Documentación
Documentación » VPS » Como configurar la protección DDoS de Path.net para bloquear ataques

Como configurar la protección DDoS de Path.net para bloquear ataques

Acceso rápido a las secciones de este documento

0 - Prólogo

Path.net es un proveedor de red que ofrece mitigación de ataques DDoS.

En GINERNET ofrecemos direcciones IP protegidas por Path.net para que las puedas usar en tu Servidor VPS o Servidor Dedicado.

Cada IP tiene un coste de solo 3€/mes y se entregan dedicadas (no compartidas). Solo tenemos 256 IPs, si quieres una, date prisa en contratar tu servidor ya que pronto se acabarán.

¿Puedo usar direcciones IP de Path en servidores fuera de GINERNET?

Si, deberás contratar un VPS con nosotros y montar una VPN o tunel hacia la red donde quieres enviar el tráfico limpio.

 

Hay algunas desventajas que debes concer:

– Aumentará el ping
– Si te atacan a la IP de tu conexión real o el otro extremo del tunel no podremos limpiar el ataque
– En algunos casos podrías tener caidas de rendimiento por la fragmentación de paqutes (MTU)
– Consumes el tráfico por duplicado, entrada + salida

 

IMPORTANTE:
Para que la mitigación de Path funcione de forma correcta, la conexión debe ser simétrica, es decir, la salida de tu tráfico también debe realizarse a través de Path. Por tanto, la solución más simple para enviar tu tráfico a otra red sea usar una VPN. Por temas de rendimiento, te recomendamos usar WireGuard.

 

RESUMEN:
Si quieres usar nuestras IPs protegidas con Path a otro servidor y otra red, puedes usar el método de tunelización que quieras, pero por simplicidad creemos que la mejor opción es montar una VPN con Wireguard.

 

Puedes instalar Mikrotik RouterOS en el VPS que contrates con nosotros.

La principal ventaja de la protección de ataques de Path.net es la posibilidad de crear filtros específicos para los siguientes servicios y juegos:

TeamSpeak 3 Server:
Validación de paquetes de capa 7 para conexiones TeamSpeak 3

 

OpenVPN UDP Server:
Validación de paquetes de capa 7 para el tráfico UDP de OpenVPN

 

Source Engine Queries:
Proxy de capa 7 para consultas de Source Engine. Se puede habilitar junto con RakNet o HL2/Source filter.

 

RakNet Server (v2):
Validación de paquetes de capa 7 para paquetes de juegos RakNet. Se puede habilitar junto con el filtro de consulta del motor de origen.

 

TCP Service:
Validación de paquetes más estricta para paquetes TCP entrantes a un puerto de escucha.

 

TCP Service (symmetric):
Validación completa de paquetes para conexiones TCP entrantes. Requiere que el tráfico de retorno se enrute a través de Path.

 

Minecraft Java Edition Server (symmetric):
Validación completa de paquetes para el tráfico de Minecraft Java Edition. Requiere que el tráfico de retorno se enrute a través de Path.

 

Half Life 2/Source Server:
Validación de paquetes para tráfico Half Life 2/Source UDP.

 

GTA V Multiplayer Server (beta):
Validación de paquetes de capa 7 para el tráfico multijugador de GTA V. Requiere enrutamiento de tráfico simétrico.

 

Half-Life Dedicated/GoldSrc Server:
Validación de paquetes de capa 7 para tráfico UDP HLDS/GoldSrc

 

DNS Server:
Validación de paquetes de capa 7 para consultas de DNS

 

WireGuard Server:
Validación de paquetes de capa 7 para servidores VPN WireGuard. Nota:
Para evitar la pérdida de paquetes por fragmentación, se recomienda que ajuste su MTU a 1360

 

Arma 3 Server (beta):
Validación de paquetes de capa 7 para servidores de juegos Arma 3. Actualmente, DayZ no es compatible.

 

STUN Server:
Validación de paquetes de capa 7 para servidores STUN

 

SA-MP Server Queries:
Proxy de capa 7 para consultas del servidor SA-MP (San Andreas Multiplayer).

