Bueno si alguien tiene experiencia en servidores, linux y ataques DDOS le agradecería enormemente que se pusiera en contacto conmigo 
Me parece q estamos siendo víctimas de un ataque en un servidor privado y me gustaría ver si hay alguna posibilidad de contrarrestarlo.
Gracias a todos y saludos!
En source hay un exploit que te deja el servidor injugable 500 de ping etc. Pero en 1.6 no hay ninguno conocido. Si el ddos es a la maquina afectaria no solo al servidor sino a la red entera.
PD:iptraf para ver los paquetes raros y a bloquear ips en iptables.
#4 hombre si es un poco sofisticado el ataque tendran proxys suficientes como para q un simple bloqueo de ips sea inutil no se... a parte si precisamente te estan haciendo un ddos no es tan sencillo furrular con un server si no tienes acceso fisico a el
Para linux creo recordar haber leido alguna guia para bloquear ataques con SNORT mas alguna herramienta externa, son muchas peticiones por minuto, pones un limite y vas banneando cada ip que lo haga de forma automatica, pero no tengo ni idea donde podria buscar ese manual, lo siento.
Teneis traza de paquetes?
Podeis estimar el numero de peticiones por segundo?
Y las IP's?
Analizad el trafico y aseguraos de que sucede algo así.
Pensad en el DDOS que se hizo en 4chan.
El servidor está enrutado via proxy (balanceador)?
Mirad que no esteis trabajando mediante X-Forwarded-For en peticiones HTTP o demás, porque sinó, lo teneis jodido para detectar IPs ya que os estan colando una buena... :\
He hecho whois y el 80% o más, son de AFRINIC. Os dejo ahora mismo el listado q me dá de las más cansinas el DdosDef.:
Nº Conex. / IP
279 41.237.3.90
239 41.238.89.5
148 41.237.14.126
91 82.201.231.227
79 196.205.162.172
48 62.139.218.207
45 41.236.241.12
42 86.60.104.212
32 196.205.122.233
21 86.34.137.226
21 41.232.145.42
19 217.54.64.77
18 41.178.157.82
Por si queréis hacerles whois, son todas iguales seguramente.
Si tenéis APACHE de momento iría probando con ->
http://rm-rf.es/evitar-ataques-dos-apache-mod_evasive/
Salu2 
¿Pero en el log del mod_evasive te salen IPs baneadas? Tb depende de qué tipo de ataque dos sea...
Imagino que ya tendrás el enlace, pero si no, -> http://foro.elhacker.net/tutoriales_documentacion/intentando_detener_un_ddos-t137442.0.html
¡Suerte!
Salu2
Banea los rangos de afrinic por una temporada:
http://en.wikipedia.org/wiki/AfriNIC
No creo que te importe mucho no tener tráfico africano.
Lo del dosevasive y compañia solo sirve para paliar el ataque pero si es gordo no hay mucho que hacer.
he metido:
iptables -A INPUT -p ALL -s 41.0.0.0/8 -j DROP
Y siguen saliendo datos a mansalva. Yo pa mi q el iptables de mi server no está haciendo caso a nada de lo q le digo, es posible?
Eres tu el que administra directamente el hosting o hay algun proveedor de por medio? Lo digo porque la única solución factible que tienes es usando cortafuegos, y no vas a conseguir eliminarlo del todo.
Seguramente si los que hacen el ataque saben lo que hacen, te estarán atacando con bastantes pcs zombies, asi que es chungo atraves de enrutamiento evitarlo. Lo que se puede hacer es desviar todos los paquetes de tráfico de esas IPs hacia otro lado, pero claro supongo que no seguirán ningun patrón.
O no se, puedes probar a redireccionar todo ese tráfico a otro puerto que no sea el 80...
No se macho, la verdad esque es una putada xdd. Yo segun lo que he estudiado, se puede evitar un DoS simple, o un poco mas grande, pero un DDoS bien hecho, es bastante jodido.
http://www.countryipblocks.net/
Si con todos los rango de africnet no te vale busca mas rangos ahi.
El rango completo es /8 o /24?
Es decir. Así? iptables -A INPUT -p ALL -s 41.0.0.0/8 -j DROP
o así? iptables -A INPUT -p ALL -s 41.0.0.0/24 -j DROP
OK, entonces:
iptables -A INPUT -p ALL -s 41.0.0.0/32 -j DROP
y q diferencia hay entre -A y -I?
Ahora estoy poniendo ambas pero si me puedo ahorrar alguna...
iptables -A INPUT -p ALL -s 41.0.0.0/32 -j DROP
iptables -I INPUT -p ALL -s 41.0.0.0/32 -j DROP
#19 haz un redirect del trafico a alguna organizacion de seguridad de algun gobierno potente (FBI o algo asi) y que ellos se coman el marron xD
El -I es para insertar una regla en una posición determinada. El -A las inserta siempre por el final.
con
iptables -L INPUT
puedes ver todas las reglas de entrada
Salu2
PD: Las reglas se aplican secuencialmente. Si un paquete cumple con los criterios de una determinada regla, se aplica la acción definida en dicha regla. En otro caso, se pasa a inspeccionar la siguiente. (Si no hay ninguna regla se aplica la política por defecto).
Menudo cacao teneis:
http://www.subnet-calculator.com/cidr.php
Es un barra /8 para comerte de 41.0.0.0 a 41.255.255.255
Si es un ataque al apache despues de meter la regla para el apache unos minutos para que se caigan las conexiones ya establecidas.
Has probado con iptables -A -s NIGGA -j DROP? XD
Las estoy baneando todas pero el tema q a pocas q se cuelan me inflan el server a peticiones, cada una saca un viaje de conexiones.
Podrías automatizar el proceso con algún script o programita casero que hiciera netstat cada segundo y añadiera a IPTABLEs las IPS que abran "demasiadas" conexiones (pero no la IP en concreto sino todo el rango xyz.XXX.XXX.XXX)...
Salu2
Si te digo q no tengo ni idea de hacer programitas fijo q no te lo crees no? ajajjajaja
Me vendría de lujo 
Si las peticiones son de login intentando algún tipo de ataque por fuerza bruta, puedes probar fail2ban
