Como obstruir ataques de DDOS em Linux

por Sukrit Dhandhania em Abril 13, 2009

Linux Segurança

Nós funcionamos um artigo sobre Como obstruir um IP address nos iptables em Linux alguns dias há. Está aqui um artigo complimentary que as mostras você como detectar os endereços do IP dos atacantes em caso do uma negação de serviço (ou de DOS) ataquem.

Para fazer este nós usaremos o software livre chamado psad. psad trabalhos na sincronização com iptables e monitores que os iptables registram e verificam para ver se há as varreduras portuárias e o outro tráfego suspicious que são geralmente sinais de alguém que tenta quebrar em seu usuário de Linux.

Para começar, instale o psad. Se você estiver funcionando um sabor de Linux que tem um sistema de gerência extravagante do pacote como Ubuntu ou Fedora você deve usa qualquer um dos seguintes comandos começar o psad em seu sistema:

# o sudo apartamento-começa instala o psad
ou
# o yum instala o psad

Se isto não trabalhar para você a cabeça ao psad página do download e download o formato que trabalha para você.

Porque eu uso um usuário de Ubuntu Linux o descanso deste tutorial será específico de Ubuntu. Entretanto, com algum menor tweaking o deve faz-lhe o trabalho em outros sabores de Linux. Abra syslog.conf lima com seu editor de texto favorito:

# vim /etc/syslog.conf

Adicione a seguinte linha no fim do da lima:

kern.info |/var/lib/psad/psadfifo

Você pode usar o seguinte comando realizar a mesma coisa:

# eco - e “kern.info \ t|/var/lib/psad/psadfifo” >> /etc/syslog.conf

Reinicie agora sysklogd e klog daemons:

reinício de /etc/init.d/sysklogd
reinício de /etc/init.d/klogd

Os trabalhos do psad da maneira são que detectará e instruirá iptables para obstruir qualquer IPs suspicious. Às vezes isto pôde resultar na obstrução de um IP que você usasse. Para superar esta edição você deve criar uma lima que contem uma lista de endereços seguros do IP. Críe uma lima como esta:

# vim /home/calvin/safeiplist.cfg

Incorpore os endereços do IP que você necessita o psad ao whitelist:

127.0.0.0 /24
192.168.0.0 /24
122.164.34.240

Nenhum uso um certificado como seguir um para configurar iptables com as réguas necessárias. Nota que este certificado removerá todos os ajustes precedentes de sua instalação dos iptables. O copy e cola o seguinte certificado em seu usuário de Linux, e substitui as variáveis WORKDIR e SAFEIPLIST com os ajustes corretos de sua instalação.

WORKDIR= " /home/calvin/ “
INTERVAL= " 5 "
HITCOUNT= " 5 "
SAFEIPLIST= " safeiplist.cfg "

Cd $WORKDIR

iptables - F
se [- f $SAFEIPLIST]; então
IPS=$ (grep - Ev “^#” $SAFEIPLIST)
para i em $IPS
[[do]]
iptables - UMA ENTRADA - s $i - j ACEITA
feito
fi

iptables - UMA ENTRADA - estado de m - estado NOVO - m recente - jogo
iptables -A INPUT -m state –state NEW -m recent –update –seconds $INTERVAL –hitcount $HITCOUNT -j LOG

What the script does is that it logs an IP address if it makes five or more attempts at making a connection in the span of five seconds. I would suggest you use the script as is unless you know what you are doing while modifying it. One you are done, give it executable permissions and run it.

# chmod +x /home/calvin/ipblock.sh

# /home/calvin/ipblock.sh

Now back to psad. Open the psad configuration file and edit it. These are the changes I suggest you make. Feel free to go through the psad documentation and make other changes:

EMAIL_ADDRESSES you@yourdomain.com;

Set machine’s hostname:

HOSTNAME yourdomain.com;

If you have only one network interface on this server, set HOME_NET to:

HOME_NET NOT_USED;

You can also need to adjust danger levels for psad, and define a set of ports to ignore, for example to ask psad ignore udp ports 80 and 8080, make the following change:

IGNORE_PORTS udp/80, udp/8080;

Save and close the file. Then restart psad:

# /etc/init.d/psad restart

You are now good to go. To monitor psad’s reports run the following command:

# psad -S

To remove automatically clocked IPs run the following command:

# psad -F

psad is a very versatile and powerful tool. If you know how to use it it can do wonders for you, but if you don’t you can really mess up your computer. So please use psad with caution.

Related Posts:
  • How to block an IP address in IPTables in Linux
  • Comcast: Another chapter of lies, misdirection and ps. good luck using bittorrent
  • How to determine where all your hard drive space has gone in Windows
  • Getting started with iptables in Linux
  • An introduction to the sudo command and configuration file

    • Get Simple Help tutorials just like this one in your email inbox every day - for free! Just enter your email address below:

    You can always opt out of this email subscription at any time.

    { 0 comments… add one now }

    Leave a Comment

    You can use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>