[How to]Bloquear Ataques DDOS (Windows 2003 SE x64)

TukSor

Lanero Reconocido
28 Jun 2006
582
Hola,

Como el titulo lo dice ando buscando de informacion util y eficaz para bloquear de manera permanente este tipo de ataques en windows, pues he intentado un par de cosas y no me han servido de mucho. Les cuento brevemente:

Tengo un server dedicado alojado en francia con las siguientes caracteristicas:

hostyz6.jpg


Aqui mas informacion detallada:
https://www.ovh.es/particular/productos/superplan2008raidlarge.xml

Hace unas semanas banie a un par de cheaters del servidor y desde entonces empezaron con los ataques DDOS pues ya no se pueden loguer ni crear nuevas cuentas en el juego con su ip real y usando un servidor proxy les representa mucho lag a ellos, en definitiva no pueden jugar y su unica alternativa es joder el servidor.

Lo que ya intente y no funciono:

1.- Soporte Tecnio: Solicite ayuda al soporte tecnico hace un par de dias pero como suele suceder en estos casos saben ellos menos que yo asi que ni les volvi a escribir.

2.- Firewall: Probe el de windows y resulto ser un fraude, probe el COMODO Firewall y al principio parecia estar funcionando pues note como en el Tcpview emepzaban a aparecer los lammers enviando paquetes y a los pocos segundos estas conexiones se iban cerrando solas es decir el COMODO Firewall las estaba bloqueando bien pero eso solo duro 24Hrs porque al dia siguiente ya me habian tumbado el server de nuevo. Lograron burlar el firewall.

3.- Editando el registro de windows: Encontre una info en internet en donde se explica como editar el registro de windows para bloquear conexions constantes a la maquina, este es el link pero no funciono ademas que solo econtre 2 keys (EnableICMPRedirect y TCPMaxConnectResponseRetransmissions) de todas las keys que mandan a editar para bloquear paquetes maliciosos:

Fortaleciendo el Potocolo TCP/IP en WINDOWS contra Ataques DoS:
http://www.xombra.com/go_articulo.php?nota=44


4.- Baniando al pais entero: Los ataques provenian de Turkia asi que busque los rangos de IPs de ese pais en esta pagina: http://www.countryipblocks.net/ y las banie a todas pero al cabo de unas horas los ataques provenian de francia y Brasil -.- de hecho vi como me atacaron una vez con mi propia IP o_O asi que de nada sirve un ban IP desde el Local Security Settings de windows porque es obvio que estan usando un server proxy.

Quiero aclarar que vi como le hicieron esto a otro server y ellos lograron solucionar este problema pero obviamente no me van a decir porque soy su competencia y no seria nada raro que fueran ellos mismos los que me estan atacando.

Si omiti alguna informacion importante me avisan para postearla.

Gracias.
 
primero que todo mantenga puertos sin uso preferiblemente cerrados, mire que su servidor no este infectado y pare de contar porque ya le tocaria cambiar a un sistema UNIX que es mas seguro o contratar las "manos remotas" osea un tecnico en el datacenter que le ayude fisicamente a su servidor en este caso en las tablas de enrrutamiento
 
Si, gracias por la medida de precaucion pero el host no esta infectado y lo que necesito es bloquear los ataques, pararlos de una vez.
 
hasta donde yo se un Ataque DDoS se hace mediante una previa intrucion de puertos, en pocas palabrasd eves de tener un puerto abierto innecesariamente y te esta dejando vulnerable al ataque o te lo abrieron con alguna infeccion
 
Entones basicamente la idea seria, blockear todo con un firewall y agregar las excepciones de los programas que necestio y listo ?
 
Un día escuché de un ingeniero de sistemas, que hay sistemas para detectar estos ataques, creados con redes neuronales, y según le entendí es muy fácil de obtener y utilizar, incluso dijo "si una página recibe un ataque de negación de servicio, es porque el administrador no se preocupó por evitarlo", por eso si consulta con ing de sistemas especializado en redes, le puede ayudar, aunque posiblemente encuentre mucha más información de herramientas de sistemas tipo unix, porque están en la mayoría de servidores.

En cuanto a lo que dicen anteriormente, aunque no conozco mucho del tema no creo que sirva, porque un ataque de negación de servicio es por ejemplo, una cantidad exagerada de peticiones get que el servidor escucha y responde, y si bloquea la recepción de estas peticiones, los usuarios de internet que desean explorar su página no podrán hacerlo.
 
Un día escuché de un ingeniero de sistemas, que hay sistemas para detectar estos ataques, creados con redes neuronales, y según le entendí es muy fácil de obtener y utilizar, incluso dijo "si una página recibe un ataque de negación de servicio, es porque el administrador no se preocupó por evitarlo", por eso si consulta con ing de sistemas especializado en redes, le puede ayudar, aunque posiblemente encuentre mucha más información de herramientas de sistemas tipo unix, porque están en la mayoría de servidores.

En cuanto a lo que dicen anteriormente, aunque no conozco mucho del tema no creo que sirva, porque un ataque de negación de servicio es por ejemplo, una cantidad exagerada de peticiones get que el servidor escucha y responde, y si bloquea la recepción de estas peticiones, los usuarios de internet que desean explorar su página no podrán hacerlo.


Es que yo no estoy administrando una red lol, es un servidor de viodejuegos.
 
Firewall

Es que yo no estoy administrando una red lol, es un servidor de viodejuegos.

Efectivamente, lo que debes hacer es bloquear todo con el Firewall y adicionar unicamente los puertos que use de conexion para los juegos.
Debes crear reglas para adicionar las ip's de los DNS u otros servicios conocidos como correo o ftp si los usas desde ese server.

Cuando adiciones las politicas entonces te van a comenzar a salir en los log's las conexiones que el firewall ha denegado, entonces debes estar pendiente para ir agregando las que necesites y testear el juego para asegurarse de que tus clientes se puedan conectar sin problema (Usualmente se hace en horario de poca carga para asegurar de no afectar a los clientes mientras estes configurando tus zonas seguras en el comodo, ah y un detalle, si el servidor es remoto entonces la primera regla que debes crear es full acceso a tu ip en Colombia o desde donden haces el control, porque sino cuando subas las reglas del firewall no te va a dejar conectar).

Yo uso el Firewall Comodo y me ha funcionado perfecto.
 
...ah y un detalle, si el servidor es remoto entonces la primera regla que debes crear es full acceso a tu ip en Colombia o desde donden haces el control, porque sino cuando subas las reglas del firewall no te va a dejar conectar).

Este fue el pequeño detalle que pase por alto y cuando quise entar de nuevo me quede por fuera, estoy recuperando el control total del servidor de nuevo pero lo que me extraño fue que a pesar de haber configurado el comodo bien el login del server sigio botando error asi que supongo que necesito un HIDS y limpiar el OS de puertas traseras.
 
:)

Este fue el pequeño detalle que pase por alto y cuando quise entar de nuevo me quede por fuera, estoy recuperando el control total del servidor de nuevo pero lo que me extraño fue que a pesar de haber configurado el comodo bien el login del server sigio botando error asi que supongo que necesito un HIDS y limpiar el OS de puertas traseras.

Si te refieres a las reglas, en el comodo hay forma de definir la prioridad que le da a las reglas creadas, la de tu ip o proveedor desde donde haces login debe estar de primera, sino corres el riesgo de que sea filtradada la conexion por otra.

Si no funciona lo anterior, por las propiedades de los protocolos TCP hay una opcion de filtrado de puertos, podrias dejar disponibles solo los que necesites y con eso tendrias otra "Proteccion" a nivel de protocolos.

Por Ultimo si todo esto no va, tocaria mirar si puedes adicionar redes permitidas si conoces obviamente desde que rangos de ip's se conectan tus clientes y denegas el resto de subredes a nivel de sistema operativo con el comando route.
En la empresa usamos el route para desviar el trafico entrante de redes atacantes a una ip nula en la red, entonces lo que hace el server es redireccionar todas esas peticiones a esa ip y nadie le responde. (No es la mejor solucion porque demanda tener pleno conocimiento de tus redes confiables, pero es una opcion).
 
En la empresa usamos el route para desviar el trafico entrante de redes atacantes a una ip nula en la red, entonces lo que hace el server es redireccionar todas esas peticiones a esa ip y nadie le responde. (No es la mejor solucion porque demanda tener pleno conocimiento de tus redes confiables, pero es una opcion).


Quieres decir que con esto podria bloqueara un pais entero ? porque esosi me interesa pues toos los ataues son defrnacia y turkia. Sin embargo en estapagina: http://www.blockacountry.com/ sale los rangos de IPs por pais pero gregarlos manualmente en windows es como noob, osea debe hber alguna opion que las tome todas por rango no ?
 
Quieres decir que con esto podria bloqueara un pais entero ? porque esosi me interesa pues toos los ataues son defrnacia y turkia. Sin embargo en estapagina: http://www.blockacountry.com/ sale los rangos de IPs por pais pero gregarlos manualmente en windows es como noob, osea debe hber alguna opion que las tome todas por rango no ?

Claro, por rango se puede.
Por decir algo, tus ataques llegan desde ip's 89.120.45.38
Entonces podes bloquear toda la subred 89.0.0.0 con mascara de red 255.0.0.0

Eso bloquearia todo lo que comience con 89.xx.xx.xx
 
otro detalle q debes tener en cuenta es que el ataque tambien lo pueden estar apuntando a una misma vulnerabilidad de la plataforma del juego, entonces debes tambien tenerlo actualizado con los ultimos parches...

seria bueno q instales un snort a ver como te va...

Exitos!
 
otro detalle q debes tener en cuenta es que el ataque tambien lo pueden estar apuntando a una misma vulnerabilidad de la plataforma del juego, entonces debes tambien tenerlo actualizado con los ultimos parches...

seria bueno q instales un snort a ver como te va...

Exitos!

Esto es verdad. Tal vez pueda ser una vulnerabilidad..
Y a mi esos ataques me tienen Aburrido! la mayoria dela gente los hace por envidia :mad:
 

Los últimos temas