Proteger servidor contra ataques Synflood ou DDoS
Hoje vou dar uma pequena dica como proteger o seu servidor web contra ataques Synflood ou DDos.
Quando se inicia uma conexão TCP é enviado um pacote para o destino, que indica o início de uma conexão (Flag SYN). A máquina de destino responde com um pacote de confirmação (SYNACK).
O ataque ocorre quando uma máquina de origem envia um grande número de pacotes SYN para o nosso servidor para que este tenha de responder com o pacote de confirmação SYNACK. Esta acção repetidamente resulta num excesso de tabelas do nosso servidor que leva ao bloqueio do mesmo.
O Linux pode prevenir estes excessos de pedidos SYN utilizando um syncookie. Trata-se de um mecanismo que controla o ritmo a que os pacotes de SYN chegam ao servidor. Se este mecanismo detectar pedidos acima do normal começa a livra-se de entradas da tabela SYN.
Para aplicar este mecanismo no seu servidor deve abrir um terminal e digitar:
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
Pode também bloquear se quiser o ICMP PING REQUEST
iptables -A OUTPUT -p icmp –icmp-type echo-request -j DROP
Para verificar que o seu servidor está protegido contra estes ataques pode utilizar o
OWASP HTTP Post Tool, uma ferramenta criada pela OWASP (The Open Web Application Security Project) para esse efeito.
4 Comentários para Proteger servidor contra ataques Synflood ou DDoS