Colobridge WIKI

Dos и ddos - простая защита

Применимость: Linux

Слова для поиска:


Защитить сервер от аттак простыми средствами

ddos-attack.jpg

Защита от атак (D)DOS задача дорогая и сложная. Рашается комплексно, требует привлечения множества высококвалифицированных специалистов, требует усилий со стороны провайдеров магистральных каналов связи. Потребуется использование специнструментов вроде Cisco Guard XT 5650, Сisco Catalyst 6500/Cisco 7600 Router Anomaly Guard Module, Cisco Catalyst 6500/Cisco 7600 Router Traffic Anomaly Detector Module, Radware Defence Pro, TippingPoint Intrusion Prevention System и т.д.. В этом списке мало что стоит менее $20000.

Множество фирм оказывает услуги по защите, можно найти варианты от 35$ в месяц.

Но цитата из блога blacklotus (служба защиты от DDOS) вас не обнадежит, увы: - «1 Gbps of protection will cost you a whopping $10,999.00 per month.»

Но, при умеренных масштабах бедствия, бывает полезно обойтись знанием простых средств которые всегда под рукой. Используем возможности несложного скрипта (D)DoS-Deflate

 wget [[http://www.inetbase.com/scripts/ddos/install.sh|http://www.inetbase.com/scripts/ddos/install.sh]]
 chmod 0700 install.sh
 ./install.sh

 wget [[http://www.inetbase.com/scripts/ddos/uninstall.ddos|http://www.inetbase.com/scripts/ddos/uninstall.ddos]]
 chmod 0700 uninstall.ddos
 ./uninstall.ddos

1 раз в минуту по запускается команда

netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

Если число соединений с какого нибудь адреса превышает заданное в конфиге ограничение(по умолчанию 150), адрес блокируется. Время блокировки тоже настраивается в конфигурационном файле:

/usr/local/ddos/ddos.conf

Там же настраивается чем управлять файерволом — iptables или apf(надстройка над iptables).

Владельцам выделенных серверов может быть полезным определение некоторых парметров ядра:

 #/sbin/sysctl —w net.ipv4.icmp_ignore_bogus_error_responses=1
 #/sbin/sysctl —w net.ipv4.conf.all.log_martians=1
 #/sbin/sysctl —w net.ipv4.conf.all.rp_filter=1
 #/sbin/sysctl —w net.ipv4.conf.all.send_redirects=0
 #/sbin/sysctl —w net.ipv4.conf.all.accept_redirects=0
 #/sbin/sysctl —w net.ipv4.conf.all.accept_source_route=0
 #/sbin/sysctl —w net.ipv4.conf.all.mc_forwarding=0
 #/sbin/sysctl —w net.ipv4.icmp_echo_ignore_broadcasts=1
Полезно будет почитать здесь: Параметры SysCtl для стека IP


Актуальность: 2012/08/24 16:14