Encontranos en redes

Área de clientes
DDoSAnti-DDoSCloudflare6 min de lectura

Proteger tu servidor contra ataques DDoS

Tipos de ataques DDoS, protección Anti-DDoS de Baires Host, configuración de Cloudflare y rate limiting con Nginx.

¿Qué es un ataque DDoS?

Un ataque de Denegación de Servicio Distribuido (DDoS) busca saturar tu servidor con tráfico malicioso para dejarlo inaccesible. Existen tres tipos principales:

  • Volumétricos: Inundan el ancho de banda (UDP flood, amplificación DNS)
  • De protocolo: Explotan debilidades en capas 3/4 (SYN flood, Ping of Death)
  • De aplicación: Atacan la capa 7 con requests legítimos pero masivos (HTTP flood)

Protección Anti-DDoS de Baires Host

Todos los servidores de Baires Host incluyen protección Anti-DDoS en capa de red sin costo adicional:

  • Filtra tráfico malicioso antes de que llegue a tu servidor
  • Mitiga ataques volumétricos de hasta 1 Tbps
  • Se activa automáticamente al detectar patrones anómalos
  • No requiere configuración de tu parte

Configurar Cloudflare como capa adicional

Paso 1: Agregar tu dominio

  1. Creá una cuenta en cloudflare.com
  2. Agregá tu dominio y cambiá los nameservers
  3. Activá el proxy (nube naranja) en los registros DNS

Paso 2: Reglas de seguridad

  • Andá a Security → WAF y creá reglas para bloquear países sospechosos
  • Activá Bot Fight Mode en Security → Bots
  • Configurá Security Level en "High"

Paso 3: Under Attack Mode (emergencia)

Si estás bajo ataque activo, activá I'm Under Attack Mode desde Security → Settings.

Rate limiting con Nginx

nginx
limit_req_zone $binary_remote_addr zone=general:10m rate=10r/s;
limit_req_zone $binary_remote_addr zone=login:10m rate=3r/m;

server {
    location / {
        limit_req zone=general burst=20 nodelay;
    }
    location /wp-login.php {
        limit_req zone=login burst=3 nodelay;
    }
}

Reglas iptables básicas

bash
# Limitar conexiones nuevas por IP
sudo iptables -A INPUT -p tcp --syn -m connlimit --connlimit-above 50 -j DROP

# Limitar ICMP
sudo iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s --limit-burst 4 -j ACCEPT
sudo iptables -A INPUT -p icmp --icmp-type echo-request -j DROP

# Bloquear paquetes inválidos
sudo iptables -A INPUT -m state --state INVALID -j DROP

# Protección SYN flood
sudo iptables -A INPUT -p tcp --syn -m limit --limit 1/s --limit-burst 3 -j ACCEPT

Persistir reglas:

bash
sudo apt install -y iptables-persistent
sudo netfilter-persistent save

Recomendaciones

  • Mantené Cloudflare con proxy activo para ocultar tu IP real
  • Nunca expongas la IP directa en registros DNS sin proxy
  • Configurá alertas en Cloudflare para detectar picos de tráfico
  • Combiná protección de Baires Host + Cloudflare + rate limiting
  • Si sufrís un ataque sostenido, contactá a soporte de Baires Host
¿Te resultó útil esta guía?
← Volver a Seguridad