Dos и ddos - простая защита
Применимость: Linux
Слова для поиска:
Задача:
Решение:
DOS и DDOS - простая защита
Защита от атак (D)DOS задача дорогая и сложная. Рашается комплексно, требует привлечения множества высококвалифицированных специалистов, требует усилий со стороны провайдеров магистральных каналов связи. Потребуется использование специнструментов вроде Cisco Guard XT 5650, Сisco Catalyst 6500/Cisco 7600 Router Anomaly Guard Module, Cisco Catalyst 6500/Cisco 7600 Router Traffic Anomaly Detector Module, Radware Defence Pro, TippingPoint Intrusion Prevention System и т.д.. В этом списке мало что стоит менее $20000.
Множество фирм оказывает услуги по защите, можно найти варианты от 35$ в месяц.
Но цитата из блога blacklotus (служба защиты от DDOS) вас не обнадежит, увы: - «1 Gbps of protection will cost you a whopping $10,999.00 per month.»
(D)DoS-Deflate
Но, при умеренных масштабах бедствия, бывает полезно обойтись знанием простых средств которые всегда под рукой. Используем возможности несложного скрипта (D)DoS-Deflate
Установка
wget [[http://www.inetbase.com/scripts/ddos/install.sh|http://www.inetbase.com/scripts/ddos/install.sh]] chmod 0700 install.sh ./install.sh
Удаление
wget [[http://www.inetbase.com/scripts/ddos/uninstall.ddos|http://www.inetbase.com/scripts/ddos/uninstall.ddos]] chmod 0700 uninstall.ddos ./uninstall.ddos
Принцип работы
1 раз в минуту по запускается команда
netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
Если число соединений с какого нибудь адреса превышает заданное в конфиге ограничение(по умолчанию 150), адрес блокируется. Время блокировки тоже настраивается в конфигурационном файле:
/usr/local/ddos/ddos.conf
Там же настраивается чем управлять файерволом — iptables или apf(надстройка над iptables).
Дополнительно
Владельцам выделенных серверов может быть полезным определение некоторых парметров ядра:
#/sbin/sysctl —w net.ipv4.icmp_ignore_bogus_error_responses=1 #/sbin/sysctl —w net.ipv4.conf.all.log_martians=1 #/sbin/sysctl —w net.ipv4.conf.all.rp_filter=1 #/sbin/sysctl —w net.ipv4.conf.all.send_redirects=0 #/sbin/sysctl —w net.ipv4.conf.all.accept_redirects=0 #/sbin/sysctl —w net.ipv4.conf.all.accept_source_route=0 #/sbin/sysctl —w net.ipv4.conf.all.mc_forwarding=0 #/sbin/sysctl —w net.ipv4.icmp_echo_ignore_broadcasts=1Полезно будет почитать здесь: Параметры SysCtl для стека IP
Ссылки
- Antiddos.ORG — сайт, посвященный исследованию и защите от DDOS атак
- RFC4732 - Internet Denial-of-Service Considerations
- cert.org CERT's Guide to DoS attacks.
- ATLAS Summary Report - Real-time global report of DDoS attacks.
- linuxsecurity.com An article on preventing DDoS attacks.
- Is Your PC a Zombie?, About.com.
- HTTP Application Level Flood with Efficiency, By Cliff Cong Zijie, Eliton Laboratories.
Актуальность: 2012/08/24 16:14