blacklisting address 219.95.39.242: possible attack. 
Jun 22 18:53:07 lan mod_evasive[16534]: Blacklisting address 86.129.3.91: possible attack. 
Jun 22 18:53:26 lan mod_evasive[16527]: Blacklisting address 62.254.0.32: possible attack. 
Jun 22 18:54:41 lan mod_evasive[30473]: Blacklisting address 24.196.199.191: possible attack. 
Jun 22 18:55:17 lan mod_evasive[30520]: Blacklisting address 142.161.157.227: possible attack. 
Jun 22 18:55:24 lan mod_evasive[30461]: Blacklisting address 65.92.145.133: possible attack. 
Jun 22 18:55:33 lan mod_evasive[30509]: Blacklisting address 88.111.227.200: possible attack. 
Jun 22 18:56:13 lan mod_evasive[30473]: Blacklisting address 69.199.94.227: possible attack. 
Jun 22 18:57:45 lan mod_evasive[30517]: Blacklisting address 86.125.135.212: possible attack. 
Jun 22 18:57:54 lan mod_evasive[30479]: Blacklisting address 84.192.141.65: possible attack. 
Jun 22 18:58:46 lan mod_evasive[30527]: Blacklisting address 83.140.97.106: possible attack. 
Jun 22 18:59:31 lan mod_evasive[30469]: Blacklisting address 82.173.216.196: possible attack. 
Jun 22 19:00:33 lan mod_evasive[30517]: Blacklisting address 80.176.157.245: possible attack. 
Jun 22 19:00:38 lan mod_evasive[30470]: Blacklisting address 86.133.102.51: possible attack. 
Jun 22 19:01:35 lan mod_evasive[30870]: Blacklisting address 24.42.134.253: possible attack. 
Jun 22 19:01:48 lan mod_evasive[30509]: Blacklisting address 62.254.0.34: possible attack. 
Jun 22 19:02:57 lan mod_evasive[31009]: Blacklisting address 81.227.219.125: possible attack. 
Jun 22 19:03:29 lan mod_evasive[31056]: Blacklisting address 172.209.173.153: possible attack. 
Jun 22 19:05:07 lan mod_evasive[31385]: Blacklisting address 84.6.12.110: possible attack. 
Jun 22 19:06:52 lan mod_evasive[31008]: Blacklisting address 85.227.144.249: possible attack. 
Jun 22 19:06:56 lan mod_evasive[31263]: Blacklisting address 213.222.156.222: possible attack. 
Jun 22 19:07:13 lan mod_evasive[31393]: Blacklisting address 62.163.143.166: possible attack. 
Jun 22 19:07:37 lan mod_evasive[31021]: Blacklisting address 62.135.101.73: possible attack. 
Jun 22 19:08:03 lan mod_evasive[31251]: Blacklisting address 82.201.249.69: possible attack. 
Jun 22 19:08:17 lan mod_evasive[31200]: Blacklisting address 81.62.65.53: possible attack. 
Jun 22 19:11:04 lan mod_evasive[31263]: Blacklisting address 82.39.148.204: possible attack. 
Jun 22 19:12:37 lan mod_evasive[31241]: Blacklisting address 213.222.154.13: possible attack. 
Jun 22 19:13:54 lan mod_evasive[31027]: Blacklisting address 81.51.79.4: possible attack. 
Jun 22 19:24:04 lan mod_evasive[31041]: Blacklisting address 84.221.118.156: possible attack. 
Jun 22 19:48:47 lan mod_evasive[3400]: Blacklisting address 62.135.101.192: possible attack. 
Jun 22 19:53:04 lan mod_evasive[31031]: Blacklisting address 62.30.33.13: possible attack. 
Jun 22 19:54:32 lan mod_evasive[31016]: Blacklisting address 72.14.194.18: possible attack. 
Jun 22 18:24:04 lan mod_evasive[3835]: Blacklisting address 82.228.169.50: possible attack. 
Jun 22 18:24:45 lan mod_evasive[3600]: Blacklisting address 81.206.164.163: possible attack. 
Jun 22 18:25:46 lan mod_evasive[3589]: Blacklisting address 155.232.250.19: possible attack. 
Jun 22 18:27:23 lan mod_evasive[3671]: Blacklisting address 83.227.217.2: possible attack. 
Jun 22 18:28:10 lan mod_evasive[3673]: Blacklisting address 68.187.171.89: possible attack. 
Jun 22 18:29:57 lan mod_evasive[3605]: Blacklisting address 70.143.2.130: possible attack. 
Jun 22 18:30:45 lan mod_evasive[3803]: Blacklisting address 69.157.93.88: possible attack. 
Jun 22 18:31:45 lan mod_evasive[10397]: Blacklisting address 146.64.81.22: possible attack. 
Jun 22 18:35:01 lan mod_evasive[3794]: Blacklisting address 66.38.192.134: possible attack. 
Jun 22 18:35:15 lan mod_evasive[3553]: Blacklisting address 81.190.204.64: possible attack. 
Jun 22 18:40:10 lan mod_evasive[16602]: Blacklisting address 64.231.39.129: possible attack. 
Jun 22 18:48:04 lan mod_evasive[16479]: Blacklisting address 84.99.195.100: possible attack. 
Jun 22 18:48:12 lan mod_evasive[16467]: Blacklisting address 201.0.10.142: possible attack. 
Jun 22 18:52:57 lan mod_evasive[16573]: Blacklisting address 219.95.39.242: possible attack. 
Jun 22 18:53:07 lan mod_evasive[16534]: Blacklisting address 86.129.3.91: possible attack. 
Jun 22 18:53:26 lan mod_evasive[16527]: Blacklisting address 62.254.0.32: possible attack. 
Jun 22 18:54:41 lan mod_evasive[30473]: Blacklisting address 24.196.199.191: possible attack. 
Jun 22 18:55:17 lan mod_evasive[30520]: Blacklisting address 142.161.157.227: possible attack. 
Jun 22 18:55:24 lan mod_evasive[30461]: Blacklisting address 65.92.145.133: possible attack. 
Jun 22 18:55:33 lan mod_evasive[30509]: Blacklisting address 88.111.227.200: possible attack. 
Jun 22 18:56:13 lan mod_evasive[30473]: Blacklisting address 69.199.94.227: possible attack. 
Jun 22 18:57:45 lan mod_evasive[30517]: Blacklisting address 86.125.135.212: possible attack. 
Jun 22 18:57:54 lan mod_evasive[30479]: Blacklisting address 84.192.141.65: possible attack. 
Jun 22 18:58:46 lan mod_evasive[30527]: Blacklisting address 83.140.97.106: possible attack. 
Jun 22 18:59:31 lan mod_evasive[30469]: Blacklisting address 82.173.216.196: possible attack. 
Jun 22 19:00:33 lan mod_evasive[30517]: Blacklisting address 80.176.157.245: possible attack. 
Jun 22 19:00:38 lan mod_evasive[30470]: Blacklisting address 86.133.102.51: possible attack. 
Jun 22 19:01:35 lan mod_evasive[30870]: Blacklisting address 24.42.134.253: possible attack. 
Jun 22 19:01:48 lan mod_evasive[30509]: Blacklisting address 62.254.0.34: possible attack. 
Jun 22 19:02:57 lan mod_evasive[31009]: Blacklisting address 81.227.219.125: possible attack. 
Jun 22 19:03:29 lan mod_evasive[31056]: Blacklisting address 172.209.173.153: possible attack. 
Jun 22 19:05:07 lan mod_evasive[31385]: Blacklisting address 84.6.12.110: possible attack. 
Jun 22 19:06:52 lan mod_evasive[31008]: Blacklisting address 85.227.144.249: possible attack. 
Jun 22 19:06:56 lan mod_evasive[31263]: Blacklisting address 213.222.156.222: possible attack. 
Jun 22 19:07:13 lan mod_evasive[31393]: Blacklisting address 62.163.143.166: possible attack. 
Jun 22 19:07:37 lan mod_evasive[31021]: Blacklisting address 62.135.101.73: possible attack. 
Jun 22 19:08:03 lan mod_evasive[31251]: Blacklisting address 82.201.249.69: possible attack. 
Jun 22 19:08:17 lan mod_evasive[31200]: Blacklisting address 81.62.65.53: possible attack. 
Jun 22 19:11:04 lan mod_evasive[31263]: Blacklisting address 82.39.148.204: possible attack. 
Jun 22 19:12:37 lan mod_evasive[31241]: Blacklisting address 213.222.154.13: possible attack. 
Jun 22 19:13:54 lan mod_evasive[31027]: Blacklisting address 81.51.79.4: possible attack. 
Jun 22 19:24:04 lan mod_evasive[31041]: Blacklisting address 84.221.118.156: possible attack. 
Jun 22 19:48:47 lan mod_evasive[3400]: Blacklisting address 62.135.101.192: possible attack. 
Jun 22 19:53:04 lan mod_evasive[31031]: Blacklisting address 62.30.33.13: possible attack. 
Jun 22 19:54:32 lan mod_evasive[31016]: Blacklisting address 72.14.194.18: possible attack. 

