[AYUDA] servidor sobrecargado...
Miguel Guirao
miguel.guirao en mail.telcel.com
Mie Jun 9 11:31:42 CDT 2010
OK, cuando dos equipos se van a comunicar entre si, en una red TCP/IP, se
usa el handshake para establecer las condiciones de la comunicación.
Supongamos que Pedro quiere entablar una conversación con la exuberante
Tania, para ello Pedro le manda a Tania un paquete TCP/IP, en donde en el
encabezado de IP se activa el bit para la bandera SYN (sincronización), es
decir: Que onda, guapa!! Me gustaría platicar contigo!!
Tania, la buena onda Tania, le contesta: Nos hablamos en Español (TCP/IP),
nos sincronizamos y pues estoy de acuerdo en hablar contigo. Tania igual
manda un paquete con las banderas SYN y ACK encendidas.
Finalmente, Pedro le contesta: Excelente!! Ya Sali ganon esta noche!!
Enviandole un paquete con la bandera ACK encendida.
A partir de este saludo de tres vías, se inicia la comunicación, ya sea esta
http, FTP, etc.
MTU es determinado en esta secuencia de saludo!!! Son sólo tres paquetes que
se intercambian para establecer comunicación!!
Una excelente guía que todo administrador de red debería de leer es:
http://www.tcpipguide.com/free/t_TCPConnectionEstablishmentProcessTheThreeWa
yHandsh-3.htm
_____
From: ayuda-linux en googlegroups.com [mailto:ayuda-linux en googlegroups.com] On
Behalf Of Paynalton
Sent: Wednesday, June 09, 2010 11:04 AM
To: ayuda-linux en googlegroups.com
Subject: Re: [AYUDA] servidor sobrecargado...
por algún lado leí sobre los inconvenientes de cerrar ICMP, pues afecta al
rendimiento del protocolo TCP.
Tengo entendido que en un primer intento, cuando dos equipos van a
establecer una conexión se mandan un paquete ICMP para determinar el MTU
máximo a utilizar durante la transferencia de TCP, pero cuando el ICMP está
bloqueado entonces no es posible determinar el MTU, de manera que "Adivinan"
el MTU lmandando paquetes primero lentamente y luego cada vez más rápido
hasta que se empiezan a perder, y entonces bajan la velocidad al máximo
posible sin perder paquetes.
Eso provoca un retraso en la transferencia, pues con un MTU bien establecido
no es necesario realizar esa prueba y desde el principio los paquetes se
mandan con la misma velocidad.
Si un ave no rompe su huevo morirá antes de nacer.
Nosotros somos el ave y el mundo es nuestro huevo.
POR LA REVOLUCIÓN DEL MUNDO!!!!
Ciudad de México
El 9 de junio de 2010 10:55, Miguel Guirao <miguel.guirao en mail.telcel.com>
escribió:
Y lo peor de todo es que diras dentro de 15 años que la red no es como solía
ser ahora!!!
Lo que creo que has tenido con scaneos intentando encontrar alguna
vulnerabilidad en tus sistemas para explotarla y se convierta en un vector
de ataque.
Ciertamente, buscaran instalar scripts (bakdoors, Troyanos o algun tipo de
rootkits) para mantener acceso a tu sistema.
Apoyate con un IDS, bloquea los puertos que no requieres, ejemplo ICMP
desde Internet a tus sistemas!! Si es que no lo requieres!!
Lo mejor es tomar una aproximación por capas, comenzando desde tu equipo de
frontera, y de ahí ir bajando hasta llegar a los sistemas finales (AV,
anty-spyware, etc), que tan sofisticado sea?? Eso dependera del $$$
destinado a InfoSec y de la sensibilidad de la info, sistemas que deseas
proteger!!
Pueden consultar NIST para obtener unas guías de hardening, hay otros sitios
donde hay templates para hardening y que son acompañados por un benchmark
para validar que tanto te apegas al template de seguridad que ellos proponen
en base a un consenso. Este template tu lo puedes regionalizar!!!
My two niquel cents!!
Chicolinux!!
_____
From: ayuda-linux en googlegroups.com [mailto:ayuda-linux en googlegroups.com] On
Behalf Of Javier Delgado
Sent: Wednesday, June 09, 2010 10:38 AM
To: ayuda-linux en googlegroups.com
Subject: Re: [AYUDA] servidor sobrecargado...
Desde que tuve mi primer servidor web, he tenido ataques con cierta
regularidad.
Pero antes eran esporadicos, ahora son casi cotidianos y sobre todo que
ahora ya comienzan a impactar en la capacidad del servidor.
Imagino de de lograr entrar, insertarian scripts para usar mi servidor para
atacar otros, ademas de usarlos para spam y algunas otras actividades
lucrativas, el unico consuelo que tengo, es que los intentos no parecen ser
muy sofisticados..
Otro factor, claro, es el spam, tengo instalado spam Assasin, pero
ultimamente lo he tenido que desactivar, (para molestia de mis clientes),
pero el volumen de SPAM a crecido tanto el SPAM Assasin comienza a consumir
demasiados recursos... arghh...
En fin, la red es un mundo menos amable que hace 15 años... :(
Javier Delgado
El 08/06/2010 12:53 p.m., Paynalton escribió:
Oigan, creen que se trate de algún movimiento grande? yo tambien he revisado
mis log y tengo tambien ataques sobre smtp y ssh en dos servidores.
Si un ave no rompe su huevo morirá antes de nacer.
Nosotros somos el ave y el mundo es nuestro huevo.
POR LA REVOLUCIÓN DEL MUNDO!!!!
Ciudad de México
El 8 de junio de 2010 12:43, Javier Delgado <javierd en paralax.com.mx>
escribió:
Hola Paynalton
Como dato curioso, cuando apago apache y postix durante un minuto,, el
ataque cesa, al menos durante unas horas. Eso incluye los intentos de
login... pero luego vuelve a continuar, desde otra direccion IP.
Esto ya tiene un varios de meses, al principio estuve bloqueando las
direcciones ip desde iptables, pero con la facilidad que cambia de direccion
Ip, no creo que sea muy practico.
Por lo que estuve leyendo, el script de ataque que deja la firma "bye bye"
es considerado como muy poco eficiente.. asi que el atacante debe tener o
mucho tiempo libre... o muchos scripts automatizados programados en zombies
Solo que utlimamente la intensidad a aumentado, al nivel de tirar al
servidor. y eso me proecupa, pues ya esta afectando el rendimiento y el
servicio que doy a mis clientes.
Con todo, ya recopile varias ideas para ponerl as a pruebra
Javier
El 08/06/2010 11:30 a.m., Paynalton escribió:
Mira, si no cesa este tipo de ataque, pondrá sobre aviso al atacante de que
te has percatado, de que estás tomando soluciones y puede que decida el
sujeto buscar un blanco sin supervisión....
Si un ave no rompe su huevo morirá antes de nacer.
Nosotros somos el ave y el mundo es nuestro huevo.
POR LA REVOLUCIÓN DEL MUNDO!!!!
Ciudad de México
El 8 de junio de 2010 10:52, Javier Delgado <javierd en paralax.com.mx>
escribió:
Hola
bueno... el dinero es parte de la razon, pero la otra es que me gusta hacer
las cosas por mi mismo.
Desde hace 12 años, manejo mi propio servidor, el que tengo actualmente ya
tiene 2 años, y me encarge de dar todo de alta, pero tampoco estoy metido
mucho en Linux...
No tengo un servidor de pruebas... pero puedo formatear una maquina para
hacerlo.. olvide comentar que el que estoy usando esta fisicamente en
Canada...
Ok.. deshabilitar root en SSH es una gran idea...
Sin embargo tengo una duda... mas o menos en el transcurso de 10 horas.,
tengo unos 10,000 intentos de login.
Con ese numero de logins, tengo un load average de 0.2 a 0.6 lo cual es
tolerable...
Entonces que es lo que causa que llege a un load average de 80?? que es
cuando se cae el servidor..
Lo que me intriga es que si en ese momento, desactivo apache, postifx y
dovecot, el load average baja hasta 0.1 lo que me suena mas a un DoS
attack. Concentrarme en bloquear los logins, evitara tambien este tipo de
ataque?
No se si ya lo mencione... el servidor es un
CentOS Linux 5.4,
Kernel and CPU Linux 2.6.18-164.15.1.el5 on x86_64
Administrado con Virtualmin.3.78.gpl
Javier
El 08/06/2010 10:13 a.m., GaRaGeD Style escribió:
Hola Javier
Te estas metiendo en honduras serias, entiendo que no has de tener dinero
para contratar a alguien capacitado, entonces tendras que poner de tu parte,
leer mucho, y experimentar, espero que al menos tengas un servidor para
pruebas.
Para empezar, lo mejor sería que deshabilites el acceso por ssh para root,
luego, modifica PAM (google es tu amigo) para que bloquee despues de unos
intentos la cuenta que están atacando (esta es una idea no tan buena, saca
conclusiones), y luego instala fail2ban para que bloquee por firewall la IP
de quien te ataca, aqui si te puedes dar el lujo de bloquear por tiempos
relativamente largos.
Este es un tema interesante, no es algo que vayas a lograr controlar en unos
días, de verdad necesitas leer, meterte a entender el sistema operativo que
estas usando como servidor.
Saludos
Max
--
$ echo "scale=1000000; 4*a(1)" | bc -l
--
Has recibido este mensaje porque estás suscrito a Grupo "ayuda-linux"
de Grupos de Google.
Si quieres publicar en este grupo, envía un mensaje de correo
electrónico a ayuda-linux en googlegroups.com
Para anular la suscripción a este grupo, envía un mensaje a
ayuda-linux-unsubscribe en googlegroups.com
Para obtener más opciones, visita este grupo en
http://groups.google.es/group/ayuda-linux?hl=es. o
http://www.compunauta.com/ayuda/
No virus found in this incoming message.
Checked by AVG - www.avg.com
Version: 8.5.437 / Virus Database: 271.1.1/2925 - Release Date: 06/08/10
06:35:00
--
Javier Delgado Rosas
______________________
JavierD en paralax.com.mx
www.paralax.com.mx
En twitter:
http://twitter.com/paralaxmultimed
--
Has recibido este mensaje porque estás suscrito a Grupo "ayuda-linux"
de Grupos de Google.
Si quieres publicar en este grupo, envía un mensaje de correo
electrónico a ayuda-linux en googlegroups.com
Para anular la suscripción a este grupo, envía un mensaje a
ayuda-linux-unsubscribe en googlegroups.com
Para obtener más opciones, visita este grupo en
http://groups.google.es/group/ayuda-linux?hl=es. o
http://www.compunauta.com/ayuda/
--
Has recibido este mensaje porque estás suscrito a Grupo "ayuda-linux"
de Grupos de Google.
Si quieres publicar en este grupo, envía un mensaje de correo
electrónico a ayuda-linux en googlegroups.com
Para anular la suscripción a este grupo, envía un mensaje a
ayuda-linux-unsubscribe en googlegroups.com
Para obtener más opciones, visita este grupo en
http://groups.google.es/group/ayuda-linux?hl=es. o
http://www.compunauta.com/ayuda/
No virus found in this incoming message.
Checked by AVG - www.avg.com
Version: 8.5.437 / Virus Database: 271.1.1/2925 - Release Date: 06/08/10
06:35:00
--
Javier Delgado Rosas
______________________
JavierD en paralax.com.mx
www.paralax.com.mx
En twitter:
http://twitter.com/paralaxmultimed
--
Has recibido este mensaje porque estás suscrito a Grupo "ayuda-linux"
de Grupos de Google.
Si quieres publicar en este grupo, envía un mensaje de correo
electrónico a ayuda-linux en googlegroups.com
Para anular la suscripción a este grupo, envía un mensaje a
ayuda-linux-unsubscribe en googlegroups.com
Para obtener más opciones, visita este grupo en
http://groups.google.es/group/ayuda-linux?hl=es. o
http://www.compunauta.com/ayuda/
--
Has recibido este mensaje porque estás suscrito a Grupo "ayuda-linux"
de Grupos de Google.
Si quieres publicar en este grupo, envía un mensaje de correo
electrónico a ayuda-linux en googlegroups.com
Para anular la suscripción a este grupo, envía un mensaje a
ayuda-linux-unsubscribe en googlegroups.com
Para obtener más opciones, visita este grupo en
http://groups.google.es/group/ayuda-linux?hl=es. o
http://www.compunauta.com/ayuda/
No virus found in this incoming message.
Checked by AVG - www.avg.com
Version: 8.5.437 / Virus Database: 271.1.1/2925 - Release Date: 06/08/10
06:35:00
--
Javier Delgado Rosas
______________________
JavierD en paralax.com.mx
www.paralax.com.mx
En twitter:
http://twitter.com/paralaxmultimed
--
Has recibido este mensaje porque estás suscrito a Grupo "ayuda-linux"
de Grupos de Google.
Si quieres publicar en este grupo, envía un mensaje de correo
electrónico a ayuda-linux en googlegroups.com
Para anular la suscripción a este grupo, envía un mensaje a
ayuda-linux-unsubscribe en googlegroups.com
Para obtener más opciones, visita este grupo en
http://groups.google.es/group/ayuda-linux?hl=es. o
http://www.compunauta.com/ayuda/
--
Has recibido este mensaje porque estás suscrito a Grupo "ayuda-linux"
de Grupos de Google.
Si quieres publicar en este grupo, envía un mensaje de correo
electrónico a ayuda-linux en googlegroups.com
Para anular la suscripción a este grupo, envía un mensaje a
ayuda-linux-unsubscribe en googlegroups.com
Para obtener más opciones, visita este grupo en
http://groups.google.es/group/ayuda-linux?hl=es. o
http://www.compunauta.com/ayuda/
--
Has recibido este mensaje porque estás suscrito a Grupo "ayuda-linux"
de Grupos de Google.
Si quieres publicar en este grupo, envía un mensaje de correo
electrónico a ayuda-linux en googlegroups.com
Para anular la suscripción a este grupo, envía un mensaje a
ayuda-linux-unsubscribe en googlegroups.com
Para obtener más opciones, visita este grupo en
http://groups.google.es/group/ayuda-linux?hl=es. o
http://www.compunauta.com/ayuda/
--
Has recibido este mensaje porque estás suscrito a Grupo "ayuda-linux"
de Grupos de Google.
Si quieres publicar en este grupo, envía un mensaje de correo
electrónico a ayuda-linux en googlegroups.com
Para anular la suscripción a este grupo, envía un mensaje a
ayuda-linux-unsubscribe en googlegroups.com
Para obtener más opciones, visita este grupo en
http://groups.google.es/group/ayuda-linux?hl=es. o http://www.compunauta.com/ayuda/
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://lists.srvr.mx/pipermail/ayuda/attachments/20100609/b9aaff5c/attachment.html>
Más información sobre la lista de distribución Ayuda