ataque DDos

Antes que nada pido a los moderadores que muevan el tema a donde crean conveniente, es la primera vez que me pasa algo asi y no se en que subforo ubicarlo.

Bueno, pues acabo de sufir un ataque DDos en el servidor (eso me dijeron los administradores del server), tuve el servidor "bloquedado" para todas las ips durante 12 horas para evitar el ataque.

Me comentaron que el ataque no fue "aleatorio", que venian a cebarse con mis webs.

Queria saber si alguien me puede dar un poco mas de informacion, como puedo saber de donde proviene este ataque, etc... Porque estoy bastante preocupado.

Gracias de antemano!

Es imposible, porque los ataques DDoS ( generalmente ) provienen de miles computadores/servidores zombies, que son controlados remotamente por crackers. Tendrás miles de IP's en tus registros, pero ninguna te va a ayudar a saber el origen. A menos que el responsable haga público el ataque, ya sea en foros, blogs, etc.

Para evitar este tipo de ataques, si son demasiado masivos y gigantescos, es preferible utilizar un firewall físico, antes que un software.

Espero que haya podido resolver tu inquietud.

Lo que apunta KekoGrama es sólo uno de los posibles ataques DDOS posibles. Los ataques de denegación de servicio pueden ser de multiples tipos...

Algunos son por saturación (el que comenta KikoGrama), son los más simples porque no requieren de ninguna acción especial, salvo como te dice él, disponer de miles de equipos accediendo a un servicio concreto de tu servidor cada pocos segundos, de forma que satures la máquina y sea incapaz de responder a nuevas peticiones (con lo que obtienes un DDOS en la práctica).

Pero también hay infinidad de ataques DDOS que aprovechan un bug en alguno de los servicios de tu máquina, o en el núcleo del S.O., o en una pobre programación de una página web, por ejemplo (que deje abierta una forma de provocar un segmentation fault en algún servicio, por ejemplo)...

Para saber que te hicieron y como deberías realizar un análisis forense de tu máquina. Podrías encontrarte con esas miles de IPs que te comentaban antes (con lo que ya sabrías la forma en que te atacaron)... O podría ser algo más sutil.

El problema es que eso es algo que se debe hacer EN EL MOMENTO. Apagar discos y sacarlos para estudiarlos en frío.

En cualquier caso, ANTES DE NADA asegúrate de tener todos los parches del S.O. al dia, asi como de los servicios que expongas (servidor web, PHP, MySQL, correo, etc...)