 

L4D2/CS:GO Source:
Proxy de capa 7 para juegos Source utilizando la versión del motor Source de L4D2. Incluye Left 4 Dead, Left 4 Dead 2, Counter-Strike:
Ofensiva Global y Portal 2.

 

RakSAMP Filter:
Validación de capa 7 para tráfico de juegos SA-MP

 

QUIC Server:
Validación de paquetes de capa 7 para QUIC

 

SIP Server:
Validación de paquetes de capa 7 para SIP

 

DTLS Server:
Validación de paquetes de capa 7 para DTLS

 

RTP Server:
RTP:
Validación de paquetes de capa 7 para RTP

 

Renegade X Server:
Validación de paquetes de capa 7 para el tráfico del juego Renegade X

 

DayZ Server:
Validación de paquetes de capa 7 para el tráfico de juegos de DayZ

 

Squad/Post Scriptum Server:
Validación de paquetes de capa 7 para el tráfico de juegos de Squad y Post Scriptum

 

Quake 3 Server:
Validación de paquetes de capa 7 para el tráfico de juegos de Quake 3.

 

ASE/Multi Theft Auto Queries:
Proxy de capa 7 para consultas ASE.

 

V Rising/ARK Server:
Validación de paquetes de capa 7 para el tráfico de juegos de V Rising y ARK: Survival Evolved.

 

LiteNetLib Server:
Validación de paquetes de capa 7 para juegos que usan LiteNetLib como 7 Days To Die.

 

Lineage II Server:
Validación de paquetes de capa 7 para servidores Lineage II Interlude.

 

Steamworks Server:
Validación de paquetes de capa 7 para paquetes de juegos de Steamworks. Se puede habilitar junto con el filtro de consulta del motor de origen.

 

FiveM Server Queries:
Proxy de capa 7 para consultas del servidor FiveM.

1 - Como configurar la protección DDoS de Path

Para poder disponer de las opciones de mitigación DDoS de Path.net debes contratar una IP protegida con Path.net

Cuando hayas contratado la IP, debes enrutarla a tu VPS. Para ello, sigue el paso 7 de esta guía.

Cuando tengas tu IP asignada, podrás gestionarlas desde tu panel de control GridCP: gridcp.ginernet.com

configure-ddos-path

Por defeco, todos los puertos están cerrados. Debes abrir los puertos que quieras en el apartado “Rules” o “Reglas”.

Ejemplo: Para abrir el puerto 22 (SSH)

permitir-ssh

En la siguiente imagen, hemos creado 3 reglas:

  • Limitar tráfico ICMP (ping) a 1000 pps (paquetes por segundo)
  • Permitir acceso al puerto 80 (web)
  • Permitir acceso al puerto 22 (SSH)
rules

Llegado este punto te preguntarás ¿cómo impedir ataques a los puertos 22 y 80 que hemos abierto? Esto se hace desde la opción “Filters”

De esta forma estamos activando la validación del tráfico TCP a los puertos indicados. Cualquier tráfico que genere tramas inválidas, será bloqueado antes de llegar a tu servidor, permitiendo solo el tráfico legítimos.

2 - Protección DDoS para el juego "RUST"

Esta es la configuración que recomienda Path.net para proteger el juego RUST.

Reglas:

  • Abrir UDP del puerto 28015

Filtros:

  • RakNet Server (v2) en puerto 28015
  • Source Engine Queries en puerto 28015
  • TCP Service (symmetric) en puerto 28015
rust-filters

Adicionalmente deberás activar otros servicios que tengas funcionando como SSH, RDP, etc… Revisa el paso anterior para ver como abrir configurar cualquier puerto de forma correcta.

3 - Protección DDoS para el juego "ARK: Survival Evolved"

Reglas:

  • Abrir UDP del puerto GAME
  • Abrir UDP del puerto QUERY
Filtros:
  • Steamworks en el puerto GAME
    • Server queries = true
  • Source Engine Queries en puerto QUERY
    • Strict Mode = Activado
    • A2S Caching = Activado
    • Port override = Desactivado