Si es un DDoS muy distribuido enseguida notaremos que muchas ip's diferente Dosean el Apache. 

Mirando los logs del syslog (del kernel) 

Aclaro: Syslog es un estándar de facto para el envío de mensajes de registro en una red informática 


IP. Por syslog se conoce tanto al protocolo de red como a la aplicación o biblioteca que envía los 

mensajes de registro.

Código: 
May 17 13:39:01 lan kernel: possible SYN flooding on port 80. Sending cookies. 
May 17 13:39:02 lan kernel: ip_conntrack: table full, dropping packet. 
May 17 13:39:35 lan kernel: NET: 4 messages suppressed. 
May 17 13:39:35 lan kernel: ip_conntrack: table full, dropping packet. 
May 17 13:39:38 lan kernel: NET: 1 messages suppressed. 
May 17 13:39:38 lan kernel: ip_conntrack: table full, dropping packet. 
May 17 13:39:43 lan kernel: NET: 6 messages suppressed. 
May 17 13:39:43 lan kernel: ip_conntrack: table full, dropping packet. 
May 17 13:39:48 lan kernel: NET: 4 messages suppressed. 
May 17 13:39:48 lan kernel: ip_conntrack: table full, dropping packet. 
May 17 13:39:52 lan kernel: NET: 9 messages suppressed. 
May 17 13:39:52 lan kernel: ip_conntrack: table full, dropping packet. 
May 17 13:39:57 lan kernel: NET: 15 messages suppressed. 
May 17 13:39:57 lan kernel: ip_conntrack: table full, dropping packet. 
May 17 13:40:01 lan kernel: possible SYN flooding on port 80. Sending cookies 
Líneas a mirar: 

Código: 
possible SYN flooding on port 80. Sending cookies.


Para mas Aportes como este Sígueme no te arrepentirás 
Todo Sobre Los Ataques DDos
0 Puntos Score: 0/10
Visitas: 478 Favoritos: 1
Más del Autor...
2 Comentarios Todo Sobre Los Ataques DDos
buen post informativo
excelente info
Para dejar un comentario Registrate! o.. eres ya usuario? Accede!