Proteger servidor contra ataques Synflood ou DDoS

Hoje vou dar uma pequena dica como proteger o seu servidor web contra ataques Synflood ou DDos.

Quando se inicia uma conexão TCP é enviado um pacote para o destino, que indica o início de uma conexão (Flag SYN). A máquina de destino responde com um pacote de confirmação (SYNACK).

O ataque ocorre quando uma máquina de origem envia um grande número de pacotes SYN para o nosso servidor para que este tenha de responder com o pacote de confirmação SYNACK. Esta acção repetidamente resulta num excesso de tabelas do nosso servidor que leva ao bloqueio do mesmo.

O Linux pode prevenir estes excessos de pedidos SYN utilizando um syncookie. Trata-se de um mecanismo que controla o ritmo a que os pacotes de SYN chegam ao servidor. Se este mecanismo detectar pedidos acima do normal começa a livra-se de entradas da tabela SYN.

Para aplicar este mecanismo no seu servidor deve abrir um terminal e digitar:

echo 1 > /proc/sys/net/ipv4/tcp_syncookies

Pode também bloquear se quiser o ICMP PING REQUEST

iptables -A OUTPUT -p icmp –icmp-type echo-request -j DROP

Para verificar que o seu servidor está protegido contra estes ataques pode utilizar o

OWASP HTTP Post Tool, uma ferramenta criada pela OWASP (The Open Web Application Security Project) para esse efeito.