Comment bloquer des attaques de DDOS dans Linux

par Sukrit Dhandhania sur 13 avril 2009

Linux Sécurité

Nous avons couru un article dessus Comment bloquer un IP address dans les iptables dans Linux il y a quelques jours. Voici un article élogieux que les expositions vous comment détecter les adresses d'IP des attaquants en cas d'un démenti de service (ou de DOS) attaquent.

Pour faire ceci nous emploierons le logiciel libre appelé psad. psad travaux dans la synchro avec des iptables et des moniteurs que les iptables note et vérifie les balayages gauches et tout autre trafic soupçonneux qui sont habituellement des signes de quelqu'un qui essaye de se casser en votre serveur de Linux.

Pour commencer, installez le psad. Si vous courez une saveur de Linux qui a un système de gestion de fantaisie de paquet comme Ubuntu ou Fedora vous devrait pouvoir employer l'une ou l'autre des commandes suivantes d'obtenir le psad sur votre système :

le sudo de # convenable-obtiennent installent le psad
ou
le yum de # installent le psad

Si ceci ne fonctionne pas pour toi la tête au psad page de téléchargement et téléchargez le format qui fonctionne pour toi.

Car j'utilise un serveur d'Ubuntu Linux le reste de ce cours d'instruction sera détail d'Ubuntu. Cependant, avec un certain mineur vous tordre devrait pouvoir lui faire le travail sur d'autres saveurs de Linux. Ouvrez syslog.conf dossier avec votre éditeur de texte préféré :

# vim /etc/syslog.conf

Ajoutez la ligne suivante à la fin du du dossier :

kern.info |/var/lib/psad/psadfifo

Vous pouvez employer la commande suivante d'accomplir la même chose :

écho de # - e « kern.info \ t|/var/lib/psad/psadfifo » >> /etc/syslog.conf

Remettez en marche maintenant sysklogd et klog démons :

relancement de /etc/init.d/sysklogd
relancement de /etc/init.d/klogd

Les travaux de psad de manière est qu'il détectera et demandera à des iptables pour bloquer n'importe quel IPS soupçonneux. Parfois ceci pourrait avoir comme conséquence le blocage d'un IP que vous employez. Pour surmonter cette question vous devriez créer un dossier contenant une liste d'adresses sûres d'IP. Créez un dossier comme celui-ci :

# vim /home/calvin/safeiplist.cfg

Écrivez les adresses d'IP que vous avez besoin de psad au whitelist :

127.0.0.0 /24
192.168.0.0 /24
122.164.34.240

Aucune utilisation un manuscrit comme suivre un pour configurer des iptables avec les règles nécessaires. Note que ce manuscrit enlèvera tous les arrangements précédents de votre installation d'iptables. Le copy et collent le manuscrit suivant sur votre serveur de Linux, et remplacent les variables WORKDIR et SAFEIPLIST avec les arrangements corrects de votre installation.

WORKDIR= " /home/calvin/ « 
INTERVAL= " 5 "
HITCOUNT= " 5 "
SAFEIPLIST= " safeiplist.cfg "

Cd $WORKDIR

iptables - F
si [- f $SAFEIPLIST] ; puis
IPS=$ (grep - Ev « ^# » $SAFEIPLIST)
pour I dans $IPS
[[do]]
iptables - UNE ENTRÉE - s $i - j ACCEPTENT
fait
fi

iptables - UNE ENTRÉE - état de m - état NOUVEAU - m récent - ensemble
iptables -A INPUT -m state –state NEW -m recent –update –seconds $INTERVAL –hitcount $HITCOUNT -j LOG

What the script does is that it logs an IP address if it makes five or more attempts at making a connection in the span of five seconds. I would suggest you use the script as is unless you know what you are doing while modifying it. One you are done, give it executable permissions and run it.

# chmod +x /home/calvin/ipblock.sh

# /home/calvin/ipblock.sh

Now back to psad. Open the psad configuration file and edit it. These are the changes I suggest you make. Feel free to go through the psad documentation and make other changes:

EMAIL_ADDRESSES you@yourdomain.com;

Set machine’s hostname:

HOSTNAME yourdomain.com;

If you have only one network interface on this server, set HOME_NET to:

HOME_NET NOT_USED;

You can also need to adjust danger levels for psad, and define a set of ports to ignore, for example to ask psad ignore udp ports 80 and 8080, make the following change:

IGNORE_PORTS udp/80, udp/8080;

Save and close the file. Then restart psad:

# /etc/init.d/psad restart

You are now good to go. To monitor psad’s reports run the following command:

# psad -S

To remove automatically clocked IPs run the following command:

# psad -F

psad is a very versatile and powerful tool. If you know how to use it it can do wonders for you, but if you don’t you can really mess up your computer. So please use psad with caution.

Related Posts:
  • How to block an IP address in IPTables in Linux
  • Comcast: Another chapter of lies, misdirection and ps. good luck using bittorrent
  • How to determine where all your hard drive space has gone in Windows
  • Getting started with iptables in Linux
  • An introduction to the sudo command and configuration file

    • Get Simple Help tutorials just like this one in your email inbox every day - for free! Just enter your email address below:

    You can always opt out of this email subscription at any time.

    { 0 comments… add one now }

    Leave a Comment

    You can use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>