Como bloquear ataques ddos em linux

Video: Ataque DDOS com T50 no Linux

Corremos um artigo sobre Como bloquear um endereço IP em iptables em Linux alguns dias atrás. Aqui está um artigo gratuito que mostra como detectar os endereços IP dos atacantes em caso de negação de serviço (ou DOS) ataque.

Para fazer isso, vamos utilizar software gratuito chamado psad. psad funciona em sincronia com iptables e monitora as iptables logs e verifica a existência de varreduras de portas e outros tráfego suspeito que geralmente são sinais de alguém tentando invadir seu servidor Linux.

Para começar, instale psad. Se você estiver executando um sabor de Linux que tem um sistema de gerenciamento de pacotes extravagante como Ubuntu ou Fedora, você deve ser capaz de usar qualquer um dos seguintes comandos para obter psad em seu sistema:

# Sudo apt-get install psad
ou
# Yum install psad

Se isso não funcionar para você ir para a página de download psad e baixar o formato que funciona para você.

Como eu usar um servidor Ubuntu Linux o resto deste tutorial será Ubuntu específico. No entanto, com alguns pequenos ajustes, você deve ser capaz de fazê-lo funcionar em outros sabores de Linux. Abra o syslog.conf arquivo com seu editor de texto favorito:

# Vim /etc/syslog.conf

Adicione a seguinte linha no final do do arquivo:

kern.info | / var / lib / psad / psadfifo

Você pode usar o seguinte comando para realizar a mesma coisa:

# Echo -e `kern.info t | / var / lib / psad / psadfifo` gt; gt; /etc/syslog.conf

Agora reinicie o sysklogd e klog daemons:

restart /etc/init.d/sysklogd
restart /etc/init.d/klogd

A maneira psad funciona é que ele irá detectar e instruir iptables para bloquear qualquer IPs suspeitos. Às vezes isso pode resultar no bloqueio de um IP que você usa. Para superar esse problema, você deve criar um arquivo contendo uma lista de endereços IP seguras. Crie um arquivo como este:

# Vim /home/calvin/safeiplist.cfg

Video: Como derrubar um site (Kali Linux, ataque Ddos)

Digite os endereços IP que você precisa psad para whitelist:

127.0.0.0/24
192.168.0.0/24
122.164.34.240

Sem usar um script como seguir um para configurar iptables com as regras necessárias. Nota que este script irá remover todas as configurações anteriores de sua configuração iptables. Copie e cole o seguinte script no seu servidor Linux, e substituir as variáveis WORKDIR e SAFEIPLIST com as configurações corretas de sua configuração.

WORKDIR ="/ Home / Calvin /"
INTERVALO ="5"
hitcount ="5"
SAFEIPLIST ="safeiplist.cfg"

cd $ WORKDIR



iptables -F
if [-f $ SAFEIPLIST] - então
IPS = $ (grep -EV “^ #” $ SAFEIPLIST)
for i in $ IPS
Faz
iptables -A ENTRADA -s $ i -j ACCEPT
feito
fi

Estado iptables -A ENTRADA -m -state NOVO -m -conjunto recente
Estado iptables -A ENTRADA -m -state NOVO -m -update recente -seconds $ INTERVALO -hitcount $ hitcount -j LOG

O que o script faz é que ele registra um endereço IP se ele faz cinco ou mais tentativas de fazer uma conexão no espaço de cinco segundos. Eu sugiro que você use o script como é a menos que você saiba o que está fazendo enquanto modificá-lo. Um você é feito, dar-lhe permissões executáveis ​​e executá-lo.

# Chmod + x /home/calvin/ipblock.sh

# /home/calvin/ipblock.sh

Agora de volta ao psad. Abra o arquivo de configuração psad e editá-lo. Estas são as mudanças que eu sugiro que você faz. Sinta-se livre para percorrer a documentação psad e fazer outras alterações:

EMAIL_ADDRESSES [email protected]

hostname set da máquina:

yourdomain.com- HOSTNAME

Se você tem apenas uma interface de rede neste servidor, definir HOME_NET para:

HOME_NET NOT_USED-

Video: 23 - Como bloquear o Ping usando o firewall do Linux Ubuntu UFW via arquivo de configuração

Você também pode precisar de ajustar os níveis de perigo para psad, e definir um conjunto de portas de ignorar, por exemplo, para pedir psad ignorar as portas UDP 80 e 8080, faça a seguinte alteração:

IGNORE_PORTS UDP / 80, UDP / 8080-

Video: [TUTORIAL] Como se proteger de ataque DDOS

Salve e feche o arquivo. Em seguida, reinicie psad:

# /etc/init.d/psad restart

Agora você está pronto para ir. relatórios para monitorar de AASI execute o seguinte comando:

# Psad -S

Para remover automaticamente cronometrado IPs execute o seguinte comando:

# Psad -F

psad é uma ferramenta muito versátil e poderoso. Se você sabe como usá-lo, pode fazer maravilhas para você, mas se você não você pode realmente atrapalhar o seu computador. Então, por favor use psad com cautela.


Artigos relacionados