Πώς να εμποδίσει τις επιθέσεις DDOS σε Linux

από Sukrit Dhandhania [[on]] 13 Απριλίου 2009

Linux Ασφάλεια

Τρέξαμε ένα άρθρο επάνω Πώς να εμποδίσει μια διεύθυνση IP στα iptables σε Linux μερικές ημέρες πριν. Εδώ είναι ένα φιλοφρονητικό άρθρο που σας παρουσιάζει πώς να ανιχνεύσει τις διευθύνσεις IP των επιτιθεμένων σε περίπτωση μια άρνηση της επίθεσης υπηρεσιών (ή DOS).

Για να κάνουμε αυτό θα χρησιμοποιήσουμε το ελεύθερο λογισμικό αποκαλούμενο psad. psad εργασίες στο sync με τα iptables και τα όργανα ελέγχου που τα κούτσουρα και οι έλεγχοι iptables για το λιμένα ανιχνεύουν και άλλη ύποπτη κυκλοφορία που είναι συνήθως σημάδια κάποιου που προσπαθεί να σπάσουν στον κεντρικό υπολογιστή Linux σας.

Για να αρχίσετε, εγκαταστήστε psad. Εάν τρέχετε μια γεύση Linux που έχει ένα φανταχτερό σύστημα διαχείρισης συσκευασίας όπως Ubuntu ή Fedora πρέπει να είστε σε θέση να χρησιμοποιήσετε καθεμία των ακόλουθων εντολών που παίρνουν psad στο σύστημά σας:

# το sudo ικανός-παίρνει εγκαθιστά psad
ή
# yum εγκαταστήστε psad

Εάν αυτό δεν λειτουργεί για σας διευθύνετε στο psad μεταφορτώστε τη σελίδα και μεταφορτώστε το σχήμα που εργασίες για σας.

Σαν χρήση Ι ένας κεντρικός υπολογιστής Ubuntu Linux το υπόλοιπο αυτού του σεμιναρίου θα είναι Ubuntu συγκεκριμένο. Εντούτοις, με κάποιο ανήλικο που πρέπει να είστε σε θέση να το θέσετε σε λειτουργία σε άλλες γεύσεις Linux. Ανοίξτε syslog.conf αρχείο με τον αγαπημένο συντάκτη κειμένων σας:

# vim /etc/syslog.conf

Προσθέστε την ακόλουθη γραμμή στο τέλος του αρχείου:

kern.info |/var/lib/psad/psadfifo

Μπορείτε να χρησιμοποιήσετε την ακόλουθη εντολή για να ολοκληρώσετε το ίδιο πράγμα:

# ηχώ - ε «kern.info \ τ|/var/lib/psad/psadfifo» >> /etc/syslog.conf

Τώρα ξαναξεκινήστε sysklogd και klog daemons:

καινούριο ξεκίνημα του /etc/init.d/sysklogd
καινούριο ξεκίνημα του /etc/init.d/klogd

Η εργασία τρόπων psad είναι ότι θα ανιχνεύσει και θα καθοδηγήσει iptables για να εμποδίσει οποιοδήποτε ύποπτο IPs. Μερικές φορές αυτό το αποτέλεσμα δυνάμεων στο φράξιμο μιας IP που χρησιμοποιείτε. Για να υπερνικήσετε αυτό το ζήτημα πρέπει να δημιουργήσετε ένα αρχείο που περιέχει έναν κατάλογο ασφαλών διευθύνσεων IP. Δημιουργήστε ένα αρχείο όπως αυτό:

# vim /home/calvin/safeiplist.cfg

Εισάγετε τις διευθύνσεις IP που χρειάζεστε psad στο whitelist:

127.0.0.0 /24
192.168.0.0 /24
122.164.34.240

Καμία χρήση ένα χειρόγραφο όπως την ακολουθία ενός που διαμορφώνει iptables με τους απαραίτητους κανόνες. Σημείωση ότι αυτό το χειρόγραφο θα αφαιρέσει όλες τις προηγούμενες τοποθετήσεις από την οργάνωση iptables σας. Το αντίγραφο και κολλά το ακόλουθο χειρόγραφο στον κεντρικό υπολογιστή Linux σας, και αντικαθιστά τις μεταβλητές WORKDIR και SAFEIPLIST με τις σωστές τοποθετήσεις από την οργάνωσή σας.

WORKDIR= " /home/calvin/ «
INTERVAL= " 5 "
HITCOUNT= " 5 "
SAFEIPLIST= " safeiplist.cfg "

Cd $WORKDIR

iptables - Φ
εάν [- φ $SAFEIPLIST] κατόπιν
IPS=$ (grep - Ev «^#» $SAFEIPLIST)
για το ι $IPS
[[do]]
iptables - μια ΕΙΣΑΓΩΓΗ - s $i - το j ΔΈΧΕΤΑΙ
γίνοντας
FI

iptables - μια ΕΙΣΑΓΩΓΗ - κράτος μ - κράτος ΝΈΟ - μ πρόσφατο - σύνολο
iptables -A INPUT -m state –state NEW -m recent –update –seconds $INTERVAL –hitcount $HITCOUNT -j LOG

What the script does is that it logs an IP address if it makes five or more attempts at making a connection in the span of five seconds. I would suggest you use the script as is unless you know what you are doing while modifying it. One you are done, give it executable permissions and run it.

# chmod +x /home/calvin/ipblock.sh

# /home/calvin/ipblock.sh

Now back to psad. Open the psad configuration file and edit it. These are the changes I suggest you make. Feel free to go through the psad documentation and make other changes:

EMAIL_ADDRESSES you@yourdomain.com;

Set machine’s hostname:

HOSTNAME yourdomain.com;

If you have only one network interface on this server, set HOME_NET to:

HOME_NET NOT_USED;

You can also need to adjust danger levels for psad, and define a set of ports to ignore, for example to ask psad ignore udp ports 80 and 8080, make the following change:

IGNORE_PORTS udp/80, udp/8080;

Save and close the file. Then restart psad:

# /etc/init.d/psad restart

You are now good to go. To monitor psad’s reports run the following command:

# psad -S

To remove automatically clocked IPs run the following command:

# psad -F

psad is a very versatile and powerful tool. If you know how to use it it can do wonders for you, but if you don’t you can really mess up your computer. So please use psad with caution.

Related Posts:
  • How to block an IP address in IPTables in Linux
  • Comcast: Another chapter of lies, misdirection and ps. good luck using bittorrent
  • How to determine where all your hard drive space has gone in Windows
  • Getting started with iptables in Linux
  • An introduction to the sudo command and configuration file

    • Get Simple Help tutorials just like this one in your email inbox every day - for free! Just enter your email address below:

    You can always opt out of this email subscription at any time.

    { 0 comments… add one now }

    Leave a Comment

    You can use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>