"Hay 623 Usuarios identificados"
Cuando lo normal es que haya una media de 250-300 usuarios conectados al mismo tiempo... Hasta ahí parecía normal, ¿por que no podía aver la casualidad de que hoy entrara más gente?... Mi sorpresa me la lleve al ver la opción "Quién está conectado" (donde me muestra los usuarios conectados e invitados, con sus respectivas ips y user agent). Encontré algo extraño.... Numerosos usuarios "Invitados" tenian un user agent un tanto raro... El user agent podríamos definirlo como el identificador de un navegador. Veamos una imagen de un invitado, normal, navegando por el foro:
Como podemos ver en la imagen, efectivamente, este usuario está navegando por el foro mediante firefox. Por donde iba? ah si, por los invitados con user agent un tanto raro... Pues mirando, me encontraba decenas de invitados con un user agent que no hacia referencia a un navegador... Aquí una imagen:
Vaya... "V32" que es ese user agent?. Pues ese user agent es un pc infectado, que está "Atacando a mi foro" pongo atacando entre comillas, por que me causó gracia ver que alguien realizara este tipo de ataque xD, es más, apostaría a que quien lo hizo no tenía mucha idea... Hay diferentes ataques DDoS:
* SYN Flood
* ICMP Flood
* UDP Flood
Todos estos ataques teóricamente son ataques efectivos, y fuertes, si el ataque es enviado desde cientos de máquinas. No voy a explicar la función de cada ataque, buscar en goooooooogle... De momento me voy a centrar en el ataque que he recibido hoy, no, no era ninguno de estos... Esta vez era un ataque al que normalmente se le llama "http visitas" o "visitas http" ja, en fin, hacer una visita a la web de toda la vida!!! xD. Este individuo, me estaba haciendo visitas simultaneas a la web para "colapsarla" xD, muchos de los malwares actuales llevan esa función, pero normalmente empleadas para aumentar visitas y ya está, no para hacer ddos :S, por eso repito, que quien estaba detrás del ataque no tenia mucha idea... Aproximadamente habían unos 350 invitados malignos...
La verdad es que no les tenía miedo, ni siquiera relentizaban la web, pero, el ancho de banda del foro si lo gastaban, y ya no podia ver las estadisticas reales si unos bots me estaban haciendo visitas simultaneas. Así que después de reirme un rato viendo como actuaban los zombies, decidí parar el ataque de la forma más sencilla que se me ocurrió... Haciendo un script en php!!:
CÓDIGO
Cabe destacar, que para banear la ip previamente tenía instalado iptables, que es un firewall por consola, muy efectivo por cierto. Y configurado adecuadamente los permisos para que el script pudiera ejecutar comandos con la función de php exec(). * el script lo acabo de escribir alomejor falla algo jaa
Fin de la histora, un saludo!
0 comentarios:
Publicar un comentario