Ayuda y descripción del proceso de pedido de servicios → Protegiendo su servidor web de ataques Flood

Fecha de publicación: 28.01.2023

Descripción de la configuración

Configuración de servicios de servidor web para proteger contra pequeños ataques, inundaciones y ataques de adivinación de contraseñas. Este tipo de ataque está diseñado para aumentar la carga de un servicio web, consumir recursos del servidor y provocar denegación de servicio por agotamiento y falta de recursos. Esta guía le permite configurar su servidor para obtener protección básica contra diferentes tipos de ataques a nivel de servidor. En nuestros ejemplos de configuración, utilizamos el sistema operativo Centos 7.

¿Cuál es la diferencia con el servicio de protección contra ataques DDOS?

El servicio Protección contra ataques DDOS se proporciona en forma de una dirección IP protegida, cuyo tráfico pasa a través de equipos especiales y protege contra ataques medianos y grandes diseñados más para desactivar equipos de red. Pero no protegerá los servicios de pequeñas inundaciones, que también pueden causar daños, ya que simplemente no lo reconoce debido a la pequeña cantidad de bots que acceden al servidor web. En el caso de un enfoque correcto para la protección del servidor, se aplican ambas reglas: protección contra inundaciones y protección contra ataques DDoS. Aquí describiremos cómo configurar su servidor web para protegerlo de inundaciones.

Servicios web

Dependiendo del servidor web que elija, existen diferentes métodos y tipos de configuración. Hemos enumerado los servicios web más populares y descrito la configuración de cada uno.

nginx
apache

Protección contra ataques de Fuerza Bruta

Este tipo de ataque aumenta enormemente la carga del servicio web. El atacante proporciona un enlace al formulario de inicio de sesión en el área de administración del sitio y lo ejecuta en varios robots, que comienzan a adivinar contraseñas utilizando los métodos get y post. En los registros verá cientos, miles de solicitudes de las mismas direcciones IP. Pueden crear una carga significativa y provocar que el servicio web falle. Para protección utilizaremos el servicio Fail2Ban, que, si se excede el límite de solicitudes en el mismo enlace en 10 minutos, bloqueará la dirección IP durante un tiempo determinado. Según nuestra experiencia y observaciones, con este tipo de ataque, el servicio es capaz de bloquear alrededor de 5000 direcciones IP en un corto período de tiempo sin crear una carga en el servidor.

Fail2ban

Protección contra ataques SYN Flood

Este tipo de ataque emula una solicitud de un visitante normal de un sitio web, pero a diferencia de un cliente real, el bot, sin esperar una respuesta del servidor, envía una nueva solicitud al servicio web; cuando hay varios miles de solicitudes, el servicio se congela y deja de responder a las solicitudes. Este tipo de ataque es muy popular porque no requiere grandes recursos para desactivar un servidor desprotegido. El servicio ddos deflate refleja perfectamente este tipo de ataque.

Desinflación DDOS

Establecer límites de conexión

Aquí hablaremos sobre las reglas del firewall; debe establecer un límite en la cantidad de conexiones desde una dirección IP para todos los servicios. Esta regla ayudará a evitar el desbordamiento de la pila, cuyo límite se establece en la configuración del kernel. Realizaremos la configuración en iptables en Centos.

iptables

Protección contra sobrecarga y aumento de la carga promedio.

De una forma u otra, existen diferentes tipos de ataques, y si los servicios de protección no tuvieron tiempo de funcionar o no se configuraron todos los filtros, la carga en el servidor durante el ataque aumentará y, en última instancia, perderá el acceso al servidor. dejará de responder. Para no perder el acceso cuando el servidor sea atacado, recomendamos configurar un script que, en caso de carga alta, reiniciará los servicios necesarios y realizará otras acciones.

script Crontab

Conclusión

Este tipo de configuración le permitirá repeler la mayoría de los pequeños ataques DDoS sin pérdida de rendimiento y también protegerá el sitio de posibles adivinanzas de contraseña. Esta configuración debe realizarse una vez. Después de un tiempo, debe verificar los archivos de registro para asegurarse de que logrotate esté funcionando y que los archivos no ocupen más de 5 a 10 megabytes. Si el tamaño es grande, es posible que el servicio Fail2Ban no funcione correctamente debido a la gran cantidad de datos. Con esta configuración, incluso un servidor con una pequeña cantidad de procesador y recursos de memoria funcionará de manera estable. También recibirás notificaciones por correo electrónico y siempre sabrás qué direcciones IP fueron bloqueadas y cuándo.