En el universo del internet web existe muchos bichos y demás cosas indeseables que sólo provocan una serie de problemas en nuestras computadoras o paginas webs, y no necesariamente tienes que esperar a que te ocurra un problema de este tipo, si no deseas ser victima de un ataque simple como spam-bot que puede saturar tu servidor web, que se considera como un ataque de denegación de servicio (DoS).

Normalmente según los protocolos de HTTP 1.1 un usuario común sólo necesita tener unas pocas conexiones abiertas, deberían usar pocas conexiones persistentes para realizar todas las peticiones necesarias. Aunque el usuario puede modificar esto facilmente la mayoria no lo necesita, ni sabe de su existencia, por lo que es seguro que muy pocos necesitan abrir más 10 conexiones, además de que hacer esto significaría tener un bajo rendimiento.

Teniendo en cuenta esto, cuando una dirección IP abre demasiadas conexiones a la vez, puede ser considerado como un atacante web o hacker. Existen muchas maneras fáciles de evitar estos ataques, y una de las opciones nos dá precisamente DoS-Deflate, que es un script que ayuda a vigilar la cantidad de conexiones de cada IP hacia nuestro servidor web. DoS-Deflate bloquea las IPs que tengan cierto limite de conexiones, usando APF o iptables.

Instalarlo en nuestro servidor web es sencillo, los desarrolladores nos brindan un script simple para instalar:

wget http://www.inetbase.com/scripts/ddos/install.sh
chmod 0700 install.sh
./install.sh

Igualmente tienes el widget para desinstalar si ya no lo deseas:

wget http://www.inetbase.com/scripts/ddos/uninstall.ddos
chmod 0700 uninstall.ddos
./uninstall.ddos

Una vez instalado DoS-Deflate, podemos editar la configuración que se ubica en /usr/local/ddos/ddos.conf:

* FREQ=1.- Cada cuantos minutos correr el script. Viene programado para correr cada minuto, lo que parece razonable, teniendo en cuenta que de un minuto a otro podrían saturarte mucho el servidor web.
* NO_OF_CONNECTIONS=150.- Indica el límite de conexiones, 150 en este caso. Si una conexión IP hace más conexiones que este límite, se le bloqueará por el tiempo que se especifica en BAN_PERIOD.
* APF_BAN=1 . Si es igual a uno (1) se usará APF, sino lo tienes instalado, cámbialo por cero (0) para usar iptables.
* BAN_PERIOD=600. Cantidad de segundos en que la IP estará bloqueada. Son 10 en la configuración predeterminada, puedes cambiarlo por una hora (3600 segundos).

Teniendo funcionando el script, se nos enviará un mail con el detalle de la ip bloqueada.

Si deseas que alguna IP conocida realice muchas conexiones hacia tu servidor web, y la tienes bién identificada puedes indicarlo en /usr/local/ddos/ignore.ip.list para que no sea bloqueada.

Como dije al inicio hay muchas formas de proteger tu servidor web y por supuesto, DoS-Deflate es solo una forma de protegerte contra los ataques DoS, hay muchas más formas de detectarlos y prevenir que saturen tu servidor, igual se recomienda este Link para mayor información. Vale la pena tener lo más seguro posible nuestro servidor, para que el rendimiento en general no se vea afectado, por ningún intruso indeseado.