Home » Parando el ataque DDOS de una botnet

Parando el ataque DDOS de una botnet

Por Enrique Moris.

parar un ataque ddosBueno amigos, pues bien.. en esta ocasión os enseñare como parar un ataque DDOS (que yo mismo he recibido), y que hemos conseguido parar gracias a la ayuda de mi colega julio rodriguez. Por otra parte decir que no doy demasiados datos técnicos ya que el ataque aún continúa y no quiero dar pistas a nadie, aún así creo que me ha quedado medio completo 🙂
Ayer iba yo dirección oficinas de Adtual en Madrid, cuando recibo una llamada del soporte técnico donde tengo alojada mi tienda online… Por lo visto estaba recibiendo un ataque DDOS bastante gordo, así que decidieron cerrar todos los puertos de mi servidor y “chaparlo” por así decirlo.
Tras esto, le pego una llamada a uno de los mejores Sysadmin que conozco, @juliorodriguez que sin tardar ni 1 minuto ya está metido en mi servidor para echarme una mano.

Empezamos a analizar el ataque, y no viene desde un solo servidor (Típico ataque DDOS)… en lugar de una o 2 IP’s, vemos que nos están atando miles de IP’s diferentes de todo tipo y procedencia, es decir, nos estaban atacando con una Botnet. Una Botnet es una red de cientos de miles ordenadores, servidores y demás dispositivos, que por lo general están controlados desde un solo software gestionado para enviar tráfico masivo a webs o portales y así saturarlos.
¿Con quien me había metido? Sinceramente ni puta idea pero se ve que yo (o mi tienda) no le caemos demasiado bien…

¿Que pasos seguimos para bloquear este ataque?
Revisión de log logs de apache
Detectar el ataque
Filtrar las IP’s
Meter las IP’s en iptables (denegando el acceso)
Configurar cloudflare
Poner cloudflare a los dominios

Como bien dice ahí, lo primero que hicimos fue pegarle un vistazo a los logs, detectar el ataque e intentar filtrar las IP’s que nos estaban “tocando los cojones”.
Acto seguido metimos estas IP’s en iptables denegándoles el acceso a nuestro portal.

Otra herramienta que no había utilizado antes, y que mi sysadmin no dudó en utilizar desde el primer momento fué Cloudfare, esta herramienta hace de “mediador” entre los visitantes y tu portal. Cloudfare es conocido por haber parado algunos de los ataques DDOS más grandes de internet, por lo que ha adquirido una buena fama en muy poco tiempo. Tras esto,  Cloudfare lestaba analizando cada IP que entraba a mi servidor y detectando si seguía algún tipo de comportamiento extraño que detectase si era un bot, para así bloquearlo de forma automática… pusimos también cloudfare a todos mis dominios, ya que no solo la tienda se había caído, sino todo lo que tenía en dicho servidor (incluido este blog).

Y bien… eso de momento paró el ataque, y estábamos tan felices 😀
2 horas después, el soporte de Gigas vuelve a llamarnos, el ataque había comenzado de nuevo!!
parar el ataque ddos de una botnet

¿Que había pasado ahora? El ataque era más gordo (y mejor hecho) de lo que creímos inicialmente, el DDOS estaba viniendo desde navegadores, por lo que cloudfare lo detectaba como IP’s reales y las dejaba pasar, por lo que nos estaban saturando otra vez el servidor.. Y no solo eso, duraba tanto el ataque que los de cloudfare decieron sacar mi web de su sistema porque estaba ocasionándoles problemas incluso a ellos dicho ataque 🙁
Lo siguiente que hicimos fue comprar uno de los paquetes de pago de Cloudfare, que te daba aún más potencia y además trae un firewall especial. Además de esto lo pusimos en modo high para que hiciese comprobaciones adicionales y detectar realmente si son bots o clientes reales los que están intentando entrar en la tienda. Por último activamos el cacheo estatico para que así la mitad de la carga se la comiese cloudfare y darle un poco de “tranquilidad” a mi servidor.

Con esto parece que el tema quedó solucionado 😀
Agreadecimientos a @juliorodriguez , os dejo su email por si necesitáis que os eche una mano en una situación similar: [email protected]

10 Responses to Parando el ataque DDOS de una botnet

  1. Carlos Julián dice:

    Increíble que haya gente así, porque no se ocupan en sus actividades, negocios, etc, siento que es la peor forma de perder el tiempo, haciendo ataques innecesarios.

    Así que en conclusión, recomiendas comprar un buen paquete de protección de cloudflare para problemas más pesados de DDOS?

    • Enrique Moris Enrique Moris dice:

      Por lo general mejor tener el plan gratuito o el básico… y si ves que te están atacando comprar los gordos al menos por el tiempo necesario.
      Estar pagando 200$ o 5000$ cada mes, el 99% de las veces no te va a salir rentable si no te atacan.

  2. Numismatico Peruano dice:

    Aun no entiendo a ese tipo de gente que gasta tiempo, dinero y esfuerzo en hacer mal a los demás, en vez de eso debería usar esos recursos para mejorar su web y superar el trabajo hecho por la competencia.

    una lastima que existan lacras como eso, en el foro halloween hay muchos de esos.

    • Enrique Moris Enrique Moris dice:

      Si, quizás para molestar un par de horitas y dar un escarmiento está bien, pero gastar esos miles de recursos en hacer un ataque que dura meses, no le veo sentido ninguno a menos que sea alguien de la competencia..

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *


ocho − 6 =