Archive for GNU/Linux

mayo 15th 2014

NetStat: Tips para detectar ataques DDoS

Número de lecturas: 5304
{lang: 'es-419'}

Me he encontrado un artículo muy interesante en Linuxaria sobre como detectar si nuestro Servidor se encuentra bajo ataque DDoS (Distributed Denial of Service), o lo que es lo mismo,Ataque de Denegación de Servicios.

NetStat para evitar ataques DDoS

Este tipo de ataques es bastante habitual y puede ser el motivo por el cual nuestros servidores estén algo lentos (aunque también puede ser un problema de Capa 8) y nunca está de mas estar prevenidos. Para ello, se puede usar la herramienta netstat, la cual nos permite ver las conexiones de red, tablas de rutas, estadísticas de las interfaces y otras series de cosas.

Ejemplos de NetStat

netstat -na

Esta pantalla se incluyen todas las conexiones de Internet activas en el servidor y sólo las conexiones establecidas.

netstat -an | grep :80 | sort

Mostrar sólo las conexiones activas de Internet al servidor en el puerto 80 , que es el puerto http y ordenar los resultados. Útil en la detección de una sola inundación (flood) por lo que permite reconocer muchas conexiones provenientes de una dirección IP.

netstat -n -p|grep SYN_REC | wc -l

Este comando es útil para saber cuántos SYNC_REC activa se están produciendo en el servidor. El número debe ser bastante bajo , preferiblemente menos de 5 . En los incidentes de ataques de denegación de servicio o bombas por correo, el número puede ser bastante alto. Sin embargo, el valor siempre depende del sistema, por lo que un valor alto puede ser normal en otro servidor.

netstat -n -p | grep SYN_REC | sort -u

Haz una lista de todas las direcciones IP de los implicados.

netstat -n -p | grep SYN_REC | awk '{print $5}' | awk -F: '{print $1}'

Enumere todas las direcciones IP únicas del nodo que están enviando el estado de la conexión SYN_REC .

netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

Utilice el comando netstat para calcular y contar el número de conexiones de cada dirección IP que hace al servidor.

netstat -anp |grep 'tcp|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

Cantidad de direcciones IP que se conectan al servidor mediante el protocolo TCP o UDP.

netstat -ntu | grep ESTAB | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr

Verifique las conexiones marcadas como ESTABLECIDOS en lugar de todas las conexiones, y muestra las conexiones para cada IP.

netstat -plan|grep :80|awk {'print $5'}|cut -d: -f 1|sort|uniq -c|sort -nk 1

Muestra y lista de direcciones IP y su número de conexiones que se conectan al puerto 80 en el servidor. El puerto 80 es utilizado principalmente por HTTP para peticiones Web.

Cómo mitigar un ataque DOS

Una vez que haya encontrado la IP que están atacando el servidor puede utilizar los siguientes comandos para bloquear su conexión a su servidor :

iptables -A INPUT 1 -s $IPADRESS -j DROP/REJECT

Tenga en cuenta que usted tiene que reemplazar $IPADRESS con las direcciones IP que se han encontrado con netstat.

Después de la cocción el comando anterior, MATAR todas las conexiones httpd para limpiar su sistema y reiniciarlo posteriormente usando los siguientes comandos:

killall -KILL httpd
service httpd start # Para los sistemas de Red Hat
/etc/init/d/apache2 restart # Para sistemas Debian

Fuente: Linuxaria

Fuente:

http://blog.desdelinux.net/

abril 18th 2014

Ya puedes descargar Ubuntu 14.04 LTS

Número de lecturas: 4128
{lang: 'es-419'}

Ya puedes descargar Ubuntu 14.04 LTS

Cada 6 meses vemos aparecer una nueva versión de Ubuntu, y cada 2 años una versión de soporte extendido, las LTS (Long Term Support). Ubuntu 14.04 es una de estas, y es en la opinión de muchos, el tipo de actualización que si vale la pena. Ubuntu Trusty tendrá soporte por los próximos 5 años, en sus sabores Ubuntu Desktop, Ubuntu Server, Ubuntu Core, Kubuntu, Edubuntu, y Ubuntu Kylin. El resto serán soportados por 3 años, eso incluye Ubuntu Gnome, Ubuntu Studio, Xubuntu y Lubuntu.
Si usas actualmente Ubuntu 13.10, puedes actualizar directamente tu versión desde el Gestor de Actualizaciones. Si utilizas una versión anterior, lo más recomendado es una instalación limpia, aunque puede hacerse un upgrade de versión a versión en orden, no es la manera más limpia de hacerlo.
Este nuevo Ubuntu, incluirá el nuevo APT, la primera actualización de este legendario gestor de paquetes en 16 años. Desde la página con las notas de esta versión, puedes acceder a enlaces de descarga para todos los sabores, o simplemente descargar la versión regular de Ubuntu para sistemas de 32 y 64 bits desde aquí.
Si quieres probar lo nuevo de Ubuntu, puedes darte una vuelta por el tour en linea sin necesidad de instalar o siquiera descargar nada. Los dejamos con un buen vídeo de la gente de OMG! Ubuntu con las novedades de la versión.

Fuente:
bitelia.com

abril 14th 2014

nethogs: Conoce cuánto ancho de banda consume cada aplicación

Número de lecturas: 3609
{lang: 'es-419'}

¿Alguna vez has deseado saber cuánto está consumiendo de tu ancho de banda una aplicación? ¿O saber la velocidad de conexión entrante o saliente que usa un navegador u otro software?

Existe una aplicación que muestra cada servicio que se conecta a internet, seguido de la velocidad de datos entrantes y salientes. Su nombre es nethogs.

Nethogs

Aquí les muestro una captura de nethogs en acción:

nethogs

Como pueden ver, aparece el PID, usuario que ejecuta la aplicación, el programa o la ubicación de su ejecutable, la interfaz, así como los kb por segundo que la aplicación envía y recibe.

Instalación de nethogs

Para instalarlo en DebianUbuntu u otra distro similar:

sudo apt-get install nethogs

Por otra parte si usas ArchLinux o derivados:

sudo pacman -S nethogs

Luego, en un terminal hay que ejecutarlo (con privilegios de administrador) seguido de la interfaz de red que deseas monitorear. Por ejemplo:

sudo nethogs eth0

Nethogs muestra información en tiempo real. Si deseas especificar el intervalo de actualización puedes hacerlo con el parámetro -d. Más información:

man nethogs

Fuente:

http://blog.desdelinux.net/

enero 31st 2014

access-point wifi in ubuntu 12.10

Número de lecturas: 5486
{lang: 'es-419'}

Como configurar Ubuntu 12.10 para compartir la conexión cableada o 3G, funcionando como un router WiFi. En primer lugar necesitamos los paquetes isc-dhcp-server y hostapd. Para instalarlos,

> sudo apt-get install isc-dhcp-server
> sudo apt-get install hostapd

Configuración de la interfaz de red

1. /etc/hostapd/hostapd.conf

Editamos este archivo (lo creamos si no existe) con el siguiente contenido,

interface=wlan0
driver=nl80211
ssid=
channel=1
hw_mode=g
auth_algs=1
wpa=3
wpa_passphrase=
wpa_key_mgmt=WPA-PSK
wpa_pairwise=TKIP CCMP
rsn_pairwise=CCMP

donde en interface ponemos la interfa de red inalámbrica que usaremos (revisar con iwconfig). Completar los campos ssid= ywpa_passphrase= con el nombre y la contraseña de la red.

2. /etc/default/isc-dhcp-server

Editar la línea que dice
INTERFACES=”?
cambiando por
INTERFACES=”wlan0?

Nuevamente corroborar que wlan0 es la interfaz de red que utilizaremos. Puede ser wlan1.

3. /etc/dhcp/dhcpd.conf

Primero asegurarse que las siguientes líneas están comentadas (con un # al principio):

# option definitions common to all supported networks…
# option domain-name “example.org”;
# option domain-name-servers ns1.example.org, ns2.example.org;
# default-lease-time 600;
# max-lease-time 7200;

Agregar las siguientes líneas

subnet 10.10.0.0 netmask 255.255.255.0 {
range 10.10.0.2 10.10.0.16;
option domain-name-servers 8.8.4.4, 208.67.222.222;
option routers 10.10.0.1;
}

La única otra línea que no debe estar comentada en este archivo es

ddns-update-style none;

4. /etc/default/hostapd

Agregar las siguientes líneas al final del archivo, asegurándose que las líneas existentes similares a estas están comentadas.

RUN_DAEMON=”yes”
DAEMON_CONF=”/etc/hostapd/hostapd.conf”
DAEMON_OPTS=”-dd”

5. /etc/network/interfaces

Así es como debería verse este archivo:

auto lo
iface lo inet loopback

auto wlan0
iface wlan0 inet static
address 10.10.0.1
netmask 255.255.255.0

Nuevamente aquí va la interfaz inalámbrica que utilizaremos, seawlan0wlan1, etc. Nota: Las últimas 4 líneas de este archivo deben comentarse si se necesita volver al funcionamiento normal de la tarjeta de red inalámbrica.

En este punto reiniciar el sistema. Debería estar funcionando la red y deberíamos ser capaces de conectarnos a ella con cualquier aparato con WiFi, pero aún no tenemos acceso a Internet.

Compartir conexión a Internet

Antes de configurar nada, necesitamos saber de que interfaz proviene la conexión a Internet que compartiremos. En el caso de una red cableada puede ser eth0, en el caso de un modem 3G puede ser ppp0, etc. Chequear con ifconfig. De ahora en adelante supondremos que compartimos la conexión cableada, por lo que seguiremos la configuración usando eth0.

Para compartir la conexión a Internet debemos hacer lo que se llama “ip masquerading”.

1. /etc/sysctl.conf

Asegurarse que la siguiente línea NO está comentada:

net.ipv4.ip_forward=1

Reiniciar el sistema.

Luego de reiniciar el sistema, ejecutar en una terminal:

> sudo iptables -t nat -A POSTROUTING -s 10.10.0.0/16 -o eth0 -j MASQUERADE

(Nota: cambiar eth0 por la interfaz conectada a Internet).

2. edit /etc/rc.local

Para hacer el anterior cambio permanente, agregamos la siguiente línea, justo antes de “exit 0?

iptables -t nat -A POSTROUTING -s 10.10.0.0/16 -o eth0 -j MASQUERADE

Reiniciar el sistema. Configuración terminada.

Si el programa hostapd no se ejecutó automáticamente, simplemente abrir una terminal y ejecutar

> sudo hostapd /etc/hostapd/hostapd.conf

Fuente

http://foreverubuntu.wordpress.